FreeRADIUS por trás do IP virtual keepalived

Navegue suas respostas
0

Estou tendo algumas dificuldades em implementar este freeradius por trás do IP virtual do keepalived. Eu preciso keepalived porque eu preciso de redundância para este servidor de autenticação de dois fatores.

O Radius lida com a autenticação de 2 fatores em uma VPN da Juniper. Então tudo funciona bem até que a VPN tente falar com o servidor radius no IP virtual. VPN envia solicitação de acesso ao servidor radius no IP virtual definido pelo keepalived. Radius responde ao Access-Challenge com o IP real do servidor. A VPN soltará a conexão aqui para que o usuário não possa se autenticar.

O que devo fazer para forçar o raio a usar o IP virtual para suas respostas? Devo alterar algumas rotas?

    
por Bogdan-Mihai 31.07.2017 / 14:05

1 resposta

0

Normalmente, para usar um VIP dessa forma, você usaria o NAT, de modo que o IP de destino do pacote seja reescrito para o endereço IP interno do servidor RADIUS e o IP de origem do pacote seja reescrito para o endereço do roteador.

Se você não conseguir configurar isso no Juniper e tiver encontrado uma forma de encaminhar pacotes para o servidor RADIUS com o IP de origem / destino intacto, poderá forçar o FreeRADIUS a usar um endereço de origem específico quando respondendo.

Primeiro, você precisa adicionar o VIP como um alias de IP, conforme descrito aqui: link

Você precisará adicionar o seguinte snippet à sua configuração do servidor virtual: 

server {
    post-auth {
        update control {
            Packet-Src-IP-Address := <VIP address>
        }
    }
}

Isso garantirá que o endereço src em pacotes enviados do FreeRADIUS corresponda ao VIP.

    
por 31.07.2017 / 17:05

Tags

Executando um script bash para anexar .csv a arquivos em um subdiretório movido / delted todos os arquivos do computador Por que minha internet está mais lenta no servidor virtualbox ubuntu?