Иди на текст

Podešavanje FreeRADIUS3 servera za AMRES VPN

  • Verzija FreeRadius softvera: 3.2.0
  • Operativni sistem: CentOS 7

O VPN tehnologiji

VPN (virtuelna privatna mreža) tehnologija omogućava sigurno povezivanje korisnika, koji se nalazi na udaljenoj lokaciji (kod kuće, u inostranstvu itd) sa mrežom njegove matične insititucije korišćenjem već postojeće mrežne infrastrukture, kao što je Internet.

Dodatno podesiti IPTABLES

Otvoriti portove 1812, 1813 i 1814 prema VPN davaocu servisa

To se može uraditi na sledeći način: 
vim /etc/sysconfig/iptables

Otvoriti navedene portove dodavanjem sledećih linija u fajl:

-A INPUT -m state -s 147.91.3.6/32 --state NEW -m udp -p udp --dport 1812 -j ACCEPT
-A INPUT -m state -s 147.91.3.6/32 --state NEW -m udp -p udp --dport 1813 -j ACCEPT
-A INPUT -m state -s 147.91.3.6/32 --state NEW -m udp -p udp --dport 1814 -j ACCEPT

Napomena: Navedene linije je potrebno uneti obavezno iznad linije: -A INPUT -j REJECT --reject-with icmp-host-prohibited

iptables-restore < /etc/sysconfig/iptables

iptables-save

systemctl restart iptables

iptables -L

Podešavanje RADIUS servera

Nakon što ste uspešno instalirali i konfigurisali FreeRADIUS server za potrebe Davaoca Identiteta možete preći na podešavanje tog FreeRADIUS servera za AMRES VPN uslugu

Ukratko o podešavanju FreeRADIUS servera za AMRES VPN uslugu

  • Da bi RADIUS server prihvatao autentifikacione zahteve dobijene od strane AMRES VPN RADIUS servera, potrebno je napraviti nekoliko izmena u konfiguraciji.

  • FreeRADIUS platforma se zasniva na konceptu tzv. virtuelnih servera.

  • Virtuelni serveri omogućavaju konfiguraciju većeg broja nezavisnih servisa.

  • Za potrebe AMRES VPN servisa potrebno je napraviti FreeRADIUS vpn virtuelni server koji će obrađivati zahteve.

Kreiranje VPN virtuelnog servera

Za potrebe AMRES vpn sevisa, kreira se novi virtuelni server:

  • Preći u poddirektorijum /usr/local/etc/raddb/sites-available/ 
cd /usr/local/etc/raddb/sites-available/
  • Napraviti kopiju eduroam-inner-tunnel virtuelnog servera, čije će ime biti vpn
cp eduroam-inner-tunnel vpn
  • Izmeniti kreirani fajl.
vim vpn

Sledi detaljan prikaz svih izmena fajla vpn po koracima.

U sledećoj liniji potrebno je izmeniti naziv servera tako da umesto eduroam-inner-tunnel bude vpn

1
server eduroam-inner-tunnel {

1
server vpn {

Sledeći koraci se odnose na listen deo.

  • Potrebno je zakomentarisati sledeću celinu:
1
2
3
4
5
listen {
       ipaddr = 127.0.0.1
       port = 18120
       type = auth
}   

1
2
3
4
5
#listen {
#       ipaddr = 127.0.0.1
#       port = 18120
#       type = auth
#}

Sledeći koraci se odnose na post-auth sekciju.

  • Zakomentarisati linije cui-inner i cui_inner_log
1
2
3
4
5
6
post-auth {
        #  If you want privacy to remain, see the
        #  Chargeable-User-Identity attribute from RFC 4372.
        #  If you want to use it just uncomment the line below.
        cui-inner
        cui_inner_log   

1
2
3
4
5
6
post-auth {
        #  If you want privacy to remain, see the
        #  Chargeable-User-Identity attribute from RFC 4372.
        #  If you want to use it just uncomment the line below.
#        cui-inner
#        cui_inner_log

Izmeniti sledeći deo post-auth sekcije :

  • Zakomentarisati liniju if (1) {

  • Otkomentarisati liniju if (0) {

1
2
3
4
5
        #  Instead of "use_tunneled_reply", change this "if (0)" to an
        #  "if (1)".
        #
#       if (0) {
        if (1) {    

1
2
3
4
5
        #  Instead of "use_tunneled_reply", change this "if (0)" to an
        #  "if (1)".
        #
        if (0) {
#        if (1) {

Zatim, potrebno je preći u poddirektorijum /usr/local/etc/raddb/sites-enabled i napraviti soft link ka eduroam virtuelnom tunelu iz poddirektorijuma /usr/local/etc/raddb/sites-available:

cd ../sites-enabled/

ln -s ../sites-available/vpn

Dopuna fajla clients.conf

U clients.conf fajlu potrebno je dodati novog RADIUS klijenta na sledeći način:

Fajl clients.conf

  • clients.conf fajl se nalazi u direktorijumu /usr/local/etc/raddb i predstavlja modul u kome se definišu RADIUS klijenti - uređaji i mreži od kojih se prihvataju zahtevi. Ovi uređaji mogu biti drugi RADIUS serveri ili NAS (Network Access Server) tačke.

  • U okviru clients.conf fajla je potrebno definisati vpn klijent.

  • secret parametar se dobija lično ili telefonskim putem od AMRES-a i njega je potrebno zameniti u konfiguraciji.

vim /usr/local/etc/raddb/clients.conf
  • Konfiguracija koja je data u nastavku kopira se i dodaje na kraj clients.conf fajla: 
1
2
3
4
5
6
7
#OpenVPN
client amres.vpn.radius {
 ipaddr          = 147.91.3.6
 secret          = pass # - lozinka se dobija od AMRES-a
 shortname       = amresVPN
 virtual_server  = vpn
}

Ovim su završena osnovna podešavanja FreeRADIUS servera neophodna za funkcionisanje AMRES VPN usluge

Za proveru konfiguracije preporuka je da se RADIUS proces pokrene prvo u debug modu, komandom radiusd -X

Preporuka je da se debug mod koristi samo u slučaju kada se prave izmene u konfiguraciji ili u slučaju kada neko od korisnika ima problem sa povezivanjem na eduroam, jer se u debug modu lozike prikazuju u clear-text formatu.

radiusd -X

Ukoliko je konfiguracija bez grešaka, na ekranu se ispisuje sledeće:

.
.
.
Listening on auth address * port 1812 bound to server eduroam
Listening on acct address * port 1813 bound to server eduroam
Listening on auth address :: port 1812 bound to server eduroam
Listening on acct address :: port 1813 bound to server eduroam
Listening on auth address 127.0.0.1 port xxxxx bound to server eduroam-inner-tunnel
Listening on proxy address * port xxxxx
Listening on proxy address :: port xxxxx
Ready to process requests

Prekid rada RADIUS procesa u debug modu, se izvršava sa CTRL+C

RADIUS proces u standardnom modu se pokreće komandom radiusd

radiusd

RADIUS proces se po potrebi zaustavlja se komandom killall radiusd, ukoliko je potrebno izmeniti konfiguraciju ili ukoliko postoji problem u povezivanju na AMRES VPN uslugu i gde je potrebno istražiti problem

killall radiusd