Hoppa till innehållet
Avanet

Konfigurera RADIUS-server i Sophos Firewall

RADIUS är en viktig brygga mellan Sophos Firewall och befintliga autentiseringstjänster. Typiska exempel är Microsoft NPS, en MFA-gateway, en Identity Provider med RADIUS-gränssnitt eller en central autentiseringsplattform som redan används för VPN, Wi-Fi eller andra nätverkstjänster.

Den här artikeln förklarar hur man lägger till en RADIUS-server under Authentication > Servers, vilka fält som är viktiga, hur Microsoft NPS förbereds som motpart och hur konfigurationen testas. För klassiska användar- och gruppfrågor från en Windows-domän passar ofta att ansluta Active Directory till Sophos Firewall. För moderna Remote Access-scenarier kan även Microsoft Entra ID SSO för Sophos Connect och VPN Portal passa bättre.

När RADIUS är användbart

RADIUS är användbart när Sophos Firewall inte själv ska bära hela identitetslogiken. Brandväggen skickar en fråga till RADIUS-servern. RADIUS-servern avgör om användarnamn, lösenord, gruppvillkor, MFA eller policy stämmer.

Typiska användningsfall:

  • Remote Access VPN med Microsoft NPS.
  • Extern MFA-lösning via RADIUS.
  • Central autentisering för VPN Portal, SSL VPN, IPsec Remote Access eller Captive Portal.
  • Övergångslösning när AD/LDAP inte ska kopplas direkt till brandväggen.
  • Blandade miljöer där flera nätverksenheter använder samma RADIUS-tjänst.

RADIUS ersätter inte rena åtkomstregler. Efter lyckad autentisering måste firewallregler, VPN-zoner, grupper, IP-pooler och logging fortfarande stämma. För Remote Access passar konfigurera Sophos Firewall SSL VPN Remote Access; för MFA-designer aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access.

Planera före konfigurationen

Innan Add används bör det vara klart vilken roll RADIUS ska ha. Annars kan anslutningstestet lyckas, medan produktionsinloggningen senare misslyckas på grund av fel tjänst, grupp eller timeout.

Identitetskälla och motpart

I Microsoft-miljöer är RADIUS ofta en Microsoft NPS-server. NPS kan kontrollera användare mot Active Directory, utvärdera Network Policies och skriva accounting. I praktiken är Sophos Firewall RADIUS client och NPS-servern RADIUS server.

Roller:

  • Sophos Firewall: skickar autentiseringsförfrågan.
  • RADIUS-server: kontrollerar användare, lösenord, policy och eventuellt MFA.
  • Active Directory eller Identity Provider: levererar användare och grupper i bakgrunden.
  • Firewallregel eller VPN-konfiguration: avgör vart användaren får gå efter inloggning.

Nätverksväg och portar

RADIUS-servern måste vara nåbar från brandväggen.

SyfteStandardportRiktning
Authentication1812/UDPSophos Firewall till RADIUS-server
Accounting1813/UDPSophos Firewall till RADIUS-server

Äldre miljöer eller enskilda produkter kan fortfarande använda 1645/UDP och 1646/UDP. Använd dem bara om motparten verkligen kräver det.

Shared secret och timeouts

Shared secret är den tekniska gemensamma hemligheten mellan brandvägg och RADIUS-server. Det är inte ett användarlösenord. Sophos anger en gräns på 48 tecken för fältet.

Timeout måste passa användningsfallet. För enkel lösenordskontroll räcker ofta ett kort värde. Vid Push-MFA, telefonsamtal eller extern challenge kan en för kort timeout avbryta inloggningen trots korrekta uppgifter. Sophos tillåter Time-out från 1 till 60 sekunder.

Lägg till RADIUS-servern i Sophos Firewall

Menyvägen är:

Authentication > Servers

Gör så här:

  1. Öppna Add.
  2. Välj RADIUS server som Server type.
  3. Ange ett tydligt Server name, till exempel NPS-HQ-RADIUS eller MFA-RADIUS.
  4. Ange RADIUS-serverns IP-adress under Server IP.
  5. Kontrollera Authentication port, normalt 1812.
  6. Sätt Time-out. För enkla inloggningar kan 3 till 5 sekunder räcka; för MFA behövs ofta mer beroende på leverantör.
  7. Aktivera Enable accounting bara om RADIUS-servern ska behandla accounting.
  8. Om accounting är aktivt, kontrollera Accounting port, normalt 1813.
  9. Ange Shared secret exakt som på RADIUS-servern.
  10. Sätt vid behov Domain name, särskilt om AD och RADIUS används parallellt.
  11. Ange vid behov Group name attribute om RADIUS-servern returnerar användbar gruppinformation.
  12. Öppna vid behov Enable additional settings och sätt NAS-identifier eller NAS-port-type.
  13. Kör Test connection med en riktig testanvändare.
  14. Spara.

