{"id":19040,"date":"2024-02-14T16:20:02","date_gmt":"2024-02-14T15:20:02","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=19040"},"modified":"2024-03-01T13:21:47","modified_gmt":"2024-03-01T12:21:47","slug":"howto-redundantes-authpoint-radius-microsoft-netzwerkrichtlinienserver-setup-mit-der-watchguard-firebox","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2024\/02\/howto-redundantes-authpoint-radius-microsoft-netzwerkrichtlinienserver-setup-mit-der-watchguard-firebox\/","title":{"rendered":"HOWTO: Redundantes AuthPoint Radius (Microsoft Netzwerkrichtlinienserver) Setup mit der WatchGuard Firebox"},"content":{"rendered":"
Problemstellung<\/h5>\n

Da Microsoft f\u00fcr IKEv2 oder L2TP MS-CHAPv2 voraussetzt, m\u00fcssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. F\u00fcr SSLVPN oder IPSEC wird kein NPS ben\u00f6tigt!<\/p>\n

L\u00f6sungsvorschlag<\/h5>\n

Die Firebox bietet die M\u00f6glichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
\nUm die Erreichbarkeit der Server zu pr\u00fcfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
\nDieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgem\u00e4\u00df funktioniert.<\/p>\n

<\/h4>\n

1. Loopback Interface<\/h4>\n

Alle Radius Anfragen werden zun\u00e4chst an das Loopback Interface der Firebox geschickt. Anschlie\u00dfend werden die Anfragen durch das SNAT Loadbalancing der Firebox an die Radius Server verteilt.
\n(Policy Manager) -> Network -> Configuration -> Loopback
\n<\/strong><\/p>\n

\"\"<\/h4>\n

2. SNAT Action\u00a0mit Server Loadbalancing und Firewall Regel
\n<\/strong><\/h4>\n

In der SNAT Action w\u00e4hlen wir das Server Load Balancing aus und tragen die IP-Adressen der Radius Server ein.
\n(Policy Manager) -> Setup -> Actions -> SNAT<\/strong><\/p>\n

\"\"<\/p>\n

\"\"<\/p>\n

In unserem Setup nehmen wir die vordefinierte Radius-RFC Paketfilter Regel
\n(Policy Manager) -> Add Policy -> Packet Filters -> Radius-RFC<\/strong><\/p>\n

\"\"<\/p>\n

\"\"<\/p>\n

3. AuthPoint Radius-Client Ressource<\/h4>\n

In der MS-CHAPv2 Konfiguration tragen wir die IP-Adresse des Loopback Interfaces ein.
\n(Watchguard Cloud) -> Konfigureiren -> Ressourcen\u00a0<\/strong><\/p>\n

\"\"<\/p>\n

Fazit<\/strong><\/h5>\n

Im Moment gibt es leider keine M\u00f6glichkeit redundante Radius Server im AuthPoint Portal zu konfigurieren.
\nMit dem Server Loadbalancing der Firebox haben wir aber eine gute M\u00f6glichkeit redundante Radius Server in das AuthPoint Setup zu implementieren.<\/p>\n

Quellen im WatchGuard Help Center<\/strong><\/h5>\n