И снова Кучаген + Mikrotik

[strushke 14]

Всем привет! Все таки решил перейти на radius и вот вам новые вопросы с траблами.

 

Во-первых, версия 

1.0.7

Во-вторых, 

мануал говорил, что в freebsd 12 можно просто переходить ко включению поддержки в ubilling, но это не так

Нужно не забыть перетащить настройки и дамп базы для freeradius 3. 

В-третьих, 

Надо ли говорить, что radiusd -X стартует и ждет нормально, в то время как на radtest отвечает

Ignoring request to auth address * port 1812 bount to server default from unknown client 127.0.0.1...

поскольку, при создании сети, скажем, 10.0.114.0

и добавлении NAS с адресом, к примеру, 10.0.114.1, в конфиге clients.conf не появляется ничего. 

 

И еще маленькая деталь: уже в разделе настройки mtik на скрине я увидел, что при создании сети есть пункт Radius, а у меня такого пункта нет, хотя все опции в alter точно по мануалу.

 

Конечно, тут про мтик рано говорить, но такое название, чтобы не городить топиков в дальнейшем с вопросами про mtik

Edited 2020-05-18 12:02:56 by strushke

[l1ght 377]

57 минут назад, strushke сказал:

в конфиге clients.conf

и не должно

58 минут назад, strushke сказал:

что при создании сети есть пункт Radius

это легаси, настройки кучагена живут отдельно, как описано в доке

58 минут назад, strushke сказал:

и добавлении NAS с адресом

в доке ясно сказано всё, видно что прочитано по диагонали

[strushke 14]

11 minutes ago, l1ght said:

и не должно

Не забываем, что в продакшне следует перезапускать ваш радиус-сервер скажем при помощи service radiusd restart при добавлении новых NAS. FreeRADIUS читает radius clients только на своем же старте.

И как же оно туда попадает тогда?

[l1ght 377]

2 минуты назад, strushke сказал:

И как же оно туда попадает тогда?

в конфиге посмотреть не судьба?

[strushke 14]

4 minutes ago, l1ght said:

в конфиге посмотреть не судьба?

Подобного в конфигах нет. И в мане нет. Есть только лог, щас пойду включать и смотреть. Спасибо за помощь

[l1ght 377]

Только что, strushke сказал:

Подобного в конфигах нет

правда? в конфиге радиуса нет?

в базе оно лежит через view

[strushke 14]

6 minutes ago, l1ght said:

правда? в конфиге радиуса нет?

в базе оно лежит через view

Ну, база, это всё таки база, а конфиг - это всё таки конфиг. Да, есть там такое. Спасибо

Ну, судя по списку, он не дает доступ для 127.0.0.1, потому что у меня нет локального nas

Поэтому и radtest таймаутится.

[l1ght 377]

Ну вот, молодец, разобрался

[strushke 14]

11 minutes ago, l1ght said:

Ну вот, молодец, разобрался

Да

Правда для тупых (таких как я) , в мане можно упомянуть, что для mtik'a radtest

нужно делать с теми параметрами, что в примере

radtest 00:00:00:00:00:00 12345 127.0.0.1 0 dec0071000b1

 

Перехожу к настройке тика.?

 

Обязательно там relay делать? Я не хочу

Edited 2020-05-18 13:36:10 by strushke

[l1ght 377]

3 минуты назад, strushke сказал:

Обязательно там relay делать? Я не хочу

доку читай, там есть вариант без релея

[strushke 14]

4 hours ago, l1ght said:

доку читай, там есть вариант без релея

Все, закучагенился, есть лог успешной авторизации. А вот чето дупля не дам, как теперь это dhcp скормить. Хотспот IP схавал, и прописал клиенту, а DHCP тика всё равно выдает то, что ему вздумается. 

 

Вообще, огромный респект разрабам! Офигенный биллинг! 

[andryas 1,062]

1 час назад, strushke сказал:

Все, закучагенился, есть лог успешной авторизации. А вот чето дупля не дам, как теперь это dhcp скормить. Хотспот IP схавал, и прописал клиенту, а DHCP тика всё равно выдает то, что ему вздумается. 

 

Вообще, огромный респект разрабам! Офигенный биллинг! 

 

А при чому тут білінг? Радіус з мікротіком подружити доволі просто і без білінгу.

А білінг дійсно непоганий, як на безкоштовний.

Edited 2020-05-18 19:21:39 by andryas

[strushke 14]

8 minutes ago, andryas said:

 

А при чому тут білінг? Радіус з мікротіком подружити доволі просто і без білінгу.

А білінг дійсно непоганий, як на безкоштовний.

 

 А при том, что всё есть и всё работает

[strushke 14]

В общем, 

похоже Mikrotik сперва выдает первый попавшийся адрес из пула DHCP, 

А только после - пытается авторизовать того, кому он выдал адрес, в Hotspot. 