Anslutningstestet bekräftar grundläggande kommunikation. Det bevisar inte att VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal eller WebAdmin fungerar i produktionsflödet. Dessa tjänster måste testas separat.

Sätt Domain name medvetet

Fältet Domain name är viktigt i blandade miljöer. Om RADIUS fungerar utan domän medan Active Directory skapar användare med domän kan dubbla lokala användarposter uppstå.

När AD och RADIUS används parallellt bör ett passande Domain name sättas och därefter kontrolleras i Authentication > Users hur nya användare visas.

Gissa inte Group name attribute

Group name attribute måste passa motparten. Med NPS- eller MFA-integrationer beror det på vilka attribut RADIUS-servern faktiskt returnerar och hur brandväggen ska tolka dem.

Om gruppen är viktig, testa hela flödet:

  1. Logga in på målportalen eller VPN med en användare.
  2. Kontrollera i Authentication > Users att användaren visas med förväntad grupp.
  3. Kontrollera i Log Viewer vilken firewallregel och vilken användare som syns för trafiken.
  4. Med NPS, kontrollera även Event Viewer och Network Policy.

Förbered Microsoft NPS som motpart

När Microsoft NPS används måste Sophos Firewall läggas till på NPS-servern som RADIUS client. I NPS-konsolen sker detta under RADIUS Clients and Servers > RADIUS Clients.

Minimalt flöde:

  1. Öppna Network Policy Server.
  2. Öppna RADIUS Clients and Servers > RADIUS Clients.
  3. Skapa en New RADIUS Client.
  4. Ange ett Friendly name, till exempel Sophos-Firewall-HQ.
  5. Under Address (IP or DNS) anges IP-adressen för Sophos Firewall som skickar RADIUS-förfrågningarna.
  6. Använd normalt RADIUS standard som Vendor.
  7. Ange samma Shared secret som i Sophos Firewall.
  8. Skapa eller kontrollera Connection Request Policy och Network Policy.
  9. Ha Event Viewer och NPS-loggar redo för tester.

Vid HA-kluster eller flera brandväggar måste man kontrollera vilken käll-IP NPS ser. Om NPS ser en annan IP än den konfigurerade RADIUS client avvisas förfrågan eller matchar inte förväntad policy.

Aktivera RADIUS för firewalltjänster

Efter att RADIUS-servern sparats är den inte automatiskt aktiv för alla inloggningar. Tilldelning sker under:

Authentication > Services

Bestäm per tjänst:

  • Firewall authentication methods: allmän brandväggsautentisering.
  • VPN portal authentication methods: inloggning i VPN Portal.
  • SSL VPN authentication methods: SSL VPN-inloggning.
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: relevanta Remote Access VPN-metoder.
  • Captive portal authentication methods: inloggning i Captive Portal.

Serverordningen är viktig. Om flera servrar är valda frågar brandväggen dem i konfigurerad ordning. Det kan vara avsiktligt, men kan också leda till att användare autentiseras via AD istället för RADIUS och att MFA inte används.

Validera efter sparande

Ett bra test har flera nivåer. Test connection räcker inte.

Anslutningstest

Öppna RADIUS-servern under Authentication > Servers och kör Test connection med en testanvändare. Om testet misslyckas, kontrollera först nätverksväg, käll-IP, Shared Secret, NPS-klient, port och användarlösenord.

Tjänstetest

Testa sedan det verkliga målflödet:

  1. Öppna VPN Portal med testanvändaren.
  2. Logga in via SSL VPN eller Sophos Connect med testprofil.
  3. Testa Captive Portal om det används.
  4. För administrativ åtkomst, kontrollera att lokala administratörsrättigheter, roll och autentisering passar ihop.

Med RADIUS-MFA måste hela challenge- eller push-flödet testas med den riktiga klienten. Ett lyckat servertest bevisar inte att Sophos Connect, VPN Portal eller WebAdmin hanterar challenge på samma sätt.

