Jump to content
Local
strushke

И снова Кучаген + Mikrotik

Recommended Posts

Всем привет! Все таки решил перейти на radius и вот вам новые вопросы с траблами.

 

Во-первых, версия 

1.0.7

Во-вторых, 

мануал говорил, что в freebsd 12 можно просто переходить ко включению поддержки в ubilling, но это не так

Нужно не забыть перетащить настройки и дамп базы для freeradius 3. 

В-третьих, 

Надо ли говорить, что radiusd -X стартует и ждет нормально, в то время как на radtest отвечает

Ignoring request to auth address * port 1812 bount to server default from unknown client 127.0.0.1...

поскольку, при создании сети, скажем, 10.0.114.0

и добавлении NAS с адресом, к примеру, 10.0.114.1, в конфиге clients.conf не появляется ничего. 

 

И еще маленькая деталь: уже в разделе настройки mtik на скрине я увидел, что при создании сети есть пункт Radius, а у меня такого пункта нет, хотя все опции в alter точно по мануалу.

 

Конечно, тут про мтик рано говорить, но такое название, чтобы не городить топиков в дальнейшем с вопросами про mtik

Edited by strushke

Share this post


Link to post
Share on other sites
57 минут назад, strushke сказал:

в конфиге clients.conf

и не должно

58 минут назад, strushke сказал:

что при создании сети есть пункт Radius

это легаси, настройки кучагена живут отдельно, как описано в доке

58 минут назад, strushke сказал:

и добавлении NAS с адресом

в доке ясно сказано всё, видно что прочитано по диагонали

Share this post


Link to post
Share on other sites
11 minutes ago, l1ght said:

и не должно

Не забываем, что в продакшне следует перезапускать ваш радиус-сервер скажем при помощи service radiusd restart при добавлении новых NAS. FreeRADIUS читает radius clients только на своем же старте.

И как же оно туда попадает тогда?

Share this post


Link to post
Share on other sites
2 минуты назад, strushke сказал:

И как же оно туда попадает тогда?

в конфиге посмотреть не судьба?

Share this post


Link to post
Share on other sites
4 minutes ago, l1ght said:

в конфиге посмотреть не судьба?

Подобного в конфигах нет. И в мане нет. Есть только лог, щас пойду включать и смотреть. Спасибо за помощь

Share this post


Link to post
Share on other sites
Только что, strushke сказал:

Подобного в конфигах нет

правда? в конфиге радиуса нет?

в базе оно лежит через view

Share this post


Link to post
Share on other sites
6 minutes ago, l1ght said:

правда? в конфиге радиуса нет?

в базе оно лежит через view

Ну, база, это всё таки база, а конфиг - это всё таки конфиг. Да, есть там такое. Спасибо

Ну, судя по списку, он не дает доступ для 127.0.0.1, потому что у меня нет локального nas

Поэтому и radtest таймаутится.

Share this post


Link to post
Share on other sites

Ну вот, молодец, разобрался ;)

Share this post


Link to post
Share on other sites
11 minutes ago, l1ght said:

Ну вот, молодец, разобрался ;)

Да

Правда для тупых (таких как я) , в мане можно упомянуть, что для mtik'a radtest

нужно делать с теми параметрами, что в примере

radtest 00:00:00:00:00:00 12345 127.0.0.1 0 dec0071000b1

 

Перехожу к настройке тика.😂

 

Обязательно там relay делать? Я не хочу

Edited by strushke

Share this post


Link to post
Share on other sites
3 минуты назад, strushke сказал:

Обязательно там relay делать? Я не хочу

доку читай, там есть вариант без релея

Share this post


Link to post
Share on other sites
4 hours ago, l1ght said:

доку читай, там есть вариант без релея

Все, закучагенился, есть лог успешной авторизации. А вот чето дупля не дам, как теперь это dhcp скормить. Хотспот IP схавал, и прописал клиенту, а DHCP тика всё равно выдает то, что ему вздумается. 

 

Вообще, огромный респект разрабам! Офигенный биллинг! 

Share this post


Link to post
Share on other sites
1 час назад, strushke сказал:

Все, закучагенился, есть лог успешной авторизации. А вот чето дупля не дам, как теперь это dhcp скормить. Хотспот IP схавал, и прописал клиенту, а DHCP тика всё равно выдает то, что ему вздумается. 

 

Вообще, огромный респект разрабам! Офигенный биллинг! 

 

А при чому тут білінг? Радіус з мікротіком подружити доволі просто і без білінгу.

А білінг дійсно непоганий, як на безкоштовний.

Edited by andryas

Share this post


Link to post
Share on other sites
8 minutes ago, andryas said:

 

А при чому тут білінг? Радіус з мікротіком подружити доволі просто і без білінгу.

А білінг дійсно непоганий, як на безкоштовний.

 

 А при том, что всё есть и всё работает

  • Thanks 1

Share this post


Link to post
Share on other sites

В общем, 

похоже Mikrotik сперва выдает первый попавшийся адрес из пула DHCP, 

А только после - пытается авторизовать того, кому он выдал адрес, в Hotspot. 

Именно поэтому в разделе mgmikrotik предлагается использовать DHCP-relay:

Биллинг изначально знает, кому какой ип выдавать, выдает, потом происходит авторизация уже самим Mikrotik'ом.

Пытаюсь включить поддержку radius у DHCP мтика. Пока безуспешно:

Естественно, radius требует cleartext-pass который mtik не передает с dhcp

Share this post


Link to post
Share on other sites

UPD:

Удалось выдавать привязанный  IP через радиус, 

для этого вместо атрибута check cleartext-password добавил check auth-type accept.

 

Но шибко умный мтик теперь пропускает один или несколько пакