Sophos Firewall RADIUS-server configureren
RADIUS is een belangrijke brug tussen Sophos Firewall en bestaande authenticatieservices. Typische voorbeelden zijn Microsoft NPS, een MFA-gateway, een Identity Provider met RADIUS-interface of een centraal authenticatieplatform dat al voor VPN, wifi of andere netwerkdiensten wordt gebruikt.
Dit artikel legt uit hoe men onder Authentication > Servers een RADIUS-server toevoegt, welke velden belangrijk zijn, hoe Microsoft NPS als tegenpartij wordt voorbereid en hoe de configuratie daarna wordt getest. Voor klassieke gebruikers- en groepsquery’s uit een Windows-domein past vaak Active Directory met Sophos Firewall verbinden. Voor moderne Remote Access-scenario’s kan ook Microsoft Entra ID SSO voor Sophos Connect en VPN Portal beter passen.
Wanneer RADIUS zinvol is
RADIUS is zinvol wanneer Sophos Firewall niet de volledige identity-logica zelf moet dragen. De firewall stuurt een aanvraag naar de RADIUS-server. Die beslist of gebruikersnaam, wachtwoord, groepsvoorwaarde, MFA of policy klopt.
Typische scenario’s:
- Remote Access VPN met Microsoft NPS.
- Externe MFA-oplossing via RADIUS.
- Centrale authenticatie voor VPN Portal, SSL VPN, IPsec Remote Access of Captive Portal.
- Tussenoplossing wanneer AD/LDAP niet direct aan de firewall gekoppeld moet worden.
- Gemengde omgevingen waarin meerdere netwerkapparaten dezelfde RADIUS-service gebruiken.
RADIUS vervangt geen nette toegangsregels. Na succesvolle authenticatie moeten firewallregels, VPN-zones, groepen, IP-pools en logging nog steeds kloppen. Voor Remote Access past Sophos Firewall SSL VPN Remote Access configureren; voor MFA-designs MFA voor Sophos Firewall WebAdmin, VPN Portal en Remote Access activeren.
Voor de configuratie plannen
Voor Add moet duidelijk zijn welke rol RADIUS precies heeft. Anders kan de verbindingstest slagen, terwijl de productieve login later faalt door de verkeerde service, groep of timeout.
Identity-bron en tegenpartij
In Microsoft-omgevingen is RADIUS vaak een Microsoft NPS-server. NPS kan gebruikers tegen Active Directory controleren, Network Policies evalueren en accounting schrijven. Praktisch gezien is Sophos Firewall de RADIUS client en de NPS-server de RADIUS server.
Rolverdeling:
- Sophos Firewall: stuurt de authenticatieaanvraag.
- RADIUS-server: controleert gebruiker, wachtwoord, policy en eventueel MFA.
- Active Directory of Identity Provider: levert gebruikers en groepen op de achtergrond.
- Firewallregel of VPN-configuratie: bepaalt waar de gebruiker na login werkelijk heen mag.
Netwerkpad en poorten
De RADIUS-server moet vanaf de firewall bereikbaar zijn.
| Doel | Standaardpoort | Richting |
|---|---|---|
| Authentication | 1812/UDP | Sophos Firewall naar RADIUS-server |
| Accounting | 1813/UDP | Sophos Firewall naar RADIUS-server |
Oudere omgevingen of enkele producten gebruiken nog 1645/UDP en 1646/UDP. Gebruik die alleen als de tegenpartij ze echt verwacht.
Shared secret en timeouts
Het Shared secret is het technische geheim tussen firewall en RADIUS-server. Het is geen gebruikerswachtwoord. Sophos noemt voor dit veld een limiet van 48 tekens.
De timeout moet passen bij het scenario. Voor een gewone wachtwoordcontrole is vaak een korte waarde genoeg. Bij Push-MFA, telefoonoproep of externe challenge kan een te korte timeout de login afbreken, ook als gebruiker en wachtwoord correct zijn. Sophos staat Time-out-waarden van 1 tot 60 seconden toe.
RADIUS-server op Sophos Firewall toevoegen
Het menupad is:
Authentication > Servers
Procedure:
- Add openen.
- Als Server type de optie RADIUS server kiezen.
- Een duidelijke Server name invoeren, bijvoorbeeld
NPS-HQ-RADIUSofMFA-RADIUS. - Onder Server IP het IP-adres van de RADIUS-server invoeren.
