Jump to content

Abills+Nas Mikrotik помогите настроить


Recommended Posts

Или посоветуйте как исправить ошибку? При подключении к pppoe серверу выбивает ошибку (В удаленном подключении отказано так как не удалось распознать указано комбинацию имени пользователя или пароль или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа). В лога микротика "user admin auntefication failed-radius timeout".В фаерволе нет запрещающих правил, с адресами не напутал. Этот пункт настройки прошел успешно http://abills.net.ua/wiki/doku.php/abills:docs:nas:mikrotik:ssh

Link to post
Share on other sites
11 часов назад, superb сказал:

Или посоветуйте как исправить ошибку? При подключении к pppoe серверу выбивает ошибку (В удаленном подключении отказано так как не удалось распознать указано комбинацию имени пользователя или пароль или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа). В лога микротика "user admin auntefication failed-radius timeout".В фаерволе нет запрещающих правил, с адресами не напутал. Этот пункт настройки прошел успешно http://abills.net.ua/wiki/doku.php/abills:docs:nas:mikrotik:ssh

тип подключения ?

Link to post
Share on other sites

ignoring request to authentication address * port 1812 from unknown client (адрес микротика)

Ключ пробовал и с client.conf и sql.conf. На основном насе ключ семизначный и подходит по количеству символов с sql.conf. Он и в микротике и в сервере доступа в абилс стоит.

Edited by superb
Link to post
Share on other sites
58 минут назад, superb сказал:

ignoring request to authentication address * port 1812 from unknown client (адрес микротика)

Ключ пробовал и с client.conf и sql.conf. На основном насе ключ семизначный и подходит по количеству символов с sql.conf. Он и в микротике и в сервере доступа в абилс стоит.

 

не прописан сервер доступа в серверах доступа

Link to post
Share on other sites
20 минут назад, ~AsmodeuS~ сказал:

 

не прописан сервер доступа в серверах доступа

Все прописано( Имя пользователя тоже пробовал как на сервере стоит. Но после всех манипуляций не перегружалось ничего так как сервер с абонами. Вроди не напутал, тот же адрес в логах абилса.ignoring request to authentication address * port 1812 from unknown client 10.0.121.254

Новый точечный рисунок.bmp

Edited by superb
Link to post
Share on other sites

Боюсь что то нахимичить тут, не могли бы вы дописать нужный мне адресс 10.0.121.254. Нужно ли потом перезапускать радиус?


client localhost {
<------>#  Allowed values are:
<------>#<----->dotted quad (1.2.3.4)
<------>#       hostname    (radius.example.com)
<------>ipaddr = 127.0.0.1

<------>#  OR, you can use an IPv6 address, but not both
<------>#  at the same time.
#<----->ipv6addr = ::<-># any.  ::1 == localhost

<------>#
<------>#  A note on DNS:  We STRONGLY recommend using IP addresses
<------>#  rather than host names.  Using host names means that the
<------>#  server will do DNS lookups when it starts, making it
<------>#  dependent on DNS.  i.e. If anything goes wrong with DNS,
<------>#  the server won't start!
<------>#
<------>#  The server also looks up the IP address from DNS once, and
<------>#  only once, when it starts.  If the DNS record is later
<------>#  updated, the server WILL NOT see that update.
<------>#

<------>#  One client definition can be applied to an entire network.
<------>#  e.g. 127/8 should be defined with "ipaddr = 127.0.0.0" and
<------>#  "netmask = 8"
<------>#
<------>#  If not specified, the default netmask is 32 (i.e. /32)
<------>#
<------>#  We do NOT recommend using anything other than 32.  There
<------>#  are usually other, better ways to achieve the same goal.
<------>#  Using netmasks of other than 32 can cause security issues.
<------>#
<------>#  You can specify overlapping networks (127/8 and 127.0/16)
<------>#  In that case, the smallest possible network will be used
<------>#  as the "best match" for the client.
<------>#
<------>#  Clients can also be defined dynamically at run time, based
<------>#  on any criteria.  e.g. SQL lookups, keying off of NAS-Identifier,
<------>#  etc.
<------>#  See raddb/sites-available/dynamic-clients for details.
<------>#

