Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 6742 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Radius server

xtech
What are the steps to make my radius server to work behind the firewall? Which ports should I open or redirect?  Users are dialing to a server that uses my server to autenticate (using Cystron)... They don't dial direct to my machine... I just need to open the communication between those two servers... Am I clear?


This thread was automatically locked due to age.
Parents
  • 0
    Radius, RFC 2138, runs on UDP port 1812.  The Radius Client (NAS, 802.11 AP, etc) always intitiates the Radius exchange.  There is no 'Push' in Radius.

    Radius accounting in on UDP port 1813.  Few Radius servers use Radius accounting, and pass most accounting information as attributes in the Request/Accept exchange.  But some NASs do use accounting.  Accounting is normally initiated by the NAS.  There are some RARE cases of the Radius server initiating accounting.  It is difficult.  Most implementors that want Push from the server, and can't wait for Diameter, run Radius servers on all of the NASs.
Reply
  • 0
    Radius, RFC 2138, runs on UDP port 1812.  The Radius Client (NAS, 802.11 AP, etc) always intitiates the Radius exchange.  There is no 'Push' in Radius.

    Radius accounting in on UDP port 1813.  Few Radius servers use Radius accounting, and pass most accounting information as attributes in the Request/Accept exchange.  But some NASs do use accounting.  Accounting is normally initiated by the NAS.  There are some RARE cases of the Radius server initiating accounting.  It is difficult.  Most implementors that want Push from the server, and can't wait for Diameter, run Radius servers on all of the NASs.
Children
  • 0 in reply to Bob M
    Ok.. But the radius machine is not the Astaro Box.. It is a diferent machine in the internal net... How will the other server know which machine it should use to authenticate?
  • 0 in reply to xtech
    If your Radius server has a public address, you just allow the UDP ports through the firewall.

    If you are doing NAT/PNAT then it depends.  Radiius REQUIRES the IP address of the client (NAS or AP) in its client database along with the shared secret of that client.  If you are configured for simple NATing with default routing this SHOULD be straight forward.  If you are altering the source IP address on the firewall inbound, you have BIG problems, as this violates the MUST rule in Radius on source IP addresses.

    Just set things up so that the external source address in not touched.  Also best to leave the port #s alone (avoid PNAT).  Afterall, you only have one Radius server.