Wie richte ich es mit einem RADIUS-Server ein?

Antwort vom

**Mit einem RADIUS-Server richtest du zentrale Anmeldung für WLAN, VPN oder Netzwerkzugang ein; entscheidend ist, dass der Netzwerkdienst als Client mit dem RADIUS-Server spricht und der Server die Benutzer gegen eine Quelle wie Active Directory, LDAP oder lokale Konten prüft.** ## Grundprinzip Ein RADIUS-Setup besteht fast immer aus drei Teilen: 1. **Client / NAS** Das ist z. B. dein WLAN-Controller, Access Point, Switch, VPN-Server oder Router. 2. **RADIUS-Server** Er nimmt die Anfragen entgegen und entscheidet: Zugriff erlauben oder ablehnen. 3. **Benutzerquelle** Zum Beispiel Active Directory, LDAP, SQL oder lokale Benutzerkonten. Praktisch heißt das: Der Nutzer meldet sich nicht direkt am RADIUS-Server an, sondern am WLAN oder VPN. Dieses Gerät fragt dann den RADIUS-Server. ## So richtest du es ein ### 1. Zweck festlegen Zuerst musst du klären, **wofür** du RADIUS nutzen willst: - WLAN mit WPA2/WPA3-Enterprise - VPN-Anmeldung - Switch-Port-Authentifizierung per 802.1X - Geräte- oder Admin-Login Das ist wichtig, weil sich die Details je nach Einsatz stark unterscheiden. WLAN mit 802.1X braucht zum Beispiel meist Zertifikate oder PEAP/EAP-Konfiguration, während ein VPN-Gateway oft einfacher angebunden wird. ### 2. RADIUS-Server installieren Typische Optionen sind: - **FreeRADIUS** unter Linux - **Microsoft NPS** unter Windows Server - integrierte Lösungen in Firewalls oder NAC-Systemen Für kleine bis mittlere Umgebungen ist FreeRADIUS oft am flexibelsten. In Windows-Umgebungen ist NPS meist der schnellste Weg. ### 3. Clients im RADIUS-Server anlegen Jeder Access Point, Controller, Switch oder VPN-Server muss als **RADIUS-Client** eingetragen werden. Dafür brauchst du normalerweise: - IP-Adresse des Clients - gemeinsamen geheimen Schlüssel (**Shared Secret**) - optional einen Anzeigenamen Wichtig: Das Shared Secret muss **auf beiden Seiten exakt gleich** sein. Genau daran scheitern sehr viele Setups. ### 4. Benutzeranbindung konfigurieren Dann legst du fest, woher der Server die Benutzer kennt: - lokale Testbenutzer - Active Directory - LDAP - Datenbank Für erste Tests sind lokale Benutzer sinnvoll. Erst wenn das funktioniert, solltest du AD oder LDAP anbinden. Das spart viel Fehlersuche. ## Beispiel mit FreeRADIUS Ein typischer Ablauf unter Linux sieht so aus: ### Client eintragen In FreeRADIUS wird ein Netzwerkgerät als Client definiert, zum Beispiel so: ```conf client ap01 { ipaddr = 192.168.1.10 secret = MeinGeheimesSharedSecret shortname = ap01 } ``` ### Testbenutzer anlegen Ein einfacher lokaler Benutzer kann in der Benutzerdatei stehen: ```conf testuser Cleartext-Password := "Test1234" ``` ### Dienst starten und testen Danach testest du idealerweise zuerst direkt gegen den RADIUS-Server, nicht sofort über das WLAN. Beispiel: ```bash radtest testuser Test1234 127.0.0.1 0 MeinGeheimesSharedSecret ``` Wenn das funktioniert, weißt du: Server, Benutzer und Shared Secret sind grundsätzlich korrekt. ## Danach: Netzwerkgerät anbinden Am Access Point, Controller oder