|
Название: Mikrotik ipoe + dhcp + radius Отправлено: Efendy от 23 Августа 2015, 16:32:16 Написал документацию для микротика:
* dhcp + радиус * заглушка * управление фаерволом и скоростями http://nodeny.com.ua:8080/wiki/index.php/%D0%9C%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA Тестировал все на стенде: виртуалка freebsd как админка и радиус-сервер, виртуалка freebsd как абонент, линукс как абонент, микротик. Потом поменял freebsd местами и настроил абонента как админку и радиус-сервер - прогнал все по доке, внес коррективы, все перепроверил. Мак эир на котором запускались виртуалки пыхтел как паровоз. Хотелось бы, что кто-то повторил это в бою и отписался. Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 24 Августа 2015, 23:25:44 Настроил все по инструкции, с заменой серого IP Микротика на белый.
Все запустило без ошибок за исключением того, что Микротик при подключении клиента, в логах выдает ошибку "dhcp1: radius authentication failed for radius server is not responding F4:6D:04:CD:6D:B7 RADIUS server is not responding" На сервере:(217.55.00.254 -ip микротика) Код: # tcpdump -i igb1 -p -n udp port 1812 Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: Efendy от 24 Августа 2015, 23:38:26 Фаервол на сервере с радиусом пропускает udp на порт 1812?
Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 25 Августа 2015, 00:03:12 Фаервол на сервере с радиусом пропускает udp на порт 1812? Виноват!помогла добавление правила: Код: ${f} add 450 allow udp from 217.55.00.254 to any 1812,1813 inПроверяю дальше Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 25 Августа 2015, 00:34:59 Включение/выключение доступа в интернет
На микротик включаем NAT и разрешаем натить только те ip, которые будут в списке goodboys В RouterOS v.6.31 на CCR1009-8G-1S-1S+, клиентов в интернет пускает только если убрать out-interface Код: /ip service enable api Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 25 Августа 2015, 00:58:22 Заметил следующее:
1) на странице клиента, через 150 секунд(Обновление авт.), пропадает зеленый ключик возле IP. После начинается обратный отсчет "Будет освобожден через 149 секунд". 1.1) в "Последняя авторизация", старт и завершение в одно и тоже время. через = 5 минут. 2) За текущий день нет двунаправленного трафика 3) не ping-тся IP клиента Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: Efendy от 25 Августа 2015, 08:31:28 Модуль dhcp в kernel.pl запущен? Нужно все делать строго по документации
Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 26 Августа 2015, 02:12:42 Модуль dhcp в kernel.pl запущен? Нужно все делать строго по документации проверил все по инструкции. сделал все по новой, перезагружал сервер. но проблема 1-3 осталось.Код: # perl nokernel.pl -L Код: # ps ax | grep radi Код: ]# ps ax | grep no Может это связано с: Цитировать # radiusd -X ............................................ ++[sql] = ok +} # group authorize = ok WARNING: Please update your configuration, and remove 'Auth-Type = Local' WARNING: Use the PAP or CHAP modules instead. User-Password in the request is correct. # Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/nodeny +group post-auth { ............................................ Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: Efendy от 26 Августа 2015, 10:16:12 Если зеленый ключик появился - с радиусом все ок. Если бы это было pppoe, то там каждую минуту радиус посылал accounting пакеты (информацию о скаченном трафике). При этом сам трафик игнорируются, зато сам факт его посылки интерпретируется NoDeny как то, что клиент не отвалился. Биллинг обновляет информацию об авторизации и ключик продолжает быть зеленым.
В случае с dhcp, как мне сказали, аккаунтинг пакеты не посылаются. Поэтому зеленый ключик "поддерживается" модулем ядра dhcp - он каждые несколько минут "говорит" "клиент авторизован". Подозрение, что он у тебя или не запущен или не работает Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 28 Августа 2015, 22:23:11 dhcp модуль работает, по нему клиенты получают IP:
Код: # perl nokernel.pl -L h_ttp://s020.radikal.ru/i709/1508/82/cefea1b9bd80.png h_ttp://s018.radikal.ru/i514/1508/6f/8fa7f0273088.png ----------- PING также не работает, скорей всего из за отсутствия accounting Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: VitalVas от 29 Августа 2015, 10:40:43 В микротика в подсистеме dhcp нет аккаутинга, потому-что не создается виртуальный интерфейс, на который обычно вешают эти самые счетчики.
