Доброго времени суток.

Добрые люди помогите!

Есть основной Нодени сервер, где установлено ядро и база, так же есть пять штук сателлит, и на всех сателлитах не считает входящую статистику, при том на всех сателлитах одна и та же проблема, вот пример получение трафа с одной из сателлит по ipcad;

[root@stat ~]# rsh ХХХ.ХХХ.ХХХ.ХХХ stat
Interface 2: received ??, 5 m average 0 bytes/sec, 0 pkts/sec, dropped ??
Interface 1: received ??, 5 m average 1281191 bytes/sec, 3009 pkts/sec, dropped ??
Flow entries made: 803
Memory usage: 0% (89936 from 52428800)
Free slots for rsh clients: 9
IPCAD uptime is 24 minutes
domain.com uptime is 59 minutes


я сразу обротил внимание на :  Interface 2: received ??, 5 m average 0 bytes/sec, 0 pkts/sec, dropped ??
получается что с Interface 2: не снимет стату,

только вот где копать?
Помогите пожалуйста.

ifconfig одной из сателлит

[root@levik /usr/local/nodeny]# ifconfig
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
        ether 00:1d:92:02:16:72
        inet хх.хх.хх.хх netmask 0xffffff00 broadcast хх.хх.хх.хх
        media: Ethernet autoselect (1000baseT <full-duplex,master>)
        status: active
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
        ether 00:13:46:28:22:e5
        inet хх.хх.хх.хх netmask 0xffffffe0 broadcast хх.хх.хх.хх
        inet 192.168.113.1 netmask 0xffffff00 broadcast 192.168.113.255
        inet 10.10.0.1 netmask 0xffffffe0 broadcast 10.10.0.31
        inet 10.10.10.1 netmask 0xffffffe0 broadcast 10.10.10.31
        inet 192.168.151.1 netmask 0xffffff00 broadcast 192.168.151.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
[root@levik /usr/local/nodeny]#



ipfw show из этой же сателлиты

[root@levik /usr/local/nodeny]# ipfw show
00010        0          0 allow tcp from any to хх.хх.хх.хх dst-port 80
00011    14091    8772226 allow tcp from хх.хх.хх.хх to any
00020        0          0 allow tcp from any to table(37) dst-port 80,443
00020        0          0 allow tcp from table(37) to any
00050     1406     155280 allow tcp from any to me dst-port 1027
00050     1561     801427 allow tcp from me 1027 to any
00051        0          0 allow tcp from any to me dst-port 30583
00051        0          0 allow tcp from me 30583 to any
00051        0          0 allow udp from any to me dst-port 30583
00051        0          0 allow udp from me 30583 to any
00052    14024    3923684 allow ip from хх.хх.хх.хх to any
00052    14408     883464 allow ip from any to хх.хх.хх.хх
00053      156      11310 allow udp from хх.хх.хх.хх to me dst-port 161,1161
00054      156      11771 allow udp from me 161,1161 to хх.хх.хх.хх
00057        0          0 allow ip from any to any via tun0
00058        0          0 allow udp from me to any dst-port 1194
00059        0          0 allow udp from any to me dst-port 1194
00060 14594596 6936345136 allow ip from any to any via re1
00061        0          0 allow tcp from хх.хх.хх.хх to me dst-port 514
00062    10476   12908634 allow tcp from me 514 to хх.хх.хх.хх
00110        0          0 allow ip from any to any via lo0
00120     7702     601520 skipto 1000 ip from me to any
00130       10        560 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160   268311  117077497 skipto 2000 ip from any to me
00200 14585849 6969155563 skipto 500 ip from any to any via re0
00270        0          0 deny tcp from not table(0) to хх.хх.хх.хх/24
00280        0          0 fwd 127.0.0.1,8081 tcp from table(35) to not me dst-port 80 in
00290        0          0 fwd 127.0.0.1,8082 tcp from not table(0) to not me dst-port 80 in
00300        0          0 skipto 4500 ip from any to any in
00400        0          0 skipto 450 ip from any to any recv re0
00420        0          0 divert 1 ip from any to any
00450        0          0 divert 2 ip from any to any
00490        0          0 allow ip from any to any
00500  1897367 1458577053 skipto 32500 ip from any to any in
00510 12688532 5510598104 divert 1 ip from any to any
00540 12685534 5509367050 allow ip from any to any
01000        0          0 allow udp from any 53,7723 to any
01010     7447     577331 allow tcp from any to any setup keep-state
01020        0          0 allow udp from any to any keep-state
01100      255      24189 allow ip from any to any
02000        0          0 check-state
02010      245      19790 allow icmp from any to any
02020       87       6145 allow tcp from any to any dst-port 80,443
02050   267979  117051562 deny ip from any to any via re0
02060        0          0 allow udp from any to any dst-port 53,7723
02100        0          0 deny ip from any to any
05000        0          0 deny ip from not table(0) to any
05001        0          0 skipto 5010 ip from table(127) to table(126)
05002        0          0 skipto 5030 ip from any to not table(2)
05003        0          0 deny ip from any to not table(1)
05004        0          0 pipe tablearg ip from table(21) to any
05005        0          0 deny ip from any to any
05010        0          0 pipe tablearg ip from table(127) to any
05030        0          0 deny tcp from table(15) to any dst-port 25
05140        0          0 allow ip from table(41) to table(40)
05226        0          0 allow ip from table(127) to table(126)
05400        0          0 pipe tablearg ip from table(11) to any
32000        0          0 deny ip from any to any
32490        0          0 deny ip from any to any
33000   344291  199905143 pipe tablearg ip from table(126) to table(127)
33001  1308040 1043479851 skipto 33010 ip from not table(2) to any
33002        0          0 pipe tablearg ip from any to table(20)
33003        0          0 deny ip from any to any
33140        0          0 allow ip from table(40) to table(41)
33226        0          0 allow ip from table(126) to table(127)
33400  1307119 1043295499 pipe tablearg ip from any to table(10)
65535     1272     213940 deny ip from any to any
[root@levik /usr/local/nodeny]#