#<----->netmask = 32

<------>#
<------>#  The shared secret use to "encrypt" and "sign" packets between
<------>#  the NAS and FreeRADIUS.  You MUST change this secret from the
<------>#  default, otherwise it's not a secret any more!
<------>#
<------>#  The secret can be any string, up to 8k characters in length.
<------>#
<------>#  Control codes can be entered vi octal encoding,
<------>#<----->e.g. "\101\102" == "AB"
<------>#  Quotation marks can be entered by escaping them,
<------>#<----->e.g. "foo\"bar"
<------>#
<------>#  A note on security:  The security of the RADIUS protocol
<------>#  depends COMPLETELY on this secret!  We recommend using a
<------>#  shared secret that is composed of:
<------>#
<------>#<----->upper case letters
<------>#<----->lower case letters
<------>#<----->numbers
<------>#
<------>#  And is at LEAST 8 characters long, preferably 16 characters in
<------>#  length.  The secret MUST be random, and should not be words,
<------>#  phrase, or anything else that is recognizable.
<------>#
<------>#  The default secret below is only for testing, and should
<------>#  not be used in any real environment.
<------>#
<------>secret<><------>= mypassinass


<------>#
<------>#  Old-style clients do not send a Message-Authenticator
<------>#  in an Access-Request.  RFC 5080 suggests that all clients
<------>#  SHOULD include it in an Access-Request.  The configuration
<------>#  item below allows the server to require it.  If a client
<------>#  is required to include a Message-Authenticator and it does
<------>#  not, then the packet will be silently discarded.
<------>#
<------>#  allowed values: yes, no
<------>require_message_authenticator = no

<------>#
<------>#  The short name is used as an alias for the fully qualified
<------>#  domain name, or the IP address.
<------>#
<------>#  It is accepted for compatibility with 1.x, but it is no
<------>#  longer necessary in 2.0
<------>#
#<----->shortname<----->= localhost

<------>#
<------># the following three fields are optional, but may be used by
<------># checkrad.pl for simultaneous use checks
<------>#

<------>#
<------># The nastype tells 'checkrad.pl' which NAS-specific method to
<------>#  use to query the NAS for simultaneous use.
<------>#
<------>#  Permitted NAS types are:
<------>#
<------>#<----->cisco
<------>#<----->computone
<------>#<----->livingston
<------>#<----->juniper
<------>#<----->max40xx
<------>#<----->multitech
<------>#<----->netserver
<------>#<----->pathras
<------>#<----->patton
<------>#<----->portslave
<------>#<----->tc
<------>#<----->usrhiper
<------>#<----->other<-><------># for all other types

<------>#
<------>nastype     = other<---># localhost isn't usually a NAS...

<------>#
<------>#  The following two configurations are for future use.
<------>#  The 'naspasswd' file is currently used to store the NAS
<------>#  login name and password, which is used by checkrad.pl
<------>#  when querying the NAS for simultaneous use.
<------>#
#<----->login       = !root
#<----->password    = someadminpas

<------>#
<------>#  As of 2.0, clients can also be tied to a virtual server.
<------>#  This is done by setting the "virtual_server" configuration
<------>#  item, as in the example below.
<------>#
#<----->virtual_server = home1

<------>#
<------>#  A pointer to the "home_server_pool" OR a "home_server"
<------>#  section that contains the CoA configuration for this
<------>#  client.  For an example of a coa home server or pool,
<------>#  see raddb/sites-available/originate-coa
#<----->coa_server = coa
}
 

Link to post
Share on other sites

возвращаемся к пункту смотрим что пишет, и тогда дальше смотрим по настройкам

 

