Instalación y configuración de freeRadius en FortiGate

El siguiente tutorial será una continuación del anterior. En esta ocasión aprenderemos como configurar FortiGate para que se conecte con Radius de pfSense

En esta guía intentaré explicar paso a paso, cómo autenticar usuarios vía RADIUS.

Editaremos la interfaz de FortiGate de la siguiente manera para que FortiGate pueda mandar las peticiones a pfSense.

Lo configuraremos de la siguiente manera yo elegí por preferencia propia el puerto 2 que se encuentra atado a la red de mi servidor RADIUS, al seleccionarlo presionamos editar, en address configuraremos nuestro segmento de red ( donde se encuentra pfSense) y en acceso administrativo es muy importante habilitar Radius Accouting

En pfSense debemos agregar un NAS / CLIENT para que envíe la información

Un servidor de acceso a la red (NAS) es un tipo de servidor que proporciona a los usuarios internos o conectados de forma remota una red externa más amplia a Internet. Administrando de una manera mas centralizada y brindando a los usuarios conectados la capacidad de recibir un conjunto de servicios habilitados para la red . En otras palabras el NAS nos permite indicar a pfSense que dispositivos estarán habilitados en la red para que pueda hacer consultas de autentificación

Ahora pasaremos a configurar nuestro FortiGate el servidor de freeRADIUS de pfSense, este lo encontraremos en User & Device / RADIUS Servers

Aquí agregaremos datos del servidor RADIUS

Llenaremos los datos de la siguiente manera:

  • En Name para identificar los servicios escribimos radius (podemos utilizar un nombre preferido).
  • La autentificación en el pfSense seleccionamos que será MS-CHAP-v2.
  • NAS IP debe ir la IP a la que se dirigirá, debe ser IP LAN de pfsense.
  • En IP/NAME debe ir la IP a la que se le dirigirá, debe ser la IP LAN de pfSense.
  • Luego sigue la clave secreta la cual será la misma que configuró en pfSense .
  • Podremos ver en el mismo lugar si el FortiGate llega al pfSense por medio de la prueba de conectividad, debe ser exitoso y al mismo tiempo podremos probar el nombre algún usuario que ya tengamos configurado

Prueba de usuario:

Y si lo deseamos podemos tener configurado el NAS/CLIENTS para que autentifique a pfSense y a FortiGate; debemos tener 2 NAS /CLIENT, uno para pfSense y otro para que FortiGate responda también a las peticiones (Debe ser un NAS Client por equipo que usa el servicio de autenticación).

About the author: Gabriela Gallardo

Especialista en CiberSeguridad

Leave a Reply

Your email address will not be published.