stix
NoDeny
Спец
Карма: 72
 Offline
Сообщений: 1872
Nodeny Support Team
|
 |
« Ответ #60 : 01 Декабря 2012, 09:53:26 » |
|
они могут быть работать независимо друг от друга.
|
|
|
|
|
Записан
|
|
|
|
|
Seva
|
|
« Ответ #61 : 02 Декабря 2012, 06:00:18 » |
|
Честно говоря я ничего не понял, единственное по вашим словам Lavi что я понял что либо PPPoE либо авторизатор и какой штатный L2 или есть для микротика какой-то? и ещё, я так понимаю что всем этим хозяйством организовывается через радиус на сервере с ядром или нет? или ещё что-то нужно задействовать что бы мою задачу решить, я просто не пробовал что место авторизатора в роутере используется, честно говоря не пойму принцип работы L2, я бы мог использовать PPPoE но есть загвоздка не хочу на клиентских PC использовать PPPoE, PPPoE хочу использовать сугубо для роутерах, а L2 для клиентских PC и это всё у клиентов в сети сателлиты микротик
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #62 : 02 Декабря 2012, 11:23:44 » |
|
можешь использовать.
все вместе будет работать
|
|
|
|
|
Записан
|
|
|
|
|
Seva
|
|
« Ответ #63 : 03 Декабря 2012, 01:05:10 » |
|
Lavi огромное спасибо что вы даёте ответы на мои вопросы, но если можно коротко и ясно описать что и как для этого нужно сделать, что бы у меня в сети работало PPPoE и что бы клиентские PC могли авторизоваться через штатный L2
Объясню что я сделал!
Радиус поднял по доке на сервере с nodeny, связь микротика с радиус сервером есть, но авторизоваться не могу,
на сервере в логах в /var/log/radacct/XXX.XXX.XXX.XXX/detail-20121203 присутствует вот что
Acct-Status-Type = Accounting-On
NAS-Identifier = "MikroTik"
Acct-Delay-Time = 0
NAS-IP-Address = XXX.XXX.XXX.XXX
Client-IP-Address = XXX.XXX.XXX.XXX
Acct-Unique-Session-Id = "df7b26d1f6add60c"
Timestamp = 1354487218
В radius.log вот что
Mon Dec 3 00:26:58 2012 : Info: rlm_radutmp: NAS NoDenyDB restarted (Accounting-On packet seen)
Mon Dec 3 00:26:58 2012 : Info: rlm_sql (sql): received Acct On/Off packet
На микротике в radius-> Status
Pending : 0
Reguests : 3
Accepts : 1
Rejects : 0
Resends : 0
Timeouts : 2
Bad Replies : 0
last Reguest RTT: 10
В настройках сателлиты коротая для микротика, в разделе Агент L2-авторизации-> id групп клиентов которых необходимо авторизовывать, написал групу с которой работаю в сети мкротика,
в настройках L2 пробовал вписать ip шлюз микротика, ещё пробовал внешний ip микротика, глупо но пробовал даже ip сервера nodeny, глупо потому что ясно что если клиент не авторизован то у него нета нет, тоя ясно что выхода на внешку нет, честно я в тупике, проклинаю тот день когда за это хозяйство взялся, да и нормально ни кто не объяснит подробно это делается, в доке не видел раздел что нв сателлиты микротик речь шла об авторизаторе в сети микротик.
На другой сателлите которая на ФриБСД нормально авторизуется клиенты через L2, значит на сервере с ядром nodeny всё ok!
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #64 : 03 Декабря 2012, 08:03:20 » |
|
нужно проверять настройки радиус.
в частности проверить пароль, между микротиком и сервером, проверить clients.conf, чтобы был прописан ip микротика и sql.conf на наличие указанных в доке процедур.
дебаг радиус сервера делается так
radiusd -X
дальше смотреть, все будет предельно просто написано в логах.