5 часов назад, ~AsmodeuS~ сказал:

сделайте

radiusd -X

 

и посморите приходят ли запросы

 

скорее всгео секрет ключи в радиусе и на микротике отличаются

 

Link to post
Share on other sites


vpnk# radius -X
radius: Command not found.
vpnk# radiusd -X
FreeRADIUS Version 2.2.0, for host i386-portbld-freebsd8.3, built on Mar 22 2013                                               at 13:58:24
Copyright (C) 1999-2012 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License v2.
Starting - reading configuration files ...
including configuration file /usr/local/etc/raddb/radiusd.conf
including configuration file /usr/local/etc/raddb/clients.conf
including files in directory /usr/local/etc/raddb/modules/
including configuration file /usr/local/etc/raddb/modules/wimax
including configuration file /usr/local/etc/raddb/modules/always
including configuration file /usr/local/etc/raddb/modules/attr_filter
including configuration file /usr/local/etc/raddb/modules/attr_rewrite
including configuration file /usr/local/etc/raddb/modules/cache
including configuration file /usr/local/etc/raddb/modules/chap
including configuration file /usr/local/etc/raddb/modules/checkval
including configuration file /usr/local/etc/raddb/modules/counter
including configuration file /usr/local/etc/raddb/modules/cui
including configuration file /usr/local/etc/raddb/modules/detail
including configuration file /usr/local/etc/raddb/modules/detail.example.com
including configuration file /usr/local/etc/raddb/modules/detail.log
including configuration file /usr/local/etc/raddb/modules/dhcp_sqlippool
including configuration file /usr/local/etc/raddb/sql/mysql/ippool-dhcp.conf
including configuration file /usr/local/etc/raddb/modules/digest
including configuration file /usr/local/etc/raddb/modules/dynamic_clients
including configuration file /usr/local/etc/raddb/modules/echo
including configuration file /usr/local/etc/raddb/modules/etc_group
including configuration file /usr/local/etc/raddb/modules/exec
including configuration file /usr/local/etc/raddb/modules/expiration
including configuration file /usr/local/etc/raddb/modules/expr
including configuration file /usr/local/etc/raddb/modules/files
including configuration file /usr/local/etc/raddb/modules/inner-eap
including configuration file /usr/local/etc/raddb/modules/ippool
including configuration file /usr/local/etc/raddb/modules/krb5
including configuration file /usr/local/etc/raddb/modules/ldap
including configuration file /usr/local/etc/raddb/modules/linelog
including configuration file /usr/local/etc/raddb/modules/otp
including configuration file /usr/local/etc/raddb/modules/logintime
including configuration file /usr/local/etc/raddb/modules/mac2ip
including configuration file /usr/local/etc/raddb/modules/mac2vlan
including configuration file /usr/local/etc/raddb/modules/mschap
including configuration file /usr/local/etc/raddb/modules/ntlm_auth
including configuration file /usr/local/etc/raddb/modules/opendirectory
including configuration file /usr/local/etc/raddb/modules/pam
including configuration file /usr/local/etc/raddb/modules/pap
including configuration file /usr/local/etc/raddb/modules/passwd
including configuration file /usr/local/etc/raddb/modules/perl
including configuration file /usr/local/etc/raddb/modules/policy
including configuration file /usr/local/etc/raddb/modules/preprocess
including configuration file /usr/local/etc/raddb/modules/radrelay
including configuration file /usr/local/etc/raddb/modules/radutmp
including configuration file /usr/local/etc/raddb/modules/realm
including configuration file /usr/local/etc/raddb/modules/redis
including configuration file /usr/local/etc/raddb/modules/rediswho
including configuration file /usr/local/etc/raddb/modules/replicate
including configuration file /usr/local/etc/raddb/modules/smbpasswd
including configuration file /usr/local/etc/raddb/modules/smsotp
including configuration file /usr/local/etc/raddb/modules/soh
including configuration file /usr/local/etc/raddb/modules/sql_log
including configuration file /usr/local/etc/raddb/modules/sqlcounter_expire_on_l                                              ogin
including configuration file /usr/local/etc/raddb/modules/sradutmp
including configuration file /usr/local/etc/raddb/modules/unix
including configuration file /usr/local/etc/raddb/modules/acct_unique
including configuration file /usr/local/etc/raddb/policy.conf
including configuration file /usr/local/etc/raddb/sites-enabled/abills_default
main {
        user = "freeradius"
        group = "freeradius"
        allow_core_dumps = no
}
including dictionary file /usr/local/etc/raddb/dictionary
main {
        name = "radiusd"
        prefix = "/usr/local"
        localstatedir = "/var"
        sbindir = "/usr/local/sbin"
        logdir = "/var/log"
        run_dir = "/var/run/radiusd"
