Konfigurera RADIUS-server i Sophos Firewall
RADIUS är en viktig brygga mellan Sophos Firewall och befintliga autentiseringstjänster. Typiska exempel är Microsoft NPS, en MFA-gateway, en Identity Provider med RADIUS-gränssnitt eller en central autentiseringsplattform som redan används för VPN, Wi-Fi eller andra nätverkstjänster.
Den här artikeln förklarar hur man lägger till en RADIUS-server under Authentication > Servers, vilka fält som är viktiga, hur Microsoft NPS förbereds som motpart och hur konfigurationen testas. För klassiska användar- och gruppfrågor från en Windows-domän passar ofta att ansluta Active Directory till Sophos Firewall. För moderna Remote Access-scenarier kan även Microsoft Entra ID SSO för Sophos Connect och VPN Portal passa bättre.
När RADIUS är användbart
RADIUS är användbart när Sophos Firewall inte själv ska bära hela identitetslogiken. Brandväggen skickar en fråga till RADIUS-servern. RADIUS-servern avgör om användarnamn, lösenord, gruppvillkor, MFA eller policy stämmer.
Typiska användningsfall:
- Remote Access VPN med Microsoft NPS.
- Extern MFA-lösning via RADIUS.
- Central autentisering för VPN Portal, SSL VPN, IPsec Remote Access eller Captive Portal.
- Övergångslösning när AD/LDAP inte ska kopplas direkt till brandväggen.
- Blandade miljöer där flera nätverksenheter använder samma RADIUS-tjänst.
RADIUS ersätter inte rena åtkomstregler. Efter lyckad autentisering måste firewallregler, VPN-zoner, grupper, IP-pooler och logging fortfarande stämma. För Remote Access passar konfigurera Sophos Firewall SSL VPN Remote Access; för MFA-designer aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och Remote Access.
Planera före konfigurationen
Innan Add används bör det vara klart vilken roll RADIUS ska ha. Annars kan anslutningstestet lyckas, medan produktionsinloggningen senare misslyckas på grund av fel tjänst, grupp eller timeout.
Identitetskälla och motpart
I Microsoft-miljöer är RADIUS ofta en Microsoft NPS-server. NPS kan kontrollera användare mot Active Directory, utvärdera Network Policies och skriva accounting. I praktiken är Sophos Firewall RADIUS client och NPS-servern RADIUS server.
Roller:
- Sophos Firewall: skickar autentiseringsförfrågan.
- RADIUS-server: kontrollerar användare, lösenord, policy och eventuellt MFA.
- Active Directory eller Identity Provider: levererar användare och grupper i bakgrunden.
- Firewallregel eller VPN-konfiguration: avgör vart användaren får gå efter inloggning.
Nätverksväg och portar
RADIUS-servern måste vara nåbar från brandväggen.
| Syfte | Standardport | Riktning |
|---|---|---|
| Authentication | 1812/UDP | Sophos Firewall till RADIUS-server |
| Accounting | 1813/UDP | Sophos Firewall till RADIUS-server |
Äldre miljöer eller enskilda produkter kan fortfarande använda 1645/UDP och 1646/UDP. Använd dem bara om motparten verkligen kräver det.
Shared secret och timeouts
Shared secret är den tekniska gemensamma hemligheten mellan brandvägg och RADIUS-server. Det är inte ett användarlösenord. Sophos anger en gräns på 48 tecken för fältet.
Timeout måste passa användningsfallet. För enkel lösenordskontroll räcker ofta ett kort värde. Vid Push-MFA, telefonsamtal eller extern challenge kan en för kort timeout avbryta inloggningen trots korrekta uppgifter. Sophos tillåter Time-out från 1 till 60 sekunder.
Lägg till RADIUS-servern i Sophos Firewall
Menyvägen är:
Authentication > Servers
Gör så här:
- Öppna Add.
- Välj RADIUS server som Server type.
- Ange ett tydligt Server name, till exempel
NPS-HQ-RADIUSellerMFA-RADIUS. - Ange RADIUS-serverns IP-adress under Server IP.
- Kontrollera Authentication port, normalt
1812. - Sätt Time-out. För enkla inloggningar kan
3till5sekunder räcka; för MFA behövs ofta mer beroende på leverantör. - Aktivera Enable accounting bara om RADIUS-servern ska behandla accounting.
- Om accounting är aktivt, kontrollera Accounting port, normalt
1813. - Ange Shared secret exakt som på RADIUS-servern.
- Sätt vid behov Domain name, särskilt om AD och RADIUS används parallellt.
- Ange vid behov Group name attribute om RADIUS-servern returnerar användbar gruppinformation.
- Öppna vid behov Enable additional settings och sätt NAS-identifier eller NAS-port-type.
- Kör Test connection med en riktig testanvändare.
- Spara.
Anslutningstestet bekräftar grundläggande kommunikation. Det bevisar inte att VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal eller WebAdmin fungerar i produktionsflödet. Dessa tjänster måste testas separat.
Sätt Domain name medvetet
Fältet Domain name är viktigt i blandade miljöer. Om RADIUS fungerar utan domän medan Active Directory skapar användare med domän kan dubbla lokala användarposter uppstå.
När AD och RADIUS används parallellt bör ett passande Domain name sättas och därefter kontrolleras i Authentication > Users hur nya användare visas.
Gissa inte Group name attribute
Group name attribute måste passa motparten. Med NPS- eller MFA-integrationer beror det på vilka attribut RADIUS-servern faktiskt returnerar och hur brandväggen ska tolka dem.
Om gruppen är viktig, testa hela flödet:
- Logga in på målportalen eller VPN med en användare.
- Kontrollera i Authentication > Users att användaren visas med förväntad grupp.
- Kontrollera i Log Viewer vilken firewallregel och vilken användare som syns för trafiken.
- Med NPS, kontrollera även Event Viewer och Network Policy.
Förbered Microsoft NPS som motpart
När Microsoft NPS används måste Sophos Firewall läggas till på NPS-servern som RADIUS client. I NPS-konsolen sker detta under RADIUS Clients and Servers > RADIUS Clients.
Minimalt flöde:
- Öppna Network Policy Server.
- Öppna RADIUS Clients and Servers > RADIUS Clients.
- Skapa en New RADIUS Client.
- Ange ett Friendly name, till exempel
Sophos-Firewall-HQ. - Under Address (IP or DNS) anges IP-adressen för Sophos Firewall som skickar RADIUS-förfrågningarna.
- Använd normalt RADIUS standard som Vendor.
- Ange samma Shared secret som i Sophos Firewall.
- Skapa eller kontrollera Connection Request Policy och Network Policy.
- Ha Event Viewer och NPS-loggar redo för tester.
Vid HA-kluster eller flera brandväggar måste man kontrollera vilken käll-IP NPS ser. Om NPS ser en annan IP än den konfigurerade RADIUS client avvisas förfrågan eller matchar inte förväntad policy.
Aktivera RADIUS för firewalltjänster
Efter att RADIUS-servern sparats är den inte automatiskt aktiv för alla inloggningar. Tilldelning sker under:
Authentication > Services
Bestäm per tjänst:
- Firewall authentication methods: allmän brandväggsautentisering.
- VPN portal authentication methods: inloggning i VPN Portal.
- SSL VPN authentication methods: SSL VPN-inloggning.
- VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: relevanta Remote Access VPN-metoder.
- Captive portal authentication methods: inloggning i Captive Portal.
Serverordningen är viktig. Om flera servrar är valda frågar brandväggen dem i konfigurerad ordning. Det kan vara avsiktligt, men kan också leda till att användare autentiseras via AD istället för RADIUS och att MFA inte används.
Validera efter sparande
Ett bra test har flera nivåer. Test connection räcker inte.
Anslutningstest
Öppna RADIUS-servern under Authentication > Servers och kör Test connection med en testanvändare. Om testet misslyckas, kontrollera först nätverksväg, käll-IP, Shared Secret, NPS-klient, port och användarlösenord.