Настройки ipcad из этой же сателлиты

capture-ports enable;
interface divert port 1 netflow-disable;
interface divert port 2 netflow-disable;
rsh enable at ip_satellit;
rsh root@ip_nodeny admin;
rsh ttl = 10;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot = /tmp;
memory_limit = 50m;


Что не так не могу понять, главное что всё нормально работало и в один прекрасный момент стало вот так, при том на всех сателлитах.

За ранее спасибо!

Задача решена, нужно был связать мтик с сервером по туннелю, у меня пример ipip на мтике, на сервере
/sbin/ifconfig gif1 create
/sbin/ifconfig gif1 tunnel 195.49.148.185 94.154.212.154
/sbin/ifconfig gif1 10.0.0.1 netmask 255.255.255.252 10.0.0.2
/sbin/ifconfig gif1 mtu 1500 up
/sbin/route add 10.10.1.0/24 10.0.0.2,

Ну и на клиентских пк в сети мтик в настройках L2, указывается ip-сервера 10.0.0.1,
Lavi спасибо! Это его проделанная работа.

Так вот я и хочу такое решение что бы роутеры по PPPoE а юзеры PC по L2

А ты не пробовал доку почитать? Там всё предельно ясно!

А вы ее читали?

Ага! Тогда получается что
1) настройках L2 нужно указывать ip сервера Nodeny
2) на сервере что-то нужно крутить
3) в микротике фаерволу правила что бы разрешил по определённому ip и порту выходить в мир, даже если клиент заблокирован или не авторизован в инет

Правильно я понимаю Lavi
Только что в сервере крутить и какое правила в микротике? Не силен в микротиках да и воопще с этим пока слабо, реально уже 2,5 месяца пврюсь с этой задачей, клиентов ещё месяц назад должен был подключить, а вот с этим микротиком не всё так просто, ели без авторизации то всё в шоколаде, а авторизауия очень надо.

Ребята не в обиду! но помощи таковы не получил, только все умничают, можно просто обьяснить сразу как что а не писать 2 страницы форума без толку. 

Люди так как с моей задачей? есть у кого какие соображение? я просто не могу понять, если использовать авторизатор, то однозначно он использует радиус, радиус работает, потому что авторизацию по PPPoE проходит, почему не проходит по L2 не понимаю, я явно что-то не то ещё сделал в мтике, но что? Не пойму, всё пере ковырял, ничего не увидел что бы понял, у кого какие соображения?

А что касается этого:

Если доступ дать всегда онлайн то авторизатор должен становится красным, а в моей ситуации глухо.

Красный это доступ запрещен поидее.
Никуда даже с всегда онлайн не пустит.

то красный ключик бывает ещё когда у клиента всегда онлайн и на клиенском пк запущен авторизатор L2

L2 по сути рулит статусом авторизации.
По итогам если авторизация есть то nofire.pl рулит firewall'ом для открытия\закрытия доступа.
Тут же в качестве nofire скрипт который рулит внешней железкой.
Кстати пришла в голову мысль почему может не работать, по умолчанию же доступ закрыт и если нету правила разрещающего доступ к L2 серверу без авторзации то и работать не будет. Или для MT не так?

Если доступ дать всегда онлайн то авторизатор должен становится красным, а в моей ситуации глухо.

Ты в своем уме? Документация для лохов!

ДА! Зачем для лохов? Верняк что сами в своё время читал документацию, а что касается доки, то в доке не припоминаю что там описывается использование L2 для клиентов в сети мтика, и благодаря документации у меня стоит билинг, который может не совсем всё идиально всё поставлено, но работаю с ним уже полтора года,

С PPPoE разобрался, получилось подключится и нет побежал, в админке ключик появился у пользователя, интерфейс на клиентском PC по статики был, а нужно что бы было dhcp, значить радиус работает, а вот с L2 авторизатором полная тишина, всё чёрный с серым, в настройках указал ip шлюза мтика (10.10.1.1), никакой реакции, неужели никто не накручивал, мтик+радиус и авторизатор L2, блин да зачем этот форум если просто тяжело помочь, что для всех измеряется всё в $$$, или просто людей которые могут помочь не осталось, или их просто напросто нет! Lavi отдельное спасибо, один человек хоть отозвался, к сожалению ни как не пойму как карма+1 ставится.
 

С PPPoE принципи понял, в микротике создал pppoe-in ether1 и ether2, на клиентском PC создал подключение PPPoE с логином и паролям юзера созданного в билинге, конект есть без ошибок, только IP наверно что бы получить нужен DHCP поднять на мтике или на сервере с nodeny, и по радиусу получать DHCP,  когда на клиентском PC делою подключение по PPPoE то ключик в админке у юзера появляется зелёным, а вот с L2 по прежнему ни как не могу раз рулить что бы можно было и по L2 авторизацию делать.

Please help! Кто ни будь.

Вот что дал radiusd -X

Код:

[root@bill ~]# radiusd -X
Starting - reading configuration files ...
reread_config:  reading radiusd.conf
Config:   including file: /usr/local/etc/raddb/proxy.conf
Config:   including file: /usr/local/etc/raddb/clients.conf
Config:   including file: /usr/local/etc/raddb/snmp.conf
Config:   including file: /usr/local/etc/raddb/eap.conf
Config:   including file: /usr/local/etc/raddb/sql.conf
 main: prefix = "/usr/local"
 main: localstatedir = "/var"
 main: logdir = "/var/log"
 main: libdir = "/usr/local/lib"
 main: radacctdir = "/var/log/radacct"
 main: hostname_lookups = no
 main: max_request_time = 30
 main: cleanup_delay = 5
 main: max_requests = 1024
 main: delete_blocked_requests = 0
 main: port = 0
 main: allow_core_dumps = no
 main: log_stripped_names = no
 main: log_file = "/var/log/radius.log"
 main: log_auth = no
 main: log_auth_badpass = no
 main: log_auth_goodpass = no
 main: pidfile = "/var/run/radiusd/radiusd.pid"
 main: user = "freeradius"
 main: group = "freeradius"
 main: usercollide = no
 main: lower_user = "no"
 main: lower_pass = "no"
 main: nospace_user = "no"
 main: nospace_pass = "no"
 main: checkrad = "/usr/local/sbin/checkrad"
 main: proxy_requests = yes
 proxy: retry_delay = 5
 proxy: retry_count = 3
 proxy: synchronous = no
 proxy: default_fallback = yes
 proxy: dead_time = 120
 proxy: post_proxy_authorize = no
 proxy: wake_all_if_all_dead = no
 security: max_attributes = 200
 security: reject_delay = 1
 security: status_server = no
 main: debug_level = 0
read_config_files:  reading dictionary
read_config_files:  reading naslist
Using deprecated naslist file.  Support for this will go away soon.
read_config_files:  reading clients
read_config_files:  reading realms
radiusd:  entering modules setup
Module: Library search path is /usr/local/lib
Module: Loaded exec
 exec: wait = yes
 exec: program = "(null)"
 exec: input_pairs = "request"
 exec: output_pairs = "(null)"
 exec: packet_type = "(null)"
rlm_exec: Wait=yes but no output defined. Did you mean output=none?
Module: Instantiated exec (exec)
Module: Loaded expr
Module: Instantiated expr (expr)
Module: Loaded PAP
 pap: encryption_scheme = "crypt"
 pap: auto_header = yes
Module: Instantiated pap (pap)
Module: Loaded CHAP
Module: Instantiated chap (chap)
Module: Loaded MS-CHAP
 mschap: use_mppe = yes
 mschap: require_encryption = no
 mschap: require_strong = no
 mschap: with_ntdomain_hack = no
 mschap: passwd = "(null)"
 mschap: ntlm_auth = "(null)"
Module: Instantiated mschap (mschap)
Module: Loaded System
 unix: cache = no
 unix: passwd = "(null)"
 unix: shadow = "(null)"
 unix: group = "(null)"
 unix: radwtmp = "/var/log/radwtmp"
 unix: usegroup = no
 unix: cache_reload = 600
Module: Instantiated unix (unix)
Module: Loaded eap
 eap: default_eap_type = "md5"
 eap: timer_expire = 60
 eap: ignore_unknown_eap_types = no
 eap: cisco_accounting_username_bug = no
rlm_eap: Loaded and initialized type md5
rlm_eap: Loaded and initialized type leap
 gtc: challenge = "Password: "
 gtc: auth_type = "PAP"
rlm_eap: Loaded and initialized type gtc
 mschapv2: with_ntdomain_hack = no
rlm_eap: Loaded and initialized type mschapv2
Module: Instantiated eap (eap)
Module: Loaded preprocess
 preprocess: huntgroups = "/usr/local/etc/raddb/huntgroups"
 preprocess: hints = "/usr/local/etc/raddb/hints"
 preprocess: with_ascend_hack = no
 preprocess: ascend_channels_per_line = 23
 preprocess: with_ntdomain_hack = no
 preprocess: with_specialix_jetstream_hack = no
 preprocess: with_cisco_vsa_hack = no
 preprocess: with_alvarion_vsa_hack = no
Module: Instantiated preprocess (preprocess)
Module: Loaded realm
 realm: format = "suffix"
 realm: delimiter = "@"
 realm: ignore_default = no
 realm: ignore_null = no
Module: Instantiated realm (suffix)
Module: Loaded files
 files: usersfile = "/usr/local/etc/raddb/users"
 files: acctusersfile = "/usr/local/etc/raddb/acct_users"
 files: preproxy_usersfile = "/usr/local/etc/raddb/preproxy_users"
 files: compat = "no"
Module: Instantiated files (files)
Module: Loaded SQL
 sql: driver = "rlm_sql_mysql"
 sql: server = "localhost"
 sql: port = ""
 sql: login = "root"
 sql: password = "пароль рута"
 sql: radius_db = "bill"
 sql: nas_table = "nas"
 sql: sqltrace = no
 sql: sqltracefile = "/var/log/sqltrace.sql"
 sql: readclients = no
 sql: deletestalesessions = yes
 sql: num_sql_socks = 5
 sql: sql_user_name = "%{User-Name}"
 sql: default_user_profile = ""
 sql: query_on_not_found = no
 sql: authorize_check_query = "call radcheck('%{SQL-User-Name}')"
 sql: authorize_reply_query = "call radreply('%{SQL-User-Name}')"
 sql: authorize_group_check_query = ""
 sql: authorize_group_reply_query = ""
 sql: accounting_onoff_query = ""
 sql: accounting_update_query = "call radupdate('%{SQL-User-Name}')"
 sql: accounting_update_query_alt = ""
 sql: accounting_start_query = ""
 sql: accounting_start_query_alt = ""
 sql: accounting_stop_query = "call radstop('%{SQL-User-Name}')"
 sql: accounting_stop_query_alt = ""
 sql: group_membership_query = ""
 sql: connect_failure_retry_delay = 60
 sql: simul_count_query = ""
 sql: simul_verify_query = ""
 sql: postauth_query = ""
 sql: safe-characters = "@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-_: /"
rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked
rlm_sql (sql): Attempting to connect to root@localhost:/bill
rlm_sql (sql): starting 0
rlm_sql (sql): Attempting to connect rlm_sql_mysql #0
rlm_sql_mysql: Starting connect to MySQL server for #0
rlm_sql (sql): Connected new DB handle, #0
rlm_sql (sql): starting 1
rlm_sql (sql): Attempting to connect rlm_sql_mysql #1
rlm_sql_mysql: Starting connect to MySQL server for #1
rlm_sql (sql): Connected new DB handle, #1
rlm_sql (sql): starting 2
rlm_sql (sql): Attempting to connect rlm_sql_mysql #2
rlm_sql_mysql: Starting connect to MySQL server for #2
rlm_sql (sql): Connected new DB handle, #2
rlm_sql (sql): starting 3
rlm_sql (sql): Attempting to connect rlm_sql_mysql #3
rlm_sql_mysql: Starting connect to MySQL server for #3
rlm_sql (sql): Connected new DB handle, #3
rlm_sql (sql): starting 4
rlm_sql (sql): Attempting to connect rlm_sql_mysql #4
rlm_sql_mysql: Starting connect to MySQL server for #4
rlm_sql (sql): Connected new DB handle, #4
Module: Instantiated sql (sql)
Module: Loaded Acct-Unique-Session-Id
 acct_unique: key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
Module: Instantiated acct_unique (acct_unique)
Module: Loaded detail
 detail: detailfile = "/var/log/radacct/%{Client-IP-Address}/detail-%Y%m%d"
 detail: detailperm = 384
 detail: dirperm = 493
 detail: locking = no
Module: Instantiated detail (detail)
Module: Loaded radutmp
 radutmp: filename = "/var/log/radutmp"
 radutmp: username = "%{User-Name}"
 radutmp: case_sensitive = yes
 radutmp: check_with_nas = yes
 radutmp: perm = 384
 radutmp: callerid = yes
Module: Instantiated radutmp (radutmp)
Listening on authentication *:1812
Listening on accounting *:1813
Ready to process requests.