        libdir = "/usr/local/lib/freeradius-2.1.6"
        radacctdir = "/var/log/radacct"
        hostname_lookups = no
        max_request_time = 30
        cleanup_delay = 5
        max_requests = 512000
        pidfile = "/var/run/radiusd/radiusd.pid"
        checkrad = "/usr/local/sbin/checkrad"
        debug_level = 0
        proxy_requests = no
 log {
        stripped_names = no
        auth = no
        auth_badpass = no
        auth_goodpass = no
 }
 security {
        max_attributes = 200
        reject_delay = 1
        status_server = yes
 }
}
radiusd: #### Loading Realms and Home Servers ####
radiusd: #### Loading Clients ####
 client localhost {
        ipaddr = 127.0.0.1
        require_message_authenticator = no
        secret = "mypassinass"
        nastype = "other"
 }
 client 10.0.121.254 {
        require_message_authenticator = no
        secret = "radpass"
        shortname = "mikrotik"
 }
radiusd: #### Instantiating modules ####
 instantiate {
 Module: Linked to module rlm_exec
 Module: Instantiating module "exec" from file /usr/local/etc/raddb/modules/exec
  exec {
        wait = no
        input_pairs = "request"
        shell_escape = yes
  }
 Module: Linked to module rlm_expiration
 Module: Instantiating module "expiration" from file /usr/local/etc/raddb/module                                              s/expiration
  expiration {
        reply-message = "Password Has Expired  "
  }
 Module: Linked to module rlm_logintime
 Module: Instantiating module "logintime" from file /usr/local/etc/raddb/modules                                              /logintime
  logintime {
        reply-message = "You are calling outside your allowed timespan  "
        minimum-timeout = 60
  }
 }
radiusd: #### Loading Virtual Servers ####
server { # from file /usr/local/etc/raddb/radiusd.conf
 modules {
  Module: Creating Auth-Type = Perl
  Module: Creating Post-Auth-Type = REJECT
 Module: Checking authenticate {...} for more modules to load
 Module: Linked to module rlm_pap
 Module: Instantiating module "pap" from file /usr/local/etc/raddb/modules/pap
  pap {
        encryption_scheme = "auto"
        auto_header = no
  }
 Module: Linked to module rlm_mschap
 Module: Instantiating module "mschap" from file /usr/local/etc/raddb/modules/ms                                              chap
  mschap {
        use_mppe = yes
        require_encryption = no
        require_strong = no
        with_ntdomain_hack = no
        allow_retry = yes
  }
 Module: Linked to module rlm_perl
 Module: Instantiating module "perl" from file /usr/local/etc/raddb/modules/perl
  perl {
        module = "/usr/abills/libexec/rlm_perl.pl"
        func_authorize = "authorize"
        func_authenticate = "authenticate"
        func_accounting = "accounting"
        func_preacct = "preacct"
        func_checksimul = "checksimul"
        func_detach = "detach"
        func_xlat = "xlat"
        func_pre_proxy = "pre_proxy"
        func_post_proxy = "post_proxy"
        func_post_auth = "post_auth"
        func_recv_coa = "recv_coa"
        func_send_coa = "send_coa"
  }
 Module: Checking authorize {...} for more modules to load
 Module: Linked to module rlm_preprocess
 Module: Instantiating module "preprocess" from file /usr/local/etc/raddb/module                                              s/preprocess
  preprocess {
        huntgroups = "/usr/local/etc/raddb/huntgroups"
        hints = "/usr/local/etc/raddb/hints"
        with_ascend_hack = no
        ascend_channels_per_line = 23
        with_ntdomain_hack = no
        with_specialix_jetstream_hack = no
        with_cisco_vsa_hack = no
        with_alvarion_vsa_hack = no
  }
reading pairlist file /usr/local/etc/raddb/huntgroups
reading pairlist file /usr/local/etc/raddb/hints
 Module: Linked to module rlm_files
 Module: Instantiating module "files" from file /usr/local/etc/raddb/modules/fil                                              es
  files {
        usersfile = "/usr/local/etc/raddb/users"
        acctusersfile = "/usr/local/etc/raddb/acct_users"
        preproxy_usersfile = "/usr/local/etc/raddb/preproxy_users"
        compat = "no"
  }
reading pairlist file /usr/local/etc/raddb/users
reading pairlist file /usr/local/etc/raddb/acct_users
reading pairlist file /usr/local/etc/raddb/preproxy_users
 Module: Checking preacct {...} for more modules to load
 Module: Checking accounting {...} for more modules to load
 Module: Checking post-auth {...} for more modules to load
 } # modules
} # server
radiusd: #### Opening IP addresses and Ports ####
listen {
        type = "auth"
        ipaddr = *
        port = 0
Failed binding to authentication address * port 1812: Address already in use
/usr/local/etc/raddb/radiusd.conf[120]: Error binding to port for 0.0.0.0 port 1                                              812
 