Tjänstetest
Testa sedan det verkliga målflödet:
- Öppna VPN Portal med testanvändaren.
- Logga in via SSL VPN eller Sophos Connect med testprofil.
- Testa Captive Portal om det används.
- För administrativ åtkomst, kontrollera att lokala administratörsrättigheter, roll och autentisering passar ihop.
Med RADIUS-MFA måste hela challenge- eller push-flödet testas med den riktiga klienten. Ett lyckat servertest bevisar inte att Sophos Connect, VPN Portal eller WebAdmin hanterar challenge på samma sätt.
Kontrollera loggar
Viktiga platser:
- Log Viewer i Sophos Firewall för autentiserings- och trafikbeslut.
- Authentication > Users för automatiskt skapade användare och grupptilldelning.
- NPS Event Viewer i Windows för accepterade eller nekade förfrågningar.
- RADIUS- eller MFA-leverantörens loggar om tredje part är inblandad.
- Firewallregelloggar om login fungerar men trafik inte tillåts.
Om användaren är autentiserad men inte når någon applikation är RADIUS oftast inte längre första orsaken. Kontrollera VPN-zon, IP-pool, firewallregel, gruppvillkor, NAT och routing. För detta passar Sophos Firewall: kontrollera varför en regel inte matchar.
Typiska fel
Test connection misslyckas
Vanliga orsaker är fel käll-IP, fel Shared Secret, blockerad UDP-port, saknad RADIUS client på NPS eller en NPS-policy som inte tillåter testanvändaren. I Windows visar Event Viewer om förfrågan kommer fram.
Test connection fungerar, men VPN-login gör det inte
Då är RADIUS-servern nåbar, men tjänsten är sannolikt inte korrekt satt till RADIUS. Under Authentication > Services, kontrollera rätt server för VPN Portal, SSL VPN eller IPsec Remote Access och dess position.
MFA-push kommer för sent eller inte alls
Vid extern MFA är timeouts ofta avgörande. Sophos Firewall-timeout, NPS-policy, MFA-gateway och klient måste passa ihop. Vid Push-MFA eller telefonsamtal bör man inte börja med aggressiva tre sekunder.
Användaren skapas dubbelt
Det händer ofta när AD och RADIUS används parallellt och RADIUS kör utan Domain name. Kontrollera Domain name, inloggningsformat och serverordning.
Login fungerar, men regeln matchar inte
Då måste användar- och gruppmatchning kontrolleras: importerad grupp, lokal användarpost, regelposition, source zone, VPN-IP-pool och faktisk trafik i Log Viewer.
Drift och säkerhet
RADIUS bör drivas som en produktionsidentitetstjänst. Om RADIUS-servern faller kan Remote Access eller portalåtkomst påverkas.
Viktiga driftpunkter:
- Dokumentera Shared Secret säkert och rotera det medvetet efter personal- eller leverantörsbyte.
- Behåll NPS- eller RADIUS-loggar tillräckligt länge.
- Övervaka RADIUS-servern, inte bara brandväggen.
- Testa MFA-timeouts per klient- och portaltyp.
- Definiera fallback-adminåtkomst utan att exponera den brett.
- Efter ändringar i AD, NPS, MFA-leverantör eller firewalltjänster, testa en riktig inloggning.
RADIUS är en bra byggsten när den drivs rent. Utan monitoring, tydlig servertilldelning och verkliga tjänstetester flyttas inloggningsproblemen bara från brandväggen till ett annat system.
FAQ
Vad är skillnaden mellan RADIUS och Active Directory i Sophos Firewall?
Måste RADIUS också aktiveras under Authentication > Services?
Varför fungerar Test connection, men VPN-login misslyckas?
Kan Microsoft Entra MFA användas via RADIUS?
Vilken port använder Sophos Firewall för RADIUS?
1812/UDP, Accounting använder 1813/UDP. Värdena kan ändras, men måste exakt matcha motparten och firewallreglerna mellan Sophos Firewall och RADIUS-servern.