Los firewalls se pueden configurar para permitir o bloquear tipos de tráfico IP en el equipo o dispositivo en el que se ejecuta el firewall. Si los firewall no se configuran correctamente para permitir el tráfico RADIUS entre clientes RADIUS, proxy RADIUS y servidores RADIUS, pueden producirse errores en la autenticación del acceso a la red e impedir a los usuarios el acceso a los recursos de red.

Puede ser necesario configurar dos tipos de firewalls para permitir el tráfico RADIUS:

  • Windows Firewall en el servidor local que ejecute Servidor de directivas de redes (NPS)

  • Los firewalls que se ejecuten en otros equipos o dispositivos de hardware

Windows Firewall en el servidor NPS local

De forma predeterminada, NPS envía y recibe tráfico RADIUS usando los puertos UDP (Protocolo de datagramas de usuario) 1812, 1813, 1645 y 1646. Windows Firewall en el servidor NPS se configura automáticamente con excepciones durante la instalación de NPS para permitir el envío y la recepción del tráfico RADIUS.

Por lo tanto, si se usan los puertos UDP predeterminados, no es necesario cambiar la configuración de Windows Firewall para permitir el tráfico RADIUS en los servidores NPS.

En algunos casos, puede que desee cambiar los puertos que NPS usa para el tráfico RADIUS. Si configura NPS y los servidores de acceso a la red para enviar y recibir tráfico RADIUS en puertos distintos de los predeterminados, debe realizar las siguientes acciones:

  • Quite las excepciones que permiten el paso del tráfico RADIUS en los puertos predeterminados.

  • Cree nuevas excepciones que permitan el paso del tráfico RADIUS en los nuevos puertos.

Para obtener más información, consulte Configuración de la información del puerto UDP de NPS.

Otros firewalls

En la configuración más común, el firewall está conectado a Internet y el servidor NPS es un recurso de intranet que está conectado a la red perimetral.

Para llegar al controlador de dominio dentro de la intranet, el servidor NPS puede tener:

  • Una interfaz en la red perimetral y una interfaz en la intranet (el enrutamiento IP no está habilitado).

  • Una sola interfaz en la red perimetral. En esta configuración, NPS se comunica con los controladores de dominio mediante otro firewall que conecta la red perimetral a la intranet.

Configuración del firewall de Internet

El firewall que esté conectado a Internet debe configurarse con filtros de entrada y salida en su interfaz de Internet (y, opcionalmente, su interfaz de red perimetral) para permitir el reenvío de mensajes RADIUS entre el servidor NPS y los clientes o proxy RADIUS de Internet. Se pueden usar otros filtros para permitir el paso de tráfico a los servidores web, servidores VPN y otros tipos de servidores de la red perimetral.

Se pueden configurar filtros de paquetes de entrada y salida independientes en la interfaz de Internet y la interfaz de la red perimetral.

Filtros en la interfaz de Internet

Configure los siguientes filtros de paquetes de entrada en la interfaz de Internet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1812 (0x714) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2865. Si se usa un puerto diferente, 1812 debe sustituirse por el número de puerto correspondiente.

  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1813 (0x715) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2866. Si se usa un puerto diferente, 1813 debe sustituirse por el número de puerto correspondiente.

  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1645 (0x66D) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1646 (0x66E) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Configure los siguientes filtros de salida en la interfaz de Internet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1812 (0x714) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2865. Si se usa un puerto diferente, 1812 debe sustituirse por el número de puerto correspondiente.

  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1813 (0x715) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2866. Si se usa un puerto diferente, 1813 debe sustituirse por el número de puerto correspondiente.

  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1645 (0x66D) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1646 (0x66E) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Filtros en la interfaz de red perimetral

Configure los siguientes filtros de entrada en la interfaz de Internet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1812 (0x714) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2865. Si se usa un puerto diferente, 1812 debe sustituirse por el número de puerto correspondiente.

  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1813 (0x715) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2866. Si se usa un puerto diferente, 1813 debe sustituirse por el número de puerto correspondiente.

  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1645 (0x66D) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1646 (0x66E) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS del servidor NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Configure los siguientes filtros de paquetes de salida en la interfaz de red perimetral del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1812 (0x714) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2865. Si se usa un puerto diferente, 1812 debe sustituirse por el número de puerto correspondiente.

  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1813 (0x715) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP predeterminado que usa NPS, como se define en RFC 2866. Si se usa un puerto diferente, 1813 debe sustituirse por el número de puerto correspondiente.

  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1645 (0x66D) del servidor NPS.

    Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1646 (0x66E) del servidor NPS.

    Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al servidor NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Para obtener mayor seguridad, puede usar las direcciones IP de cada cliente RADIUS que envíe los paquetes a través del firewall para definir filtros de tráfico entre el cliente y la dirección IP del servidor NPS de la red perimetral.

Configuración del firewall de intranet

El firewall que esté conectado a la intranet debe configurarse con filtros de entrada y salida en su interfaz de red perimetral (y, opcionalmente, su interfaz de la intranet) para permitir el reenvío de mensajes RADIUS entre el servidor NPS de la red perimetral y los controladores de dominio de la intranet. Otros filtros pueden permitir el paso de tráfico a los servidores web, VPN y de otros tipos de la red perimetral.

Se pueden configurar filtros de paquetes de entrada y salida independientes en la interfaz de la red perimetral y la interfaz de Internet.

Filtros en la interfaz de red perimetral

Configure los siguientes filtros de paquetes de entrada en la interfaz de red perimetral del firewall de la intranet para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral del servidor NPS.

    Este filtro permite el tráfico del servidor NPS de la red perimetral.

Configure los siguientes filtros de salida en la interfaz de la red perimetral del firewall de la intranet para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral del servidor NPS.

    Este filtro permite el tráfico al servidor NPS de la red perimetral.

Filtros en la interfaz de la intranet

Configure los siguientes filtros de entrada en la interfaz de intranet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral del servidor NPS.

    Este filtro permite el tráfico al servidor NPS de la red perimetral.

Configure los siguientes filtros de paquetes de salida en la interfaz de intranet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral del servidor NPS.

    Este filtro permite el tráfico del servidor NPS de la red perimetral.


Tabla de contenido