Биллинговая система Nodeny
22 Ноября 2024, 18:35:02 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: Mikrotik ipoe + dhcp + radius  (Прочитано 12927 раз)
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« : 23 Августа 2015, 16:32:16 »

Написал документацию для микротика:

* dhcp + радиус
* заглушка
* управление фаерволом и скоростями

http://nodeny.com.ua:8080/wiki/index.php/%D0%9C%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA

Тестировал все на стенде: виртуалка freebsd как админка и радиус-сервер, виртуалка freebsd как абонент, линукс как абонент, микротик. Потом поменял freebsd местами и настроил абонента как админку и радиус-сервер - прогнал все по доке, внес коррективы, все перепроверил. Мак эир на котором запускались виртуалки пыхтел как паровоз.

Хотелось бы, что кто-то повторил это в бою и отписался.
« Последнее редактирование: 25 Декабря 2016, 17:27:24 от Efendy » Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #1 : 24 Августа 2015, 23:25:44 »

Настроил все по инструкции, с заменой серого IP Микротика на белый.
Все запустило без ошибок за исключением того, что Микротик при подключении клиента, в логах выдает ошибку "dhcp1: radius authentication failed for radius server is not responding F4:6D:04:CD:6D:B7 RADIUS server is not responding"

На сервере:(217.55.00.254 -ip микротика)
Код:
# tcpdump -i igb1 -p -n udp port 1812
00:20:10.673778 IP 217.55.00.254.34487 > 217.55.00.242.1812: RADIUS, Access Request (1), id: 0x63 length: 112
00:20:10.974257 IP 217.55.00.254.34487 > 217.55.00.242.1812: RADIUS, Access Request (1), id: 0x63 length: 112
00:20:11.274737 IP 217.55.00.254.34487 > 217.55.00.242.1812: RADIUS, Access Request (1), id: 0x63 length: 112
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #2 : 24 Августа 2015, 23:38:26 »

Фаервол на сервере с радиусом пропускает udp на порт 1812?
Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #3 : 25 Августа 2015, 00:03:12 »

Фаервол на сервере с радиусом пропускает udp на порт 1812?
Виноват!
помогла добавление правила:
Код:
${f} add 450 allow udp from 217.55.00.254 to any 1812,1813 in

Проверяю дальше
Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #4 : 25 Августа 2015, 00:34:59 »

Включение/выключение доступа в интернет

На микротик включаем NAT и разрешаем натить только те ip, которые будут в списке goodboys

В RouterOS v.6.31 на CCR1009-8G-1S-1S+, клиентов в интернет пускает только если убрать out-interface
Код:
/ip service enable api
/ip firewall nat add action=masquerade chain=srcnat disabled=no src-address=10.1.0.0/16 src-address-list=goodboys

Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #5 : 25 Августа 2015, 00:58:22 »

Заметил следующее:
1) на странице клиента, через 150 секунд(Обновление авт.), пропадает зеленый ключик возле IP. После начинается обратный отсчет "Будет освобожден через 149 секунд".
1.1) в "Последняя авторизация", старт и завершение в одно и тоже время. через = 5 минут.
2) За текущий день нет двунаправленного трафика
3) не ping-тся IP клиента
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #6 : 25 Августа 2015, 08:31:28 »

Модуль dhcp в kernel.pl запущен? Нужно все делать строго по документации
Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #7 : 26 Августа 2015, 02:12:42 »

Модуль dhcp в kernel.pl запущен? Нужно все делать строго по документации
проверил все по инструкции. сделал все по новой, перезагружал сервер. но проблема 1-3 осталось.
Код:
# perl nokernel.pl -L
dhcp                       YES
Код:
# ps ax | grep radi
1835  -  Is     0:00,01 /usr/local/sbin/radiusd
2800  0  S+     0:00,00 grep radi
Код:
]# ps ax | grep no
1398 v0- S      0:04,93 /usr/bin/perl /usr/local/nodeny/noserver.pl -d (perl5.16.3)
1399 v0- S      0:33,36 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d (perl5.16.3)
1400 v0- R      8:06,42 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=cap -d (perl5.16.3)
1401 v0- R      8:08,34 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=pingserver -d (perl5.16.3)
1425 v0- S      0:17,62 /usr/bin/perl /usr/local/nodeny/noserver.pl -g=mikrotik.cfg.pm -d (perl5.16.3)