Вот что radiusd -X выдал

Код:

[root@bill ~]# radiusd -X
Starting - reading configuration files ...
reread_config:  reading radiusd.conf
Config:   including file: /usr/local/etc/raddb/proxy.conf
Config:   including file: /usr/local/etc/raddb/clients.conf
Config:   including file: /usr/local/etc/raddb/snmp.conf
Config:   including file: /usr/local/etc/raddb/eap.conf
Config:   including file: /usr/local/etc/raddb/sql.conf
 main: prefix = "/usr/local"
 main: localstatedir = "/var"
 main: logdir = "/var/log"
 main: libdir = "/usr/local/lib"
 main: radacctdir = "/var/log/radacct"
 main: hostname_lookups = no
 main: max_request_time = 30
 main: cleanup_delay = 5
 main: max_requests = 1024
 main: delete_blocked_requests = 0
 main: port = 0
 main: allow_core_dumps = no
 main: log_stripped_names = no
 main: log_file = "/var/log/radius.log"
 main: log_auth = no
 main: log_auth_badpass = no
 main: log_auth_goodpass = no
 main: pidfile = "/var/run/radiusd/radiusd.pid"
 main: user = "freeradius"
 main: group = "freeradius"
 main: usercollide = no
 main: lower_user = "no"
 main: lower_pass = "no"
 main: nospace_user = "no"
 main: nospace_pass = "no"
 main: checkrad = "/usr/local/sbin/checkrad"
 main: proxy_requests = yes
 proxy: retry_delay = 5
 proxy: retry_count = 3
 proxy: synchronous = no
 proxy: default_fallback = yes
 proxy: dead_time = 120
 proxy: post_proxy_authorize = no
 proxy: wake_all_if_all_dead = no
 security: max_attributes = 200
 security: reject_delay = 1
 security: status_server = no
 main: debug_level = 0
read_config_files:  reading dictionary
read_config_files:  reading naslist
Using deprecated naslist file.  Support for this will go away soon.
read_config_files:  reading clients
read_config_files:  reading realms
There appears to be another RADIUS server running on the authentication port 1812