radius.log 

Mon Apr 30 09:14:05 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 46798
Mon Apr 30 09:14:42 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 39209
Mon Apr 30 09:14:43 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 39209
Mon Apr 30 09:16:38 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 33486
Mon Apr 30 09:16:39 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 33486
Mon Apr 30 09:18:19 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 54187
Mon Apr 30 09:18:20 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 54187
Mon Apr 30 09:22:37 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 60764
Mon Apr 30 09:22:38 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 60764
Mon Apr 30 09:27:05 2018 : Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.121.254 port 49700


После смены пароля radpass на другой в client.conf сменил сразу и в микротике(в настройках радиуса)и в сервере доступа абилса. Пробовал ip микротика менять, и сбрасывался до заводских и по новой настраивал. Всегда одинаковая ошибка(

Еще раз переспрошу. Точно радиус не нужно перегружать после всех манипуляций?

Edited by superb
Link to post
Share on other sites

Откатился на другую версию микротика и сразу авторизовалось. Еще один нюанс. При настройке шейперов этой командой указывать только нас для микротика или все насы что есть? Если указываю через запятую второй нас то выбивает ошибку 

 

Warning: Identity file /usr/abills//Certs/id_dsa.admin not accessible: No such file or directory.
Password:

Пароли все перепробовал вводить что в client.conf,sql.conf ...

Нужно создать этот ключ? Когда перенастраивал микротик не мог добиться авторизации по ССШ пока не удалил в /usr/abills//Certs ранее созданый ключ. И поудалял наверное лишнее.