Именно поэтому в разделе mgmikrotik предлагается использовать DHCP-relay:

Биллинг изначально знает, кому какой ип выдавать, выдает, потом происходит авторизация уже самим Mikrotik'ом.

Пытаюсь включить поддержку radius у DHCP мтика. Пока безуспешно:

Естественно, radius требует cleartext-pass который mtik не передает с dhcp

[strushke 14]

UPD:

Удалось выдавать привязанный  IP через радиус, 

для этого вместо атрибута check cleartext-password добавил check auth-type accept.

 

Но шибко умный мтик теперь пропускает один или несколько пакетов от роутера (топология сети у меня :

CPE антенна в режиме роутера -> роутер клиента),

после чего думает, что идет попытка логина с другого IP с тем же маком и хавает IP из-за домашнего NAT-a. 

После чего, собсно, коннект срывается и мтик даёт доступ неизвестно кому, может камере, которая в инет первее меня полезла..

Гуглю дальше

Edited 2020-05-19 06:59:16 by strushke

[l1ght 377]

ты принципиально игнорируешь доку по микротик дхцп + кучаген? если уж не хочешь релей делать

[strushke 14]

3 hours ago, l1ght said:

ты принципиально игнорируешь доку по микротик дхцп + кучаген? если уж не хочешь релей делать

Чего ж игнорирую, по ней и поднял dhcp, да только ничего не происходит. Хотспот авторизует не роутер, а всех, кто ломится в инет. Всё по мануалу. И у меня не одного такая трабла, куча постов по всему инету, и все без ответов

[l1ght 377]

1 час назад, strushke сказал:

Чего ж игнорирую, по ней и поднял dhcp, да только ничего не происходит. Хотспот авторизует не роутер, а всех, кто ломится в инет. Всё по мануалу. И у меня не одного такая трабла, куча постов по всему инету, и все без ответов

если делать по http://wiki.ubilling.net.ua/doku.php?id=mgmikrotikdhcp то хотспот не нужен

[strushke 14]

4 hours ago, l1ght said:

если делать по http://wiki.ubilling.net.ua/doku.php?id=mgmikrotikdhcp то хотспот не нужен

 

Моя цель состоит в том, чтобы сделать на базе хотспота и со своим DHCP, чтобы нас не зависел от биллинга и/или его DHCP. 

Все таки, хотспот перенаправление делает знатно, а этого нехватает. 

[seversever404 9]

В 19.05.2020 в 22:15, strushke сказал:

 

Моя цель состоит в том, чтобы сделать на базе хотспота и со своим DHCP, чтобы нас не зависел от биллинга и/или его DHCP. 

Все таки, хотспот перенаправление делает знатно, а этого нехватает. 

вы что то подобное хотите сделать ? хотспот + дхцп

[seversever404 9]

как хотспот без билла будет знать кого . куда. зачем ? почему ?

[strushke 14]

On 5/21/2020 at 11:27 PM, seversever404 said:

вы что то подобное хотите сделать ? хотспот + дхцп

Офигенно! Так и хочу сделать!) 

On 5/21/2020 at 11:34 PM, seversever404 said:

как хотспот без билла будет знать кого . куда. зачем ? почему ?

Согласен, без авторизатора будет проблематично. 

Ну, есть идея использовать репликацию radius и mysql базы, просто поднять микросервер только для них. 

Но это уже плюшки. 

Шишки - это заставить работать хотспот. Не понимает он, что надо дать роутеру доступ. Может дать на пару минут ,а потом каким-то образом видит внутренний IP клиента (за NAT его роутера) и всё, начинаются непонятки у него. Назначенный IP то из радиуса (Скажем, 10.0.*.100, а фактический он определяет типа 192.168.*.20. При этом MAC привязан то к внешней подсети клиентского роутера. 

Пока не нашел решение данной проблемы, хотя она возникала довольно много у кого.

[seversever404 9]

1 час назад, strushke сказал:

Ну, есть идея использовать репликацию radius и mysql базы, просто поднять микросервер только для них. 

чем больше всяких микро там и микро тут .. тем ниже стабильность работы . лучше создайте условия стабильной связи микрот билл и всё не надо изобретать велосипед . а там уже определитесь что вам ближе дхцп или хотспот . 

 

[strushke 14]

On 5/25/2020 at 9:57 PM, seversever404 said:

чем больше всяких микро там и микро тут .. тем ниже стабильность работы . лучше создайте условия стабильной связи микрот билл и всё не надо изобретать велосипед . а там уже определитесь что вам ближе дхцп или хотспот . 

 

Ну, в данный момент оно в одной сервачной стоит. Но есть еще один NAS за городом, правда там пока клиентов мало. 

Сама концепция hotspot - отличная, если б не проблема с авторизацией. Буду до последнего искать, что не так, а потом если что, dhcp выберу.