В настройках мтика всё нормально

clients.conf

Код:

client 94.154.212.154 {
        secret      = 123456
        shortname   = adm
        nastype     = MikroTik
}

sql.conf

Код:

#
#  Configuration for the SQL module, when using MySQL.
#
#  The database schema is available at:
#
#	doc/examples/mysql.sql
#
#  If you are using PostgreSQL, please use 'postgresql.conf', instead.
#  If you are using Oracle, please use 'oracle.conf', instead.
#  If you are using MS-SQL, please use 'mssql.conf', instead.
#
#  $Id$
#
sql {
	# Database type
	# Current supported are: rlm_sql_mysql, rlm_sql_postgresql,
	# rlm_sql_iodbc, rlm_sql_oracle, rlm_sql_unixodbc, rlm_sql_freetds
	driver = "rlm_sql_mysql"

	# Connect info
	server = "localhost"
	login = "root"
	password = "рутовский пароль"

	# Database table configuration
	radius_db = "bill"

	# If you want both stop and start records logged to the
	# same SQL table, leave this as is.  If you want them in
	# different tables, put the start table in acct_table1
	# and stop table in acct_table2
	acct_table1 = "radacct"
	acct_table2 = "radacct"

	# Allow for storing data after authentication
	postauth_table = "radpostauth"

	authcheck_table = "radcheck"
	authreply_table = "radreply"

	groupcheck_table = "radgroupcheck"
	groupreply_table = "radgroupreply"

	usergroup_table = "usergroup"

	# Table to keep radius client info
	nas_table = "nas"

	# Remove stale session if checkrad does not see a double login
	deletestalesessions = yes

	# Print all SQL statements when in debug mode (-x)
	sqltrace = no
	sqltracefile = ${logdir}/sqltrace.sql

	# number of sql connections to make to server
	num_sql_socks = 5

	# number of seconds to dely retrying on a failed database
	# connection (per_socket)
	connect_failure_retry_delay = 60

	# Safe characters list for sql queries. Everything else is replaced
	# with their mime-encoded equivalents.
	# The default list should be ok
	#safe-characters = "@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-_: /"

	#######################################################################
	#  Query config:  Username
	#######################################################################
	# This is the username that will get substituted, escaped, and added
	# as attribute 'SQL-User-Name'.  '%{SQL-User-Name}' should be used below
	# everywhere a username substitution is needed so you you can be sure
	# the username passed from the client is escaped properly.
	#
	#  Uncomment the next line, if you want the sql_user_name to mean:
	#
	#    Use Stripped-User-Name, if it's there.
	#    Else use User-Name, if it's there,
	#    Else use hard-coded string "DEFAULT" as the user name.
	#sql_user_name = "%{Stripped-User-Name:-%{User-Name:-DEFAULT}}"
	#
	sql_user_name = "%{User-Name}"

	#######################################################################
	#  Default profile
	#######################################################################
	# This is the default profile. It is found in SQL by group membership.
	# That means that this profile must be a member of at least one group
	# which will contain the corresponding check and reply items.
	# This profile will be queried in the authorize section for every user.
	# The point is to assign all users a default profile without having to
	# manually add each one to a group that will contain the profile.
	# The SQL module will also honor the User-Profile attribute. This
	# attribute can be set anywhere in the authorize section (ie the users
	# file). It is found exactly as the default profile is found.
	# If it is set then it will *overwrite* the default profile setting.
	# The idea is to select profiles based on checks on the incoming packets,
	# not on user group membership. For example:
	# -- users file --
	# DEFAULT	Service-Type == Outbound-User, User-Profile := "outbound"
	# DEFAULT	Service-Type == Framed-User, User-Profile := "framed"
	#
	# By default the default_user_profile is not set
	#
	#default_user_profile = "DEFAULT"
	#
	# Determines if we will query the default_user_profile or the User-Profile
	# if the user is not found. If the profile is found then we consider the user
	# found. By default this is set to 'no'.
	#
	#query_on_not_found = no