возможно в настройках радиуса на микротике, ты не указал, что нужно его использоваться для ppp соединений.
судя по кусочку выложенного лога.
L2 авторизатор не трогай, они не связаны друг с другом
|
|
|
|
|
Записан
|
|
|
|
|
Seva
|
|
« Ответ #65 : 03 Декабря 2012, 13:33:16 » |
|
Вот что radiusd -X выдал [root@bill ~]# radiusd -X
Starting - reading configuration files ...
reread_config: reading radiusd.conf
Config: including file: /usr/local/etc/raddb/proxy.conf
Config: including file: /usr/local/etc/raddb/clients.conf
Config: including file: /usr/local/etc/raddb/snmp.conf
Config: including file: /usr/local/etc/raddb/eap.conf
Config: including file: /usr/local/etc/raddb/sql.conf
main: prefix = "/usr/local"
main: localstatedir = "/var"
main: logdir = "/var/log"
main: libdir = "/usr/local/lib"
main: radacctdir = "/var/log/radacct"
main: hostname_lookups = no
main: max_request_time = 30
main: cleanup_delay = 5
main: max_requests = 1024
main: delete_blocked_requests = 0
main: port = 0
main: allow_core_dumps = no
main: log_stripped_names = no
main: log_file = "/var/log/radius.log"
main: log_auth = no
main: log_auth_badpass = no
main: log_auth_goodpass = no
main: pidfile = "/var/run/radiusd/radiusd.pid"
main: user = "freeradius"
main: group = "freeradius"
main: usercollide = no
main: lower_user = "no"
main: lower_pass = "no"
main: nospace_user = "no"
main: nospace_pass = "no"
main: checkrad = "/usr/local/sbin/checkrad"
main: proxy_requests = yes
proxy: retry_delay = 5
proxy: retry_count = 3
proxy: synchronous = no
proxy: default_fallback = yes
proxy: dead_time = 120
proxy: post_proxy_authorize = no
proxy: wake_all_if_all_dead = no
security: max_attributes = 200
security: reject_delay = 1
security: status_server = no
main: debug_level = 0
read_config_files: reading dictionary
read_config_files: reading naslist
Using deprecated naslist file. Support for this will go away soon.
read_config_files: reading clients
read_config_files: reading realms
There appears to be another RADIUS server running on the authentication port 1812
В настройках мтика всё нормально clients.conf client 94.154.212.154 {
secret = 123456
shortname = adm
nastype = MikroTik
}
sql.conf #
# Configuration for the SQL module, when using MySQL.
#
# The database schema is available at:
#
# doc/examples/mysql.sql
#
# If you are using PostgreSQL, please use 'postgresql.conf', instead.
# If you are using Oracle, please use 'oracle.conf', instead.
# If you are using MS-SQL, please use 'mssql.conf', instead.
#
# $Id$
#
sql {
# Database type
# Current supported are: rlm_sql_mysql, rlm_sql_postgresql,
# rlm_sql_iodbc, rlm_sql_oracle, rlm_sql_unixodbc, rlm_sql_freetds
driver = "rlm_sql_mysql"
# Connect info
server = "localhost"
login = "root"
password = "рутовский пароль"
# Database table configuration
radius_db = "bill"
# If you want both stop and start records logged to the
# same SQL table, leave this as is. If you want them in
# different tables, put the start table in acct_table1
# and stop table in acct_table2
acct_table1 = "radacct"
acct_table2 = "radacct"
# Allow for storing data after authentication
postauth_table = "radpostauth"
authcheck_table = "radcheck"
authreply_table = "radreply"
groupcheck_table = "radgroupcheck"
groupreply_table = "radgroupreply"
usergroup_table = "usergroup"
# Table to keep radius client info
nas_table = "nas"
