Связка Juniper MX80 и Nodeny Plus

[NodenY45]

У когото есть рабочая связка Juniper Bras + NodenyPlus ? IPoE+Opt82

[Warlock]

В чем вопрос? Тебе нужна помощь в настройке?
У тебя джунипер уже на руках? Отошли вывод show chassis hardware на juniper@nag.ru и попадешь в скрытый раздел. Там описывается настройка ipoe и пр. А дальше уже связываешь с билингом.

[NodenY45]

В чем вопрос? Тебе нужна помощь в настройке?
У тебя джунипер уже на руках? Отошли вывод show chassis hardware на juniper@nag.ru и попадешь в скрытый раздел. Там описывается настройка ipoe и пр. А дальше уже связываешь с билингом.

В закрытом разделе уже есть)
Настроил demux+ dynamic-profile + dhcp-relay от ноуденай+  теперь требуется чтобы согласно балансу клиента на МХ передавалась инфа кого пускать, а кого нет.
Установил freeradius, подвязал к МХ, но как только идет запрос от клиента на выдачу айпи МХ обращается к радиусу, он и не может авторизовать клиента, и соответственно не выдает ISC-DHCP айпи адреса через релей.

Мне нужна подсказка, как связать radius с ноуденай+?

[NodenY45]

Вот прилетает запрос на радиус, но ни айпи не выдает гостевой не текущую связку не авторизует.
Я так понимаю надо смотреть в mysql процедуры radiusa?

Код:

rad_recv: Access-Request packet from host 192.168.12.1 port 63238, id=51, length=284
	User-Name = "985a.ebc8.c8a4"
	User-Password = "hardpass5"
	Service-Type = Framed-User
	Chargeable-User-Identity = ""
	Acct-Session-Id = "110"
	ERX-Dhcp-Options = 0x350101370a017903060f77fc5f2c2e390205dc3d0701985aebc8c8a433040076a7000c0d4d6163426f6f6b2d50726f2d32521201060004000c010302080006001da141aa00
	ERX-Dhcp-Gi-Address = 10.0.101.1
	ERX-Dhcp-Mac-Addr = "985a.ebc8.c8a4"
	NAS-Identifier = "border"
	NAS-Port = 281018380
	NAS-Port-Id = "ge-1/1/3.1073741878:12"
	NAS-Port-Type = Ethernet
	ERX-Pppoe-Description = "pppoe 98:5a:eb:c8:c8:a4"
	ADSL-Agent-Circuit-Id = 0x0004000c0103
	ADSL-Agent-Remote-Id = 0x0006001da141aa00
	NAS-IP-Address = 192.168.12.1
# Executing section authorize from file /usr/local/etc/raddb/sites-enabled/nodeny

Вроде все что надо тут есть

Код:

	ERX-Dhcp-Mac-Addr = "985a.ebc8.c8a4"
ADSL-Agent-Circuit-Id = 0x0004000c0103
	ADSL-Agent-Remote-Id = 0x0006001da141aa00

[Warlock]

Чисто теоретически, ты должен с радиусу послать что-то типа:

Код:

User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там'

соответственно, ты должен создать 2 профайла: гостевой и дающий доступ в инет

[NodenY45]

На данный момент читаю доку по связке Ноденай с микротиком, настроил Радиус и дхцп на самом МХ.
Если не включать радиус на МХ то айпи адреса выдает нормально. Как только включаешь, идет запрос по маку клиента в БД(там сделал учетку и привязал статический айпи и мак)-дальше радиус отвечает айпи клиента и все, ступор.
Не пойму что я делаю не так.

[NodenY45]

Чисто теоретически, ты должен с радиусу послать что-то типа:

Код:

User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там'

соответственно, ты должен создать 2 профайла: гостевой и дающий доступ в инет

Теоретически как это делается? Данные в бд хранятся? или в файле?

[NodenY45]

Чисто теоретически, ты должен с радиусу послать что-то типа:

Код:

User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там'

соответственно, ты должен создать 2 профайла: гостевой и дающий доступ в инет

Теоретически как это делается? Данные в бд хранятся? или в файле? -(User-Name = "985a.ebc8.c8a4", ERX-Service-Activate:1='что-то там')

[NodenY45]

Шли дни)

Сначала была настроена локальная авторизация пользователей на MX80, далее этап авторизации радиусом, и на нем затык.
ДХЦП настроен на МХ.

Радиус ставил по этому мануалу http://nodeny.com.ua:8080/wiki/index.php/Dhcp%2BRadius

Ответ от радиуса с айпишинком приходит но почему то с "Sending Access-Reject" подскажите как сделать Accept?