	#######################################################################
	#  Authorization Queries
	#######################################################################
	#  These queries compare the check items for the user
	#  in ${authcheck_table} and setup the reply items in
	#  ${authreply_table}.  You can use any query/tables
	#  you want, but the return data for each row MUST
	#  be in the  following order:
	#
	#  0. Row ID (currently unused)
	#  1. UserName/GroupName
	#  2. Item Attr Name
	#  3. Item Attr Value
	#  4. Item Attr Operation
	#######################################################################
	# Use these for case sensitive usernames.
#	authorize_check_query = "SELECT id, UserName, Attribute, Value, op \
#         FROM ${authcheck_table} \
#         WHERE Username = BINARY '%{SQL-User-Name}' \
#         ORDER BY id"
#	authorize_reply_query = "SELECT id, UserName, Attribute, Value, op \
#         FROM ${authreply_table} \
#         WHERE Username = BINARY '%{SQL-User-Name}' \
#         ORDER BY id"

authorize_check_query = "call radcheck('%{SQL-User-Name}')"
authorize_reply_query = "call radreply('%{SQL-User-Name}')"
accounting_update_query = "call radupdate('%{SQL-User-Name}')"
accounting_stop_query = "call radstop('%{SQL-User-Name}')"

}

В радиусе микротика указал тот пароль что в clients.conf

и как в мтие проверить работоспособность ррр

Lavi огромное спасибо что вы даёте ответы на мои вопросы, но если можно коротко и ясно описать что и как для этого нужно сделать, что бы у меня в сети работало PPPoE и что бы клиентские PC могли авторизоваться через штатный L2

Объясню что я сделал!
 


Радиус поднял по доке на сервере с nodeny, связь микротика с радиус сервером есть, но авторизоваться не могу,
на сервере в логах в /var/log/radacct/XXX.XXX.XXX.XXX/detail-20121203 присутствует вот что
        
   Acct-Status-Type = Accounting-On
   NAS-Identifier = "MikroTik"
   Acct-Delay-Time = 0
   NAS-IP-Address = XXX.XXX.XXX.XXX
   Client-IP-Address = XXX.XXX.XXX.XXX
   Acct-Unique-Session-Id = "df7b26d1f6add60c"
   Timestamp = 1354487218

В radius.log вот что

        Mon Dec  3 00:26:58 2012 : Info: rlm_radutmp: NAS NoDenyDB restarted (Accounting-On packet seen)
        Mon Dec  3 00:26:58 2012 : Info: rlm_sql (sql): received Acct On/Off packet

На микротике в radius->  Status

        Pending        : 0
        Reguests      : 3
        Accepts       : 1
        Rejects        : 0
        Resends       : 0
        Timeouts      : 2
        Bad Replies   : 0
        last Reguest RTT: 10

В настройках сателлиты коротая для микротика, в разделе Агент L2-авторизации-> id групп клиентов которых необходимо авторизовывать, написал групу с которой работаю в сети мкротика,

в настройках L2 пробовал вписать ip шлюз микротика, ещё пробовал внешний ip микротика, глупо но пробовал даже ip сервера nodeny, глупо потому что ясно что если клиент не авторизован то у него нета нет, тоя ясно что выхода на внешку нет, честно я в тупике, проклинаю тот день когда за это хозяйство взялся, да и нормально ни кто не объяснит подробно это делается, в доке не видел раздел что нв сателлиты микротик речь шла об авторизаторе в сети микротик.

На другой сателлите которая на ФриБСД нормально авторизуется клиенты через L2, значит на сервере с ядром nodeny всё ok! 

Честно говоря я ничего не понял, единственное по вашим словам Lavi что я понял что либо PPPoE либо авторизатор и какой штатный L2 или есть для микротика какой-то? и ещё, я так понимаю что всем этим хозяйством организовывается через радиус на сервере с ядром или нет? или ещё что-то нужно задействовать что бы мою задачу решить, я просто не пробовал что место авторизатора в роутере используется, честно говоря не пойму принцип работы L2, я бы мог использовать PPPoE но есть загвоздка не хочу на клиентских  PC использовать PPPoE, PPPoE хочу использовать сугубо для роутерах, а L2 для клиентских PC и это всё у клиентов в сети сателлиты микротик 

тут нужно выбирать, либо доступ всегда, а файрволом блокируется, либо доступ PPP, в частности через pppoe, который будет работать например через radius с биллингом.
в первом случае авторизатор это клиентская часть программы + серверная часть, работающая например на биллинг сервере.

Спасибо за ответ! Я правильно вас понял что штатный авторизатор в сети микротик не получится в сети микротика? Микротик работает как сателлита nodeny