Freeradius
Keepalived 虛擬 IP 背後的 FreeRADIUS
我在keepalived的虛擬IP後面實現這個freeradius時遇到了一些困難。我需要keepalived,因為我需要這兩個身份驗證伺服器的冗餘。
Radius 處理瞻博網路 VPN 上的 2 因素身份驗證。因此,在 VPN 嘗試與虛擬 IP 上的 radius 伺服器通信之前,一切正常。VPN 在keepalived 設置的虛擬IP 上向radius 伺服器發送Access-Request。Radius 使用伺服器的真實 IP 回复 Access-Challenge。VPN 將在此處斷開連接,因此使用者將無法進行身份驗證。
我應該怎麼做才能強制半徑使用虛擬 IP 進行響應?我應該改變一些路線嗎?
通常以這種方式使用 VIP,您會使用 NAT,因此數據包的目標 IP 將被重寫為 RADIUS 伺服器的內部 IP 地址,而數據包的源 IP 將被重寫為路由器的地址.
如果您無法在 Juniper 上進行配置,並且您找到了一種將數據包轉發到源/目標 IP 不變的 RADIUS 伺服器的方法,那麼您可以強制 FreeRADIUS 在響應時使用特定的源地址。
您首先需要將 VIP 添加為 IP 別名,如下所述: https: //support.kemptechnologies.com/hc/en-us/articles/203861685-Configuring-DSR
然後,您需要將以下程式碼段添加到您的虛擬伺服器配置中:
server { post-auth { update control { Packet-Src-IP-Address := <VIP address> } } }這將確保從 FreeRADIUS 發出的數據包中的 src 地址與 VIP 匹配。