Mikrotik ipoe + dhcp + radius

[Efendy]

Написал документацию для микротика:

* dhcp + радиус
* заглушка
* управление фаерволом и скоростями

http://nodeny.com.ua:8080/wiki/index.php/%D0%9C%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA

Тестировал все на стенде: виртуалка freebsd как админка и радиус-сервер, виртуалка freebsd как абонент, линукс как абонент, микротик. Потом поменял freebsd местами и настроил абонента как админку и радиус-сервер - прогнал все по доке, внес коррективы, все перепроверил. Мак эир на котором запускались виртуалки пыхтел как паровоз.

Хотелось бы, что кто-то повторил это в бою и отписался.

[k291]

Настроил все по инструкции, с заменой серого IP Микротика на белый.
Все запустило без ошибок за исключением того, что Микротик при подключении клиента, в логах выдает ошибку "dhcp1: radius authentication failed for radius server is not responding F4:6D:04:CD:6D:B7 RADIUS server is not responding"

На сервере:(217.55.00.254 -ip микротика)

Код:

# tcpdump -i igb1 -p -n udp port 1812
00:20:10.673778 IP 217.55.00.254.34487 > 217.55.00.242.1812: RADIUS, Access Request (1), id: 0x63 length: 112
00:20:10.974257 IP 217.55.00.254.34487 > 217.55.00.242.1812: RADIUS, Access Request (1), id: 0x63 length: 112
00:20:11.274737 IP 217.55.00.254.34487 > 217.55.00.242.1812: RADIUS, Access Request (1), id: 0x63 length: 112

[Efendy]

Фаервол на сервере с радиусом пропускает udp на порт 1812?

[k291]

Фаервол на сервере с радиусом пропускает udp на порт 1812?

Виноват!
помогла добавление правила:

Код:

${f} add 450 allow udp from 217.55.00.254 to any 1812,1813 in

Проверяю дальше

[k291]

Включение/выключение доступа в интернет

На микротик включаем NAT и разрешаем натить только те ip, которые будут в списке goodboys

В RouterOS v.6.31 на CCR1009-8G-1S-1S+, клиентов в интернет пускает только если убрать out-interface

Код:

/ip service enable api
/ip firewall nat add action=masquerade chain=srcnat disabled=no src-address=10.1.0.0/16 src-address-list=goodboys

[k291]

Заметил следующее:
1) на странице клиента, через 150 секунд(Обновление авт.), пропадает зеленый ключик возле IP. После начинается обратный отсчет "Будет освобожден через 149 секунд".
1.1) в "Последняя авторизация", старт и завершение в одно и тоже время. через = 5 минут.
2) За текущий день нет двунаправленного трафика
3) не ping-тся IP клиента

[Efendy]

Модуль dhcp в kernel.pl запущен? Нужно все делать строго по документации

[k291]

Модуль dhcp в kernel.pl запущен? Нужно все делать строго по документации

проверил все по инструкции. сделал все по новой, перезагружал сервер. но проблема 1-3 осталось.

Код:

# perl nokernel.pl -L
dhcp                       YES

Код:

# ps ax | grep radi
1835  -  Is     0:00,01 /usr/local/sbin/radiusd
2800  0  S+     0:00,00 grep radi

Код:

]# ps ax | grep no
1398 v0- S      0:04,93 /usr/bin/perl /usr/local/nodeny/noserver.pl -d (perl5.16.3)
1399 v0- S      0:33,36 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d (perl5.16.3)
1400 v0- R      8:06,42 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=cap -d (perl5.16.3)
1401 v0- R      8:08,34 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=pingserver -d (perl5.16.3)
1425 v0- S      0:17,62 /usr/bin/perl /usr/local/nodeny/noserver.pl -g=mikrotik.cfg.pm -d (perl5.16.3)

Может это связано с:

# radiusd -X
............................................
++[sql] = ok
+} # group authorize = ok
WARNING: Please update your configuration, and remove 'Auth-Type = Local'
WARNING: Use the PAP or CHAP modules instead.
User-Password in the request is correct.
# Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/nodeny
+group post-auth {
............................................

[Efendy]

Если зеленый ключик появился - с радиусом все ок. Если бы это было pppoe, то там каждую минуту радиус посылал accounting пакеты (информацию о скаченном трафике). При этом сам трафик игнорируются, зато сам факт его посылки интерпретируется  NoDeny  как то, что клиент не отвалился. Биллинг обновляет информацию об авторизации и ключик продолжает быть зеленым.

В случае с dhcp, как мне сказали, аккаунтинг пакеты не посылаются. Поэтому зеленый ключик "поддерживается" модулем ядра dhcp  -  он каждые несколько минут "говорит" "клиент авторизован". Подозрение, что он у тебя или не запущен или не работает

[k291]

dhcp модуль работает, по нему клиенты получают IP:

Код:

# perl nokernel.pl -L
dhcp                       YES

Также пробовал запустить его вручную, результат тот же, проверка проходит 1н раз в = 5минут.В результате, на 150секнд, появляется зеленый ключик
h_ttp://s020.radikal.ru/i709/1508/82/cefea1b9bd80.png
h_ttp://s018.radikal.ru/i514/1508/6f/8fa7f0273088.png
-----------
PING также не работает, скорей всего из за отсутствия accounting

[VitalVas]

В микротика в подсистеме dhcp нет аккаутинга, потому-что не создается виртуальный интерфейс, на который обычно вешают эти самые счетчики.
Грубо говоря связка dhcp-radius работает как обычнй dhcp-relay, но с немного расширенными возможностями.

Если нужно что-то типа accouting для такой схемы - можно пойти по несколько направлений:
1) принимать netflow - самый правильный вариант
2) создавать правила в фаерволе и так считать - может жить на небольшом количестве абонов

PING также не работает, скорей всего из за отсутствия accounting

у тебя не едет машина, потому-что нет зонтика?

[k291]

Фаервол на сервере с радиусом пропускает udp на порт 1812?

Виноват!
помогла добавление правила:

Код:

${f} add 450 allow udp from 217.55.0.254 to any 1812,1813 in

Проверяю дальше

Поправка:

Код:

ipfw add 70 allow udp from 217.55.0.250 to any dst-port 1812,1813 in

[fet4]

Все работает по данной инструкции. А как авторизировать в данном случае по option82 или vlan например?

[sever]

Все работает по данной инструкции. А как авторизировать в данном случае по option82 или vlan например?

У тебя логином выступает имя влан интерфейса с которого пришел запрос, паролем в таком случае тоже можно сделать его в случае влан на клиента.

[fet4]

И как у Вас в таком случае в учетке абонента указан не мак, а vlan его?