Грубо говоря связка dhcp-radius работает как обычнй dhcp-relay, но с немного расширенными возможностями. Если нужно что-то типа accouting для такой схемы - можно пойти по несколько направлений: 1) принимать netflow - самый правильный вариант 2) создавать правила в фаерволе и так считать - может жить на небольшом количестве абонов PING также не работает, скорей всего из за отсутствия accounting у тебя не едет машина, потому-что нет зонтика?Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: k291 от 15 Мая 2016, 01:29:35 Фаервол на сервере с радиусом пропускает udp на порт 1812? Виноват!помогла добавление правила: Код: ${f} add 450 allow udp from 217.55.0.254 to any 1812,1813 inПроверяю дальше Код: ipfw add 70 allow udp from 217.55.0.250 to any dst-port 1812,1813 in Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: fet4 от 23 Декабря 2016, 19:28:55 Все работает по данной инструкции. А как авторизировать в данном случае по option82 или vlan например?
Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: sever от 24 Декабря 2016, 12:57:51 Все работает по данной инструкции. А как авторизировать в данном случае по option82 или vlan например? У тебя логином выступает имя влан интерфейса с которого пришел запрос, паролем в таком случае тоже можно сделать его в случае влан на клиента.Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: fet4 от 25 Декабря 2016, 13:29:49 И как у Вас в таком случае в учетке абонента указан не мак, а vlan его?
Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: sever от 28 Декабря 2016, 13:05:47 И как у Вас в таком случае в учетке абонента указан не мак, а vlan его? Мне вообще привязка по маку не нужна.У меня есть сущность которая отделяет уникального абонента от других - Vlan свой на каждого абонента. Название: Re: Mikrotok ipoe + dhcp + radius Отправлено: Cell от 13 Января 2017, 18:02:00 В микротика в подсистеме dhcp нет аккаутинга, потому-что не создается виртуальный интерфейс, на который обычно вешают эти самые счетчики. У микротика имеется полноценный IPOE сервер (он же радиус-клиент) под названием hotspot который прекрасно управляется радиусом в полном объеме от выдачи ip адреса по дхцп и до аккаунтинга и принудительного разрыва сессий. Для юзанья его в этом качестве нужно его соотв. образом настроить, чтобы в качестве логина использовался MAC адрес без пароля. Могу подкинуть приблизительную конфигурацию, которую я приводил в теме про модуль микротика.Грубо говоря связка dhcp-radius работает как обычнй dhcp-relay, но с немного расширенными возможностями. Если нужно что-то типа accouting для такой схемы - можно пойти по несколько направлений: 1) принимать netflow - самый правильный вариант 2) создавать правила в фаерволе и так считать - может жить на небольшом количестве абонов PING также не работает, скорей всего из за отсутствия accounting у тебя не едет машина, потому-что нет зонтика?Название: Re: Mikrotik ipoe + dhcp + radius Отправлено: Cell от 04 Марта 2017, 09:32:18 Кстати, у микротика появилась интересная железячка https://mikrotik.com/product/RB750Gr3 (https://mikrotik.com/product/RB750Gr3) с двухядерным проциком 880 МГц (каждый из которых в гипертрейдинге) и 256 рамы. Так вот... вполне себе живет на 150 юзерах с BGP (дефолт), DHCP(через RADIUS), шейперами(через API) и NAT. Так что для малых населенных пунктов самое то.
Название: Re: Mikrotik ipoe + dhcp + radius Отправлено: sov от 15 Марта 2017, 07:59:27 Кстати, у микротика появилась интересная железячка И сколько трафика оно тянет?Название: Re: Mikrotik ipoe + dhcp + radius Отправлено: Cell от 15 Марта 2017, 08:39:05 Сказано же - работает на 150 юзеров. Сколько оно трафика тянет одному Богу известно т.к. это понятие относительное бо "трафик" бывает сильно разный.
|