Kontrollera loggar

Viktiga platser:

  • Log Viewer i Sophos Firewall för autentiserings- och trafikbeslut.
  • Authentication > Users för automatiskt skapade användare och grupptilldelning.
  • NPS Event Viewer i Windows för accepterade eller nekade förfrågningar.
  • RADIUS- eller MFA-leverantörens loggar om tredje part är inblandad.
  • Firewallregelloggar om login fungerar men trafik inte tillåts.

Om användaren är autentiserad men inte når någon applikation är RADIUS oftast inte längre första orsaken. Kontrollera VPN-zon, IP-pool, firewallregel, gruppvillkor, NAT och routing. För detta passar Sophos Firewall: kontrollera varför en regel inte matchar.

Typiska fel

Test connection misslyckas

Vanliga orsaker är fel käll-IP, fel Shared Secret, blockerad UDP-port, saknad RADIUS client på NPS eller en NPS-policy som inte tillåter testanvändaren. I Windows visar Event Viewer om förfrågan kommer fram.

Test connection fungerar, men VPN-login gör det inte

Då är RADIUS-servern nåbar, men tjänsten är sannolikt inte korrekt satt till RADIUS. Under Authentication > Services, kontrollera rätt server för VPN Portal, SSL VPN eller IPsec Remote Access och dess position.

MFA-push kommer för sent eller inte alls

Vid extern MFA är timeouts ofta avgörande. Sophos Firewall-timeout, NPS-policy, MFA-gateway och klient måste passa ihop. Vid Push-MFA eller telefonsamtal bör man inte börja med aggressiva tre sekunder.

Användaren skapas dubbelt

Det händer ofta när AD och RADIUS används parallellt och RADIUS kör utan Domain name. Kontrollera Domain name, inloggningsformat och serverordning.

Login fungerar, men regeln matchar inte

Då måste användar- och gruppmatchning kontrolleras: importerad grupp, lokal användarpost, regelposition, source zone, VPN-IP-pool och faktisk trafik i Log Viewer.

Drift och säkerhet

RADIUS bör drivas som en produktionsidentitetstjänst. Om RADIUS-servern faller kan Remote Access eller portalåtkomst påverkas.

Viktiga driftpunkter:

  • Dokumentera Shared Secret säkert och rotera det medvetet efter personal- eller leverantörsbyte.
  • Behåll NPS- eller RADIUS-loggar tillräckligt länge.
  • Övervaka RADIUS-servern, inte bara brandväggen.
  • Testa MFA-timeouts per klient- och portaltyp.
  • Definiera fallback-adminåtkomst utan att exponera den brett.
  • Efter ändringar i AD, NPS, MFA-leverantör eller firewalltjänster, testa en riktig inloggning.

RADIUS är en bra byggsten när den drivs rent. Utan monitoring, tydlig servertilldelning och verkliga tjänstetester flyttas inloggningsproblemen bara från brandväggen till ett annat system.

FAQ

Vad är skillnaden mellan RADIUS och Active Directory i Sophos Firewall?

Active Directory ansluts direkt som användar- och gruppkälla. RADIUS är ett autentiseringsprotokoll där brandväggen skickar en förfrågan till en RADIUS-server som Microsoft NPS eller ett MFA-system. I många miljöer kontrollerar den servern ändå Active Directory i bakgrunden.

Måste RADIUS också aktiveras under Authentication > Services?

Ja. Att lägga till servern under Authentication > Servers räcker inte. RADIUS-servern måste tilldelas rätt tjänst under Authentication > Services, till exempel VPN Portal, SSL VPN eller Captive Portal.

Varför fungerar Test connection, men VPN-login misslyckas?

Anslutningstestet kontrollerar bara grundkommunikationen med RADIUS-servern. Den verkliga VPN-inloggningen beror också på Authentication Services, VPN-konfiguration, grupper, timeouts, klientbeteende, firewallregler och eventuellt MFA.

Kan Microsoft Entra MFA användas via RADIUS?

Ja, vanligtvis via Microsoft NPS med Entra MFA-tillägget eller via ett annat RADIUS-kompatibelt MFA-system. UPN-matchning, NPS-policy, timeout, användarregistrering och test med riktig VPN- eller portalklient är viktiga.

Vilken port använder Sophos Firewall för RADIUS?

Authentication använder normalt 1812/UDP, Accounting använder 1813/UDP. Värdena kan ändras, men måste exakt matcha motparten och firewallreglerna mellan Sophos Firewall och RADIUS-servern.