Edited by superb
Link to post
Share on other sites

Я ее уже скоро начну задом наперед читать) Форум штудировал. Ввожу эту команду 

 

/usr/abills/libexec/billd checkspeed mikrotik NAS_IDS=3 NAT=1 RECONFIGURE=1 (где nas_ids=3 -- нас микротика)

 

и команда проходит без проблем. На микротике в логах появляется:

 

publickey accepted for user:admin_abills

user admin_abils logged in from 10.0.120.10 via ssh

user admin_abils logged in from 10.0.120.10 via ssh

publickey accepted for user:admin_abills

user admin_abils logged in from 10.0.120.10 via ssh

user admin_abils logged in from 10.0.120.10 via ssh

 

В adress list в микротике появилась запись 

Firewall Adress List <TRAFFIC_CLASS_1>

Name:TRAFFIC_CLASS_1

Address:0.0.0.0/0

 

И все. В Queues Tree ничего нет, в адрес лист не добавляется ничего когда авторизуюсь через PPPoE.

Link to post
Share on other sites

Ещё заметил что нет управления абонентом.Не могу скинуть сессию. Все по ману делал, но когда ввожу команду

# /usr/abills/misc/certs_create.sh ssh abills_admin -UPLOAD_FTP admin@10.20.1

 

В /usr/abills/certs создаётся файл 

id_dsa.abills_admin.pub а не id_rsa.abills_admin.pub как в мане.

И дальше при проверке правлю на id_dsa и в конце выдает name Mikrotik. Все как бы должно работать?

Link to post
Share on other sites
14 часов назад, superb сказал:

Ещё заметил что нет управления абонентом.Не могу скинуть сессию. Все по ману делал, но когда ввожу команду

# /usr/abills/misc/certs_create.sh ssh abills_admin -UPLOAD_FTP admin@10.20.1

 

В /usr/abills/certs создаётся файл 

id_dsa.abills_admin.pub а не id_rsa.abills_admin.pub как в мане.

И дальше при проверке правлю на id_dsa и в конце выдает name Mikrotik. Все как бы должно работать?

 

id_dsa  создают старые версии билинга, новые уже создают rsa

 

также новые версии микротик не работаю уже с ключами  dsa

 

 

Link to post
Share on other sites

Откатился на версию 5.26 Тика. Удалил старый ключ в микротике и в usr/abils/certs . Ключ командой 

 

/usr/abills/misc/certs_create.sh ssh abils_user -UPLOAD_FTP abils_user@10.0.121.254  загружает файл на микротрик. 

 

Пароли пустые, вконце пароль на юзера что создал отдельно в микротике и дал фул доступ.

Потом на микротике добавляю 

 

user ssh-keys import public-key-file=id_rsa.abills_admin.pub user=abills_admin

 

Все проходит без ошибок. Но при проверке вконце 

 

ssh -l abills_admin -i /usr/abills/Certs/id_rsa.abills_admin 10.0.121.254 "/system identity print"

 

Выводит:

Received disconnect from 10.0.121.254: 3:

 

В логах микротика 

Host pub key not loaded

 

Хотя файл загружается и добавляется в ключ микротика. Куда копать? 

Edited by superb
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By superb
      Всем привет. Ребята, посоветуйте, можно ли сделать то что я хочу.
      Хочу запустить абонам рассрочку на 3 мес за подключение. Мне нужно что бы абон платил ровно 3 мес по 460 грн(стоимость тартфного плана минималка+рассрочка) и после этого его переводило на стандартный тарифный план. Версия 0.55b

    • By superb
      Ребят подскажите, может кто сталкивался. Есть абилс, настроен pppoe + pptp серв. Все нормально работает без каких либо проблем. В один прекрасный момент все пропадают с онлайна и в мониторинге висит 0 чел. Все кто успел подключится без проблем дальше пользуются инетом но новые залогинится не могут. После перезагрузки серва опять все несколько дней норм работает. Менял сначала сетевые не помогло. На днях заменили полностью серв, все новое, и опять та же беда. В логах абилса такое пишет:
      2017-08-19 20:00:01 LOG_WARNING LOST_ALIVE vitalio Last Alive: 661, Session-ID: 3104339-em0-45 NAS Server
×
×
  • Create New...