Может это связано с:
Цитировать
# radiusd -X
............................................
++[sql] = ok
+} # group authorize = ok
WARNING: Please update your configuration, and remove 'Auth-Type = Local'
WARNING: Use the PAP or CHAP modules instead.
User-Password in the request is correct.
# Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/nodeny
+group post-auth {
............................................
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #8 : 26 Августа 2015, 10:16:12 »

Если зеленый ключик появился - с радиусом все ок. Если бы это было pppoe, то там каждую минуту радиус посылал accounting пакеты (информацию о скаченном трафике). При этом сам трафик игнорируются, зато сам факт его посылки интерпретируется  NoDeny  как то, что клиент не отвалился. Биллинг обновляет информацию об авторизации и ключик продолжает быть зеленым.

В случае с dhcp, как мне сказали, аккаунтинг пакеты не посылаются. Поэтому зеленый ключик "поддерживается" модулем ядра dhcp  -  он каждые несколько минут "говорит" "клиент авторизован". Подозрение, что он у тебя или не запущен или не работает
Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #9 : 28 Августа 2015, 22:23:11 »

dhcp модуль работает, по нему клиенты получают IP:
Код:
# perl nokernel.pl -L
dhcp                       YES
Также пробовал запустить его вручную, результат тот же, проверка проходит 1н раз в = 5минут.В результате, на 150секнд, появляется зеленый ключик
h_ttp://s020.radikal.ru/i709/1508/82/cefea1b9bd80.png
h_ttp://s018.radikal.ru/i514/1508/6f/8fa7f0273088.png
-----------
PING также не работает, скорей всего из за отсутствия accounting
Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #10 : 29 Августа 2015, 10:40:43 »

В микротика в подсистеме dhcp нет аккаутинга, потому-что не создается виртуальный интерфейс, на который обычно вешают эти самые счетчики.
Грубо говоря связка dhcp-radius работает как обычнй dhcp-relay, но с немного расширенными возможностями.

Если нужно что-то типа accouting для такой схемы - можно пойти по несколько направлений:
1) принимать netflow - самый правильный вариант
2) создавать правила в фаерволе и так считать - может жить на небольшом количестве абонов

PING также не работает, скорей всего из за отсутствия accounting
у тебя не едет машина, потому-что нет зонтика?
Записан
k291
Старожил
****

Карма: -10
Offline Offline

Сообщений: 455


Просмотр профиля
« Ответ #11 : 15 Мая 2016, 01:29:35 »

Фаервол на сервере с радиусом пропускает udp на порт 1812?
Виноват!
помогла добавление правила:
Код:
${f} add 450 allow udp from 217.55.0.254 to any 1812,1813 in

Проверяю дальше
Поправка:
Код:
ipfw add 70 allow udp from 217.55.0.250 to any dst-port 1812,1813 in
Записан
fet4
Старожил
****

Карма: 2
Offline Offline

Сообщений: 326


Просмотр профиля Email
« Ответ #12 : 23 Декабря 2016, 19:28:55 »

Все работает по данной инструкции. А как авторизировать в данном случае по option82 или vlan например?
Записан
sever
Пользователь
**

Карма: 1
Offline Offline

Сообщений: 82


Просмотр профиля
« Ответ #13 : 24 Декабря 2016, 12:57:51 »

Все работает по данной инструкции. А как авторизировать в данном случае по option82 или vlan например?
У тебя логином выступает имя влан интерфейса с которого пришел запрос, паролем в таком случае тоже можно сделать его в случае влан на клиента.
Записан
fet4
Старожил
****

Карма: 2
Offline Offline

Сообщений: 326


Просмотр профиля Email
« Ответ #14 : 25 Декабря 2016, 13:29:49 »

И как у Вас в таком случае в учетке абонента указан не мак, а vlan его?
Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!