[UBilling + Mikrotik NAS DHCP + Multigen]

52 минуты назад, l1ght сказал:

разбить на вланы для начала

сеть с интернетом для биллинга (он ж по дхцп получает? О_о) один влан

сеть для дхцп и релея второй влан

 

билинг вручную прописаны ИП для инета.

27 минут назад, l1ght сказал:

и откуда же появились эти строки?

Советчики на других форумах при проблемах с ДХЦП что не запускался, советовали вписать эти строки

[UBilling + Mikrotik NAS DHCP + Multigen]

1 час назад, ISK сказал:

Назовите так чтобы имена совпадали. {HOSTS} должен правильное значение брать - это ж темплейт. И да, он у Вас часом не строчными буквами в конфиге написан?

Разобрался. Не видел сервер include, так как в rc.conf были прописаны строки 

dhcpd_chuser_enable="YES"
dhcpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
dhcpd_chroot_enable="YES"
dhcpd_devfs_enable="YES"
dhcpd_rootdir="/var/db/dhcpd"
 

[UBilling + Mikrotik NAS DHCP + Multigen]

Как мне направить DHCP-Relay микротика на ubilling, чтобы юбиллинг назначал ИП с базы пользователям на микротике?

[UBilling + Mikrotik NAS DHCP + Multigen]

5 минут назад, l1ght сказал:

при создании сети с типом dhcpstatic и добавлении её в dhcp server "Имя конфига DHCP" развернется в шаблон {HOSTS}

что за чертовщину вы делаете?

freebsd 12 с одной сетевой которая получает ИП + микротик с радиусом

[UBilling + Mikrotik NAS DHCP + Multigen]

include "/usr/local/etc/multinet/{HOSTS}"; 

Сейчас буду пробовать с названиями.
Тут еще с самим DHCP проблема.Сервер на глобальном ИП свзязь с микротиком тоже по глобальном ИП. Если ДХЦП на микротике вручную прописать то по радиусу клиент авторизируеться. А так ДХЦП сервер же не роздаст ИП по той сетевой которой он подключен к инету. Походу только держать ДХЦП на самом микротике

[UBilling + Mikrotik NAS DHCP + Multigen]

конфиги называл по разному и 1111.conf и dhcp2.conf

[UBilling + Mikrotik NAS DHCP + Multigen]

Не могу запустить DHCP Freebsd 12. При запуске появляется ошибка в логах

Can't open /usr/local/etc/multinet/dhcpd2.conf: No such file or directory

dhcpd2.conf - это файл конфиг подсети. В нем записаны только статик адреса и маки пользователей

в subnet.template прописана строка:

include /usr/local/etc/multinet/{hosts} - вот она и не видится. Сами файлы персональных шаблонов на месте

[Пытаюсь перейти на Ubilling с Nodeny, есть несколько вопросов]

12 часов назад, l1ght сказал:

то-то все отказались от таких редиректов, а оказывается можно просто так получить trusted CA

Хотите сказать что ни в кого не работает такое?
У нас в городе насколько помню, если например неоплачен инет и зайти на ютуб, то редиректит на страницу заглушку. Нужно наверное специально будет неоплатить инет чтобы проверить. Или же может вариант что у них самоподписаный сертификат, где сначала в браузере появиться предупреждение о недоверительном сертификате, если его добавить в исключения, то потом переадресовует

[Пытаюсь перейти на Ubilling с Nodeny, есть несколько вопросов]

Подсказали бы лучше где получить trusted CA.
На то они и форумы, чтобы задавать вопросы, даже если они иногда и нубские

[Пытаюсь перейти на Ubilling с Nodeny, есть несколько вопросов]

1 час назад, l1ght сказал:

бесплатные сертификаты не имеют никакого отношения к trusted CA для этих ваших манипуляций

Я не про те что можно сгенерировать самому.
Есть сервисы бесплатных SSL-сертификатов Let's Encrypt - на подобии этого

[Пытаюсь перейти на Ubilling с Nodeny, есть несколько вопросов]

16 часов назад, nightfly сказал:

Бежим с одной херни == хотим сделать точно такую же херню в другом месте.

Молодцы чё.

Ноудени настраивал не я. Так исторически оно было

16 часов назад, nightfly сказал:

Вы не понимаете в принципе как работает SSL/TLS.

Не скажу что полностью все знаю, но общее понятие имею

[Пытаюсь перейти на Ubilling с Nodeny, есть несколько вопросов]

2 часа назад, nightfly сказал:

Оно ущербное

По такому принципу Ноудени сейчас у нас работает. И то вручную ИП и МАК в ДХПЦ прописывать нужно

2 часа назад, nightfly сказал:

3 часа назад, faktorx сказал:

Заглушка без ССЛ сертификатов работать полноценно не будет как я понял? Имею ввиду https

Не будет.

Это печально. Есть сервисы бесплатно выдающие такие сертификаты, может подскажите на каком сгенерировать сертификат?

[Пытаюсь перейти на Ubilling с Nodeny, есть несколько вопросов]

Хотим перейти на юбиллинг. 

Какой метод лучше использовать для управления 3мя микротиками?

Пока на тестовой машине и одном микротике маленьком пробовал MikrotikAPI. Основные функции легко настроил - блокировка должников, скорость и ДХЦП с биллинга выдает. 