# Remove stale session if checkrad does not see a double login
deletestalesessions = yes
# Print all SQL statements when in debug mode (-x)
sqltrace = no
sqltracefile = ${logdir}/sqltrace.sql
# number of sql connections to make to server
num_sql_socks = 5
# number of seconds to dely retrying on a failed database
# connection (per_socket)
connect_failure_retry_delay = 60
# Safe characters list for sql queries. Everything else is replaced
# with their mime-encoded equivalents.
# The default list should be ok
#safe-characters = "@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-_: /"
#######################################################################
# Query config: Username
#######################################################################
# This is the username that will get substituted, escaped, and added
# as attribute 'SQL-User-Name'. '%{SQL-User-Name}' should be used below
# everywhere a username substitution is needed so you you can be sure
# the username passed from the client is escaped properly.
#
# Uncomment the next line, if you want the sql_user_name to mean:
#
# Use Stripped-User-Name, if it's there.
# Else use User-Name, if it's there,
# Else use hard-coded string "DEFAULT" as the user name.
#sql_user_name = "%{Stripped-User-Name:-%{User-Name:-DEFAULT}}"
#
sql_user_name = "%{User-Name}"
#######################################################################
# Default profile
#######################################################################
# This is the default profile. It is found in SQL by group membership.
# That means that this profile must be a member of at least one group
# which will contain the corresponding check and reply items.
# This profile will be queried in the authorize section for every user.
# The point is to assign all users a default profile without having to
# manually add each one to a group that will contain the profile.
# The SQL module will also honor the User-Profile attribute. This
# attribute can be set anywhere in the authorize section (ie the users
# file). It is found exactly as the default profile is found.
# If it is set then it will *overwrite* the default profile setting.
# The idea is to select profiles based on checks on the incoming packets,
# not on user group membership. For example:
# -- users file --
# DEFAULT Service-Type == Outbound-User, User-Profile := "outbound"
# DEFAULT Service-Type == Framed-User, User-Profile := "framed"
#
# By default the default_user_profile is not set
#
#default_user_profile = "DEFAULT"
#
# Determines if we will query the default_user_profile or the User-Profile
# if the user is not found. If the profile is found then we consider the user
# found. By default this is set to 'no'.
#
#query_on_not_found = no
#######################################################################
# Authorization Queries
#######################################################################
# These queries compare the check items for the user
# in ${authcheck_table} and setup the reply items in
# ${authreply_table}. You can use any query/tables
# you want, but the return data for each row MUST
# be in the following order:
#
# 0. Row ID (currently unused)
# 1. UserName/GroupName
# 2. Item Attr Name
# 3. Item Attr Value
# 4. Item Attr Operation
#######################################################################
# Use these for case sensitive usernames.
# authorize_check_query = "SELECT id, UserName, Attribute, Value, op \
# FROM ${authcheck_table} \
# WHERE Username = BINARY '%{SQL-User-Name}' \
# ORDER BY id"
# authorize_reply_query = "SELECT id, UserName, Attribute, Value, op \
# FROM ${authreply_table} \
# WHERE Username = BINARY '%{SQL-User-Name}' \
# ORDER BY id"
authorize_check_query = "call radcheck('%{SQL-User-Name}')"
authorize_reply_query = "call radreply('%{SQL-User-Name}')"
accounting_update_query = "call radupdate('%{SQL-User-Name}')"
accounting_stop_query = "call radstop('%{SQL-User-Name}')"
}
В радиусе микротика указал тот пароль что в clients.conf и как в мтие проверить работоспособность ррр  |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #66 : 03 Декабря 2012, 13:44:54 » |
|
ну а радиус то надо выключить перед этим.
он уже ведь запущен, об этом говорится
There appears to be another RADIUS server running on the authentication port 1812
|
|
|
|
|
Записан
|
|
|
|
|
Seva
|
|
« Ответ #67 : 03 Декабря 2012, 14:17:20 » |
|
Вот что дал radiusd -X [root@bill ~]# radiusd -X
Starting - reading configuration files ...
reread_config: reading radiusd.conf
Config: including file: /usr/local/etc/raddb/proxy.conf
Config: including file: /usr/local/etc/raddb/clients.conf
Config: including file: /usr/local/etc/raddb/snmp.conf
Config: including file: /usr/local/etc/raddb/eap.conf
Config: including file: /usr/local/etc/raddb/sql.conf
main: prefix = "/usr/local"
main: localstatedir = "/var"
main: logdir = "/var/log"
main: libdir = "/usr/local/lib"
main: radacctdir = "/var/log/radacct"
main: hostname_lookups = no
main: max_request_time = 30
main: cleanup_delay = 5
main: max_requests = 1024
main: delete_blocked_requests = 0
main: port = 0
main: allow_core_dumps = no
main: log_stripped_names = no
main: log_file = "/var/log/radius.log"
main: log_auth = no
main: log_auth_badpass = no
main: log_auth_goodpass = no
main: pidfile = "/var/run/radiusd/radiusd.pid"
main: user = "freeradius"
main: group = "freeradius"
main: usercollide = no
main: lower_user = "no"
main: lower_pass = "no"
main: nospace_user = "no"
main: nospace_pass = "no"
main: checkrad = "/usr/local/sbin/checkrad"
main: proxy_requests = yes
proxy: retry_delay = 5
proxy: retry_count = 3
proxy: synchronous = no
proxy: default_fallback = yes
proxy: dead_time = 120
proxy: post_proxy_authorize = no
proxy: wake_all_if_all_dead = no
security: max_attributes = 200
security: reject_delay = 1
security: status_server = no
main: debug_level = 0
read_config_files: reading dictionary
read_config_files: reading naslist
Using deprecated naslist file. Support for this will go away soon.
read_config_files: reading clients
read_config_files: reading realms
radiusd: entering modules setup
Module: Library search path is /usr/local/lib
Module: Loaded exec
exec: wait = yes
exec: program = "(null)"
exec: input_pairs = "request"
exec: output_pairs = "(null)"
exec: packet_type = "(null)"
rlm_exec: Wait=yes but no output defined. Did you mean output=none?
Module: Instantiated exec (exec)
Module: Loaded expr
Module: Instantiated expr (expr)
Module: Loaded PAP
pap: encryption_scheme = "crypt"
pap: auto_header = yes
Module: Instantiated pap (pap)
Module: Loaded CHAP
Module: Instantiated chap (chap)
Module: Loaded MS-CHAP
mschap: use_mppe = yes
mschap: require_encryption = no
mschap: require_strong = no
mschap: with_ntdomain_hack = no
mschap: passwd = "(null)"
mschap: ntlm_auth = "(null)"
Module: Instantiated mschap (mschap)
Module: Loaded System
unix: cache = no
unix: passwd = "(null)"
unix: shadow = "(null)"
unix: group = "(null)"
unix: radwtmp = "/var/log/radwtmp"
unix: usegroup = no
unix: cache_reload = 600
Module: Instantiated unix (unix)
Module: Loaded eap
eap: default_eap_type = "md5"
eap: timer_expire = 60
eap: ignore_unknown_eap_types = no
eap: cisco_accounting_username_bug = no
rlm_eap: Loaded and initialized type md5
rlm_eap: Loaded and initialized type leap
gtc: challenge = "Password: "
gtc: auth_type = "PAP"
rlm_eap: Loaded and initialized type gtc
mschapv2: with_ntdomain_hack = no
rlm_eap: Loaded and initialized type mschapv2
Module: Instantiated eap (eap)
Module: Loaded preprocess
preprocess: huntgroups = "/usr/local/etc/raddb/huntgroups"
preprocess: hints = "/usr/local/etc/raddb/hints"
preprocess: with_ascend_hack = no
preprocess: ascend_channels_per_line = 23
preprocess: with_ntdomain_hack = no
preprocess: with_specialix_jetstream_hack = no
preprocess: with_cisco_vsa_hack = no
preprocess: with_alvarion_vsa_hack = no
Module: Instantiated preprocess (preprocess)
Module: Loaded realm
realm: format = "suffix"
realm: delimiter = "@"
realm: ignore_default = no
realm: ignore_null = no
Module: Instantiated realm (suffix)
Module: Loaded files
files: usersfile = "/usr/local/etc/raddb/users"
files: acctusersfile = "/usr/local/etc/raddb/acct_users"
files: preproxy_usersfile = "/usr/local/etc/raddb/preproxy_users"
files: compat = "no"
Module: Instantiated files (files)
Module: Loaded SQL
sql: driver = "rlm_sql_mysql"
sql: server = "localhost"
sql: port = ""
sql: login = "root"
sql: password = "пароль рута"
sql: radius_db = "bill"
sql: nas_table = "nas"
sql: sqltrace = no
sql: sqltracefile = "/var/log/sqltrace.sql"
sql: readclients = no
sql: deletestalesessions = yes
sql: num_sql_socks = 5
sql: sql_user_name = "%{User-Name}"
sql: default_user_profile = ""
sql: query_on_not_found = no
sql: authorize_check_query = "call radcheck('%{SQL-User-Name}')"
sql: authorize_reply_query = "call radreply('%{SQL-User-Name}')"
sql: authorize_group_check_query = ""
sql: authorize_group_reply_query = ""
sql: accounting_onoff_query = ""
sql: accounting_update_query = "call radupdate('%{SQL-User-Name}')"
sql: accounting_update_query_alt = ""
sql: accounting_start_query = ""
sql: accounting_start_query_alt = ""
sql: accounting_stop_query = "call radstop('%{SQL-User-Name}')"
sql: accounting_stop_query_alt = ""
sql: group_membership_query = ""
sql: connect_failure_retry_delay = 60
sql: simul_count_query = ""
sql: simul_verify_query = ""
sql: postauth_query = ""
sql: safe-characters = "@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-_: /"
rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked
rlm_sql (sql): Attempting to connect to root@localhost:/bill
rlm_sql (sql): starting 0
rlm_sql (sql): Attempting to connect rlm_sql_mysql #0
rlm_sql_mysql: Starting connect to MySQL server for #0
rlm_sql (sql): Connected new DB handle, #0
rlm_sql (sql): starting 1
rlm_sql (sql): Attempting to connect rlm_sql_mysql #1
rlm_sql_mysql: Starting connect to MySQL server for #1
rlm_sql (sql): Connected new DB handle, #1
rlm_sql (sql): starting 2
rlm_sql (sql): Attempting to connect rlm_sql_mysql #2
rlm_sql_mysql: Starting connect to MySQL server for #2
rlm_sql (sql): Connected new DB handle, #2
rlm_sql (sql): starting 3
rlm_sql (sql): Attempting to connect rlm_sql_mysql #3
rlm_sql_mysql: Starting connect to MySQL server for #3
rlm_sql (sql): Connected new DB handle, #3
rlm_sql (sql): starting 4
rlm_sql (sql): Attempting to connect rlm_sql_mysql #4
rlm_sql_mysql: Starting connect to MySQL server for #4
rlm_sql (sql): Connected new DB handle, #4
Module: Instantiated sql (sql)
Module: Loaded Acct-Unique-Session-Id
acct_unique: key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
Module: Instantiated acct_unique (acct_unique)
Module: Loaded detail
detail: detailfile = "/var/log/radacct/%{Client-IP-Address}/detail-%Y%m%d"
detail: detailperm = 384
detail: dirperm = 493
detail: locking = no
Module: Instantiated detail (detail)
Module: Loaded radutmp
radutmp: filename = "/var/log/radutmp"
radutmp: username = "%{User-Name}"
radutmp: case_sensitive = yes
radutmp: check_with_nas = yes
radutmp: perm = 384
radutmp: callerid = yes
Module: Instantiated radutmp (radutmp)
Listening on authentication *:1812
Listening on accounting *:1813
Ready to process requests.
|
|
|
|
|
Записан
|
|
|
|
|
Seva
|
|
« Ответ #68 : 03 Декабря 2012, 22:45:34 » |
|
С PPPoE принципи понял, в микротике создал pppoe-in ether1 и ether2, на клиентском PC создал подключение PPPoE с логином и паролям юзера созданного в билинге, конект есть без ошибок, только IP наверно что бы получить нужен DHCP поднять на мтике или на сервере с nodeny, и по радиусу получать DHCP, когда на клиентском PC делою подключение по PPPoE то ключик в админке у юзера появляется зелёным, а вот с L2 по прежнему ни как не могу раз рулить что бы можно было и по L2 авторизацию делать.
Please help! Кто ни будь.
|
|
|
|
|
Записан
|
|
|
|
|
Seva
|
|
« Ответ #69 : 04 Декабря 2012, 08:29:12 » |
|
С PPPoE разобрался, получилось подключится и нет побежал, в админке ключик появился у пользователя, интерфейс на клиентском PC по статики был, а нужно что бы было dhcp, значить радиус работает, а вот с L2 авторизатором полная тишина, всё чёрный с серым, в настройках указал ip шлюза мтика (10.10.1.1), никакой реакции, неужели никто не накручивал, мтик+радиус и авторизатор L2, блин да зачем этот форум если просто тяжело помочь, что для всех измеряется всё в $$$, или просто людей которые могут помочь не осталось, или их просто напросто нет! Lavi отдельное спасибо, один человек хоть отозвался, к сожалению ни как не пойму как карма+1 ставится.
|
|
|
|
« Последнее редактирование: 04 Декабря 2012, 08:49:51 от sergeyvolume »
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #70 : 04 Декабря 2012, 09:11:26 » |
|
у меня просто 100500 задач  до 4 утра работаю |
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #71 : 04 Декабря 2012, 13:05:06 » |
|
С PPPoE разобрался, получилось подключится и нет побежал, в админке ключик появился у пользователя, интерфейс на клиентском PC по статики был, а нужно что бы было dhcp, значить радиус работает, а вот с L2 авторизатором полная тишина, всё чёрный с серым, в настройках указал ip шлюза мтика (10.10.1.1), никакой реакции, неужели никто не накручивал, мтик+радиус и авторизатор L2, блин да зачем этот форум если просто тяжело помочь, что для всех измеряется всё в $$$, или просто людей которые могут помочь не осталось, или их просто напросто нет! Lavi отдельное спасибо, один человек хоть отозвался, к сожалению ни как не пойму как карма+1 ставится.
А разве l2auth можно запустить на самом микротике? |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #72 : 04 Декабря 2012, 13:23:55 » |
|
l2-авторизатор это независимая от pppoe, radius система авторизации.
фактически используется только демон на сервере (freebsd/linux) и клиентский софт.
|
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #73 : 04 Декабря 2012, 15:04:56 » |
|
l2-авторизатор это независимая от pppoe, radius система авторизации.
фактически используется только демон на сервере (freebsd/linux) и клиентский софт.
Я понимаю, в свое время ковырял. Но просто человек пишет что для L2 указал ип микротика. бред же. Или я неправильно пост понял |
|
|
|
|
Записан
|
|
|
|
goletsa
NoDeny
Спец
Карма: 21
Offline
Сообщений: 973
|
|
« Ответ #74 : 04 Декабря 2012, 15:06:04 » |
|
блин да зачем этот форум если просто тяжело помочь, что для всех измеряется всё в $$$, или просто людей которые могут помочь не осталось, или их просто напросто нет! Lavi отдельное спасибо, один человек хоть отозвался, к сожалению ни как не пойму как карма+1 ставится.
Ну есть вариант ПРОЧИТАТЬ документацию. Тогда таких вопросов не возникает. |
|
|
|
|
Записан
|
|
|
|
|