- Authentication port controleren, normaal
1812. - Time-out instellen. Voor eenvoudige logins bijvoorbeeld
3tot5seconden, voor MFA afhankelijk van de provider hoger. - Enable accounting alleen activeren wanneer de RADIUS-server accounting moet verwerken.
- Als accounting actief is, Accounting port controleren, normaal
1813. - Het Shared secret exact zoals op de RADIUS-server invoeren.
- Optioneel Domain name instellen, vooral wanneer AD en RADIUS parallel worden gebruikt.
- Optioneel Group name attribute invullen wanneer de RADIUS-server bruikbare groepsinformatie teruggeeft.
- Indien nodig Enable additional settings openen en NAS-identifier of NAS-port-type instellen.
- Test connection met een echte testgebruiker uitvoeren.
- Opslaan.
De verbindingstest bevestigt basiscommunicatie. Hij bewijst niet dat VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal of WebAdmin in de productieve flow werken. Deze diensten moeten apart worden getest.
Domain name bewust instellen
Het veld Domain name is belangrijk in gemengde omgevingen. Als RADIUS zonder domein werkt en Active Directory gebruikers met domein aanmaakt, kunnen dubbele lokale gebruikers op de firewall ontstaan.
Wanneer AD en RADIUS parallel worden gebruikt, is een passende Domain name aanbevolen. Daarna moet onder Authentication > Users worden gecontroleerd hoe nieuwe gebruikers verschijnen.
Group name attribute niet gokken
Het Group name attribute moet bij de tegenpartij passen. Bij NPS- of MFA-integraties hangt het af van de attributen die de RADIUS-server werkelijk teruggeeft en hoe de firewall ze moet beoordelen.
Als de groep belangrijk is, test dan de hele flow:
- Gebruiker op doelportaal of VPN aanmelden.
- Onder Authentication > Users controleren of de gebruiker met de verwachte groep verschijnt.
- In Log Viewer controleren welke firewallregel en welke gebruiker bij het verkeer zichtbaar zijn.
- Bij NPS ook Event Viewer en Network Policy controleren.
Microsoft NPS als tegenpartij voorbereiden
Bij Microsoft NPS moet Sophos Firewall op de NPS-server als RADIUS client worden toegevoegd. In de NPS-console gebeurt dit onder RADIUS Clients and Servers > RADIUS Clients.
Minimale flow:
- Network Policy Server openen.
- RADIUS Clients and Servers > RADIUS Clients openen.
- Een New RADIUS Client maken.
- Een Friendly name invoeren, bijvoorbeeld
Sophos-Firewall-HQ. - Onder Address (IP or DNS) het IP-adres invoeren van de Sophos Firewall die de RADIUS-aanvragen stuurt.
- Als Vendor meestal RADIUS standard gebruiken.
- Hetzelfde Shared secret als op Sophos Firewall invoeren.
- Passende Connection Request Policy en Network Policy maken of controleren.
- Event Viewer en NPS-logs klaarhouden voor tests.
Bij HA-clusters of meerdere firewalls moet bewust worden gecontroleerd welk bron-IP bij NPS aankomt. Als NPS een ander bron-IP ziet dan geconfigureerd, wordt de aanvraag geweigerd of niet aan de juiste policy gekoppeld.
RADIUS voor firewallservices activeren
Na het opslaan is de RADIUS-server niet automatisch actief voor alle logins. De toewijzing gebeurt onder:
Authentication > Services
Per service beslissen of RADIUS moet worden gebruikt:
- Firewall authentication methods: algemene firewall-authenticatie.
- VPN portal authentication methods: login op VPN Portal.
- SSL VPN authentication methods: login voor SSL VPN.
- VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: relevante Remote Access VPN-methoden.
- Captive portal authentication methods: login via Captive Portal.
De servervolgorde is belangrijk. Als meerdere servers geselecteerd zijn, vraagt de firewall ze in de geconfigureerde volgorde af. Dat kan gewenst zijn, maar kan ook betekenen dat gebruikers via AD in plaats van RADIUS worden geauthenticeerd en MFA niet grijpt.
Na het opslaan valideren
Een goede test heeft meerdere lagen. Alleen Test connection is niet genoeg.
Verbindingstest
De RADIUS-server onder Authentication > Servers openen en Test connection met een testgebruiker uitvoeren. Als dit faalt, eerst netwerkpad, bron-IP, Shared Secret, NPS-client, poort en gebruikerswachtwoord controleren.