VPN-Server trägst du dann ein: - IP des RADIUS-Servers - Auth-Port, meist **1812** - Accounting-Port, meist **1813** - Shared Secret - Authentifizierungsmethode, z. B. WPA2-Enterprise / 802.1X Der häufigste Fehler hier ist nicht der Server, sondern eine falsche EAP-Methode oder ein Zertifikatsproblem. ## Der kritische Punkt bei WLAN: Zertifikate Wenn du RADIUS für WLAN mit **802.1X** nutzt, reicht „Benutzername und Passwort“ allein oft nicht sauber aus. Entscheidend ist: - Bei **PEAP** oder **EAP-TTLS** braucht der Server ein gültiges Zertifikat. - Bei **EAP-TLS** brauchen **Server und Clients** Zertifikate. Das ist der Unterschied zwischen „es funktioniert irgendwie“ und „es ist sauber und sicher eingerichtet“. Viele scheitern nicht an RADIUS selbst, sondern an der PKI bzw. Zertifikatsverteilung. ## Typische Reihenfolge, die in der Praxis funktioniert ## Bewährtes Vorgehen 1. RADIUS-Server installieren 2. lokalen Testbenutzer anlegen 3. einen einzigen Client eintragen 4. mit `radtest` lokal prüfen 5. erst dann Access Point oder VPN anbinden 6. erst danach AD/LDAP integrieren 7. zuletzt Zertifikate und produktive Policies sauber bauen Das ist deutlich besser, als alles gleichzeitig einzurichten. Sonst weißt du bei Fehlern nicht, ob Benutzerquelle, Netzwerkgerät, Zertifikat oder Policy das Problem ist. ## Häufige Fehler ### Shared Secret falsch Schon ein einziges falsches Zeichen reicht. ### Firewall blockiert Ports Relevant sind meist UDP **1812** und **1813**. ### Falsche Uhrzeit Bei Zertifikaten und Domänenanmeldung kann eine falsche Systemzeit alles kaputtmachen. ### Falsche EAP-Methode Client und Server müssen dieselbe Methode sprechen. ### Zertifikat wird vom Client nicht vertraut Dann schlägt besonders WLAN-Enterprise trotz korrekter Zugangsdaten fehl. ### NAS-IP stimmt nicht Wenn der RADIUS-Client mit anderer IP anfragt als eingetragen, lehnt der Server ab. ## Klare Empfehlung Wenn du das zum ersten Mal einrichtest, ist der beste Weg: - **Windows-Umgebung mit Active Directory** → NPS - **Linux / flexible Umgebung / mehr Kontrolle** → FreeRADIUS Für den Einstieg solltest du **zuerst lokale Benutzer testen** und **erst danach** AD, LDAP oder Zertifikate ergänzen. Genau das spart die meiste Zeit. Wenn du ein konkretes Ziel hast wie **UniFi-WLAN**, **pfSense-VPN**, **FritzBox**, **Windows NPS** oder **FreeRADIUS auf Ubuntu**, hängt die genaue Einrichtung stark davon ab.

Kategorie: Technik Tags: Radius Server Einrichten

Verwandte Fragen

Wie richte ich RADIUS DTLS mit Cisco ISE 3.4 und Catalyst 9300 unter IOS XE 17.15.05 ein?

RADIUS DTLS zwischen Cisco ISE 3.4 und einem Catalyst 9300 mit IOS XE 17.15.05 richtest du nicht nur mit einem Shared Secret ein, sondern zusätzlich mit Zertifikaten auf beiden Seiten; genau dara...

Wie richte ich eine sichere SSH-Benutzerauthentifizierung per RADIUS auf einem Cisco Catalyst 9300 mit IOS-XE 17.15.05 ein?

Sicher wird die SSH-Anmeldung auf einem Catalyst 9300 erst dann, wenn du AAA mit RADIUS und einen lokalen Fallback-Admin und ausschließlich SSHv2 auf den VTY-Lines kombinierst; nur „RADIUS...