Код:

Sending delayed reject for request 1
Sending Access-Reject of id 89 to 10.100.100.1 port 58364
	Service-Type = Framed-User
	Framed-IP-Address = 10.100.100.5
	Acct-Interim-Interval = 600
Waking up in 4.9 seconds.

По МХ такие вот логи

Код:

Oct 24 09:53:02.157585 Verify source address b074c003 (10.100.100.1) in routing instance index=0
Oct 24 09:53:02.157891 REQUEST: AUTHEN - module_index 0 module(radius) return: ASYNC
Oct 24 09:53:02.157950 Auth-FSM: GRES-Mirror for session-id:911 state:AuthStart(1)
Oct 24 09:53:03.070888 serviceRadiusRequestQueues Serviced 1 RADIUS requests
Oct 24 09:53:03.070963 serviceRadiusRequestQueues Queue local has 0 requests, peak is 0
Oct 24 09:53:03.071001 serviceRadiusRequestQueues Queue sbr has 0 requests, peak is 0
Oct 24 09:53:03.159551 authd_radius_get_config:Using radius option config from access profile stanza
Oct 24 09:53:03.159649 loadDefaultService:: default service for the subscriber is empty
Oct 24 09:53:03.159688 Radius result is CLIENT_REQ_STATUS_SUCCESS
Oct 24 09:53:03.159736 Parsing RADIUS message for session-id:911
Oct 24 09:53:03.159797 radius-access-reject: Framed-IP-Address received: 10.100.100.5
Oct 24 09:53:03.159856 radius-access-reject: Session-Timeout received: 600
Oct 24 09:53:03.159909 Framework - module(radius) return: FAILURE
Oct 24 09:53:03.159945 authd_advance_module_for_aaa_response_msg: result:3
Oct 24 09:53:03.159999 ../../../../../src/junos/usr.sbin/authd/aaa-service/authd_aaa_astable.cc:1650 Client-session response-attr:: type:21 len:4
Oct 24 09:53:03.160118 Auth-FSM: reinterpretFsmEvent 4 to 5
Oct 24 09:53:03.160163 AuthFsm::current state=AuthStart(1) event=5 astEntry=0x20d906c aaa msg=0x1f7006c
Oct 24 09:53:03.160198 Auth-FSM: Post the Auth-Response and clean up. session-id:911
Oct 24 09:53:03.160233 Framework: auth result is 2. Performing post-auth operations
Oct 24 09:53:03.160265 Framework: result is 2.
Oct 24 09:53:03.160301 authd_auth_send_answer: conn=2bfc000, reply-code=2 (FAIL), result-subopcode=2 (SESSION_ACTIVATE), sub-id=911, cookie=65781, rply_len=3972, num_tlv_blocks=2
Oct 24 09:53:03.160395 Delete session: 911
Oct 24 09:53:03.160433 Begin to logout Subscriber
Oct 24 09:53:03.160513 Removing client snapshot
Oct 24 09:53:03.160649 authd_auth_aaa_msg_destroy
Oct 24 09:53:03.160702 authd_auth_aaa_msg_destructauth_aaa_msg: 0x1f7006c
Oct 24 09:53:03.160739 authd_write_conn: response is 0x2bfc05c, total len is 3972 and sent is 0
Oct 24 09:53:03.160798 authd_write_conn: response is 0x2bfc05c, wrote 3972 bytes

По радиусу пишет ошибки хотя все строго по мануалу (заменил только в процедуре : на . в логине)

Код:

[sql] 	expand: call radcheck('%{User-Name}') -> call radcheck('2892.4a23.b7c8')
[sql] User found in radcheck table
[sql] 	expand: call radreply('%{User-Name}') -> call radreply('2892.4a23.b7c8')
rlm_sql (sql): Released sql socket id: 3
++[sql] = ok
+} # group authorize = ok
WARNING: Please update your configuration, and remove 'Auth-Type = Local'
WARNING: Use the PAP or CHAP modules instead.
User-Password in the request does NOT match "known good" password.
Failed to authenticate the user.
Using Post-Auth-Type Reject
WARNING: Unknown value specified for Post-Auth-Type.  Cannot perform requested action.
# Executing group from file /usr/local/etc/raddb/sites-enabled/nodeny
Delaying reject of request 1 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.

На данный момент скинул настройки фрирадиуса в дефолт.
Прописал юзера в файл и его авторизовало.

Код:

2892.4a23.b7c8  Cleartext-Password := "IPoE-Opt82"
                ERX-Egress-Policy-Name = "POLICER-5M",
                ERX-Ingress-Policy-Name = "POLICER-5M"

Буду смотреть дальше.

[goletsa]

Код:

User-Password in the request does NOT match "known good" password.
Failed to authenticate the user

Вы с аутентификацией не закончили.
Разберитесь с ней до конца.
Может он просто не доходит то запроса из базы.
Или возвращает не то что надо
Что у вас будет если сделать call radcheck('mac.adres.ss') напрямую на sql сервере?

[NodenY45]

Код:

User-Password in the request does NOT match "known good" password.
Failed to authenticate the user

Вы с аутентификацией не закончили.
Разберитесь с ней до конца.
Может он просто не доходит то запроса из базы.
Или возвращает не то что надо
Что у вас будет если сделать call radcheck('mac.adres.ss') напрямую на sql сервере?

Выдает данные с IP адресом. То есть конект есть.
Сейчас уже дошел до активации сервиса 

Код:

2892.4a23.b7c8  Cleartext-Password := "IPoE-Opt82"
               Framed-IP-Address = 10.100.100.5,
               ERX-Service-Activate:1 = "svc-global-ipoe(50m,50m,,,,)"
               ERX-Virtual-Router-Name = default:default

Теперь пытаюсь применять разную скорость через COA, на МХ-е настройки прописал чтобы принимало, но шлю команды - скорость не меняется.
Шлю так, по айди сессии

Код:

echo 'Acct-Session-Id ="1024",ERX-Service-Activate:1="svc-global-ipoe(10m,10m)" ' | radclient -x 127.0.0.1 coa hardpass5

Есть ли еще что мог не досмотреть?

[goletsa]

Код:

Выдает данные с IP адресом. То есть конект есть.

Код:

User-Password in the request does NOT match "known good" password.
Failed to authenticate the user.
Using Post-Auth-Type Reject

Что толку если он выдает Reject.
Или решили эту проблему?

[NodenY45]

Код:

Выдает данные с IP адресом. То есть конект есть.

Код:

User-Password in the request does NOT match "known good" password.
Failed to authenticate the user.
Using Post-Auth-Type Reject

Что толку если он выдает Reject.
Или решили эту проблему?

Reject выдавало когда сделал по мануалу nodeny.
Сейчас скинул в дефолт фрирадиус, и настраиваю через файл ЮЗЕРС без БД
Как я делаю:
1.Включаю сетевую на ПК, он делает ДХЦП запрос на МХ
2.МХ спрашивает у РАДИУСа есть ли такой клиент в файле ЮЗЕРС по маку, и передает ему атрибуты с файла
3.МХ авторизует его у себя поднимая динамический интерфейс SVLAN и создает под клиента DEMUX и уже на него вешает динамический профиль с определенной скоростью.

Проблема:
при попытки смены атрибутов скорости через COA командой

Код:

[root@localhost /usr/local/nodeny]# echo 'Acct-Session-Id ="1026",ERX-Service-Activate:1="svc-global-ipoe(10m,10m)" ' | radclient -x 127.0.0.1 coa hardpass5
Sending CoA-Request of id 43 to 127.0.0.1 port 3799
	Acct-Session-Id = "1026"
	ERX-Service-Activate:1 = "svc-global-ipoe(10m,10m)"
rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=43, length=20

Получаем в логах радиуса такое

Код:

Ready to process requests.
rad_recv: CoA-Request packet from host 127.0.0.1 port 26545, id=43, length=59
	Acct-Session-Id = "1026"
	ERX-Service-Activate:1 = "svc-global-ipoe(10m,10m)"
server coa {
# Executing section recv-coa from file /usr/local/etc/raddb/sites-enabled/coa
+group recv-coa {
++[ok] = ok
+} # group recv-coa = ok
# Executing section send-coa from file /usr/local/etc/raddb/sites-enabled/coa
+group send-coa {
++[ok] = ok
+} # group send-coa = ok
} # server coa
Sending CoA-ACK of id 43 to 127.0.0.1 port 26545
Finished request 5.
Going to the next request
Cleaning up request 5 ID 43 with timestamp +179
Ready to process requests.

Но атрибуты я так понимаю не пересылаются на МХ, так как динамический профиль остается такой же.

[goletsa]

Для смены профиля надо сначала одним запросом передать Deactivate, потом другим - Activate.
И я User-Name вместо Seesion-Id испольвзовал. Но это скорее вопрос удоства.

[Warlock]

Для смены профиля надо сначала одним запросом передать Deactivate, потом другим - Activate.
И я User-Name вместо Seesion-Id испольвзовал. Но это скорее вопрос удоства.

User-Name на новых прошивках не работает. Только через Session-Id