Servicetest
Daarna de echte doelflow testen:
- VPN Portal met testgebruiker openen.
- Via SSL VPN of Sophos Connect met testprofiel aanmelden.
- Captive Portal testen als dit wordt gebruikt.
- Bij admin-toegang controleren of lokale adminrechten, rol en authenticatie samen passen.
Bij RADIUS-MFA moet de volledige challenge- of push-flow met de echte client worden getest. Een succesvolle servertest bewijst niet dat Sophos Connect, VPN Portal of WebAdmin challenge-gedrag hetzelfde behandelen.
Logs controleren
Belangrijke plaatsen:
- Log Viewer op Sophos Firewall voor authenticatie- en verkeersbeslissingen.
- Authentication > Users voor automatisch aangemaakte gebruikers en groepskoppeling.
- NPS Event Viewer op Windows voor geaccepteerde of geweigerde aanvragen.
- RADIUS- of MFA-providerlogs als een derde partij betrokken is.
- Firewallregel-logs als login werkt maar verkeer niet wordt toegestaan.
Als de gebruiker geauthenticeerd is maar geen applicatie bereikt, is RADIUS meestal niet meer de eerste oorzaak. Controleer VPN-zone, IP-pool, firewallregel, groepsvoorwaarde, NAT en routing. Hiervoor past Sophos Firewall: controleren waarom een regel niet matcht.
Typische fouten
Test connection faalt
Veelvoorkomende oorzaken zijn verkeerd bron-IP, verkeerd Shared Secret, geblokkeerde UDP-poort, ontbrekende RADIUS client op NPS of een NPS-policy die de testgebruiker niet toestaat. Op Windows toont Event Viewer of de aanvraag aankomt.
Test connection werkt, VPN-login niet
Dan is de RADIUS-server bereikbaar, maar de gebruikte service staat waarschijnlijk niet correct op RADIUS. Onder Authentication > Services controleren of de juiste server voor VPN Portal, SSL VPN of IPsec Remote Access is gekozen en op de juiste positie staat.
MFA-push komt te laat of niet
Bij externe MFA zijn timeouts vaak bepalend. Sophos Firewall-timeout, NPS-policy, MFA-gateway en client moeten bij elkaar passen. Bij Push-MFA of telefoon-MFA niet met een agressieve drie seconden starten.
Gebruiker wordt dubbel aangemaakt
Dit gebeurt vaak wanneer AD en RADIUS parallel worden gebruikt en RADIUS zonder Domain name werkt. Domain name, loginformaat en servervolgorde controleren.
Login werkt, maar de regel matcht niet
Dan moet gebruikers- en groepsmatching worden gecontroleerd: geïmporteerde groep, lokale gebruiker, regelpositie, source zone, VPN-IP-pool en werkelijk verkeer in Log Viewer.
Beheer en veiligheid
RADIUS moet als productieve identity service worden beheerd. Als de RADIUS-server uitvalt, kunnen Remote Access of portaltoegang geraakt worden.
Belangrijke punten:
- Shared Secret veilig documenteren en bewust roteren na personeel- of providerwissel.
- NPS- of RADIUS-logs lang genoeg bewaren.
- De RADIUS-server bewaken, niet alleen de firewall.
- MFA-timeouts per client- en portaltype testen.
- Fallback-admin-toegang definiëren, maar niet breed blootstellen.
- Na wijzigingen aan AD, NPS, MFA-provider of firewallservices een echte login testen.
RADIUS is een goede bouwsteen als het netjes wordt beheerd. Zonder monitoring, duidelijke servertoewijzing en echte servicetests worden loginproblemen alleen van de firewall naar een ander systeem verplaatst.
FAQ
Wat is het verschil tussen RADIUS en Active Directory op Sophos Firewall?
Moet RADIUS ook onder Authentication > Services worden geactiveerd?
Waarom werkt Test connection, maar faalt de VPN-login?
Kan Microsoft Entra MFA via RADIUS worden gebruikt?
Welke poort gebruikt Sophos Firewall voor RADIUS?
1812/UDP, Accounting 1813/UDP. De waarden kunnen worden aangepast, maar moeten exact overeenkomen met de tegenpartij en de firewallregels tussen Sophos Firewall en de RADIUS-server.