
<div class="gmail_quote">Thank you all for your input.</div><div class="gmail_quote"><br></div><div class="gmail_quote">I would be managing the Radius servers hosted by like HostGator or Rackspace or someone like that. </div>


<div class="gmail_quote"><br></div><div class="gmail_quote">On Thu, Sep 27, 2012 at 4:39 AM, Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 09/26/2012 11:42 PM, Michael Geary wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Good Evening,<br>

<br>

We have several separate networks. Our main network runs PPPoE while all<br>

of the others run over DHCP. I would like to migrate the DHCP networks<br>

to use PPPoE.<br>

</blockquote>

<br></div>

I assume these are Ethernet-over-ADSL lines and you want to move away from static DSLAM port config, and to @<a href="http://isp.com" target="_blank">isp.com</a> dynamic routing?<div class="im"><br></div></blockquote><div>


<br></div><div>We are a fixed-terrestrial wireless internet service provider</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Currently, our Radius server resides at the head end of our PPPoE<br>

network. I would like to remove the chance that if the Internet failed<br>

there, that no one on the separate networks would be able to authenticate.<br>

</blockquote>

<br></div>

So the other networks have separate internet connectivity?<div class="im"><br></div></blockquote><div><br></div><div>Yes, they are located throughout Vermont, New Hampshire and Massachusetts</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class="im">

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Has anyone had any experience with using a Radius server in the cloud to<br>

authenticate users?<br>

</blockquote>

<br></div>

Personally, I'd never do it. FreeRADIUS performs well on commodity hardware, so just build more RADIUS servers and put them in various locations e.g. one in each remote location. Presumably you have DHCP servers in those locations now - the same hardware would probably suffice, since the load should be approximately the same.<br>


<br>

However, as Fajar says, if you want to "cloud" it there's nothing magic - RADIUS is just UDP/IP packets, so running it in the cloud should work fine.<br>

<br>

Couple of things to watch out for:<br>

<br>

 1. RADIUS shared-secrets are keyed off source IP and destination IP/port. We occasionally see people who've painted themselves into a corner with NAT, or NASes on dynamic, unknown-prior IPs. Think carefully about how you'll avoid this issue, particularly if your NASes are on private IPs.<br>


<br>

This is not usually a problem over an internal network.<br>

<br>

 2. Normal radius doesn't encrypt (but does sign) the entire packet. Only selected fields like "User-Password" (and EAP payloads that are encrypted by the EAP method). Decide if you care about this - the RADIUS packet will contain things like user names, MAC addresses and so on, and they'll be flowing over an untrusted network. It's probably not a worry, but in the EU at least, I'd be concerned about data protection.<br>


<br>

In theory you can solve this with RADSEC. In practice, virtually no NAS supports RADSEC, so you are left with IPSec or some other VPN as an option, or just live with it.<br>

<br></blockquote><div><br></div><div>Thank you, I was thinking of connecting them to the internal networks via OpenVPN or IPSec</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Likewise, not usually a problem over an internal network.<div class="HOEnZb"><div class="h5"><br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/<u></u>list/users.html</a></div></div></blockquote></div>