Вот только заглушку чтобы организовать нужна наверное сетевая карта для внутр. сети. И тогда же будет отлов неизвестных мак адресов роутеров. Схему нашей сети прилагаю

И пробовал Радиус. Немного проблемно настроить. Заглушка без ССЛ сертификатов работать полноценно не будет как я понял? Имею ввиду https

[Radius - Access-Reject]

Кажись разобрался. Прописал атрибут Cleartext-Password := пароль. Далее Кнопку очистить все атрибуты во все сценариях, и регенерация базы. И теперь принимает те пароли которые ставлю. 

[Radius - Access-Reject]

В конфигурации если нету атрибута Cleartext-Password, то по логике должно не воспринимать никаких паролей?

А система воспринимает и только 12345.
Заплутался я...

Я уже и НАС пересоздал

[Radius - Access-Reject]

13 часов назад, l1ght сказал:

но у вас на скрине выше 4 значный пароль

На скрине то я потом уже поменял и заскринил. На микротике ставлял 1111 и в атрибутах Cleartext-Password := 1111, говорит неверный пароль. Когда в микротике ставляю 12345, а атрибуты вообще удалил, то пароль подходит. Если что билининг и радиус после всех действий перезагружаю
Вопрос в том что где то 12345 прописано в конфиге, но немогу найти где.

На скрине видно что атрибута Cleartext-Password даже нету. А оно принимает пароль - 12345

[Radius - Access-Reject]

Каким то чудом угадал пароль для авторизации, это 12345. При том что в атрибутах он не фигурировал. Откуда он взялся в биллинге?
В атрибутах стоял User-Password := 1111

Это уже я удалил их

[Radius - Access-Reject]

Хотспот и ДХЦП на микротике будет

ubilling через radius будет управлять микротиками

Вы меня извините, может я нубские вопросы и задаю, но с радиусом никогда не работал. 
 

[Radius - Access-Reject]

Атрибуты не так были прописаны. Разобрался.

Но с микротик не проходит авторизацию. На пароль жалуется 

 chap: ERROR: Password comparison failed: password is incorrect

В атрибутах вказывать такой же как поставлен на микротике?

[Radius - Access-Reject]

Чтобы не создавать тему .Аналогичная проблема при проверке тестового пользователя

radtest popov15ap0 589q4ge8 127.0.0.1 0 dec0071981b1

 

(3) Received Access-Request Id 126 from 127.0.0.1:10136 to 127.0.0.1:1812 length 80
(3)   User-Name = "popov15ap0"
(3)   User-Password = "589q4ge8"
(3)   NAS-IP-Address = 127.0.0.1
(3)   NAS-Port = 0
(3)   Message-Authenticator = 0xcc4d1eb297970623ebe0a6e7d66c266a
(3) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(3)   authorize {
(3)     [preprocess] = ok
(3)     [chap] = noop
(3)     [mschap] = noop
(3)     [digest] = noop
(3) eap: No EAP-Message, not doing EAP
(3)     [eap] = noop
(3) sql: EXPAND %{User-Name}
(3) sql:    --> popov15ap0
(3) sql: SQL-User-Name set to 'popov15ap0'
rlm_sql (sql): Closing connection (8): Hit idle_timeout, was idle for 337 seconds
rlm_sql (sql): You probably need to lower "min"
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): Closing connection (9): Hit idle_timeout, was idle for 337 seconds
rlm_sql (sql): You probably need to lower "min"
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): 0 of 0 connections in use.  You  may need to increase "spare"
rlm_sql (sql): Opening additional connection (10), 1 of 32 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'stg' on Localhost via UNIX socket, server version 5.6.42, protocol version 10
rlm_sql (sql): Reserved connection (10)
(3) sql: EXPAND SELECT id, username, attribute, value, op FROM mlg_check WHERE username = '%{SQL-User-Name}' ORDER BY id
(3) sql:    --> SELECT id, username, attribute, value, op FROM mlg_check WHERE username = 'popov15ap0' ORDER BY id
(3) sql: Executing select query: SELECT id, username, attribute, value, op FROM mlg_check WHERE username = 'popov15ap0' ORDER BY id
(3) sql: EXPAND SELECT username FROM mlg_groupreply WHERE username = '%{SQL-User-Name}'
(3) sql:    --> SELECT username FROM mlg_groupreply WHERE username = 'popov15ap0'
(3) sql: Executing select query: SELECT username FROM mlg_groupreply WHERE username = 'popov15ap0'
(3) sql: User not found in any groups
rlm_sql (sql): Released connection (10)
Need 2 more connections to reach min connections (3)
rlm_sql (sql): Opening additional connection (11), 1 of 31 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'stg' on Localhost via UNIX socket, server version 5.6.42, protocol version 10
(3)     [sql] = notfound
(3)     [files] = noop
(3)     [expiration] = noop
(3)     [logintime] = noop
(3) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type
(3) pap: WARNING: Authentication will fail unless a "known good" password is available
(3)     [pap] = noop
(3)   } # authorize = ok
(3) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(3) Failed to authenticate the user
(3) Using Post-Auth-Type Reject
(3) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(3)   Post-Auth-Type REJECT {
(3) attr_filter.access_reject: EXPAND %{User-Name}
(3) attr_filter.access_reject:    --> popov15ap0
(3) attr_filter.access_reject: Matched entry DEFAULT at line 11
(3)     [attr_filter.access_reject] = updated
(3)   } # Post-Auth-Type REJECT = updated
(3) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [popov15ap0] (from client mtik port 0)
(3) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(3) Sending delayed response
(3) Sent Access-Reject Id 126 from 127.0.0.1:1812 to 127.0.0.1:10136 length 20
Waking up in 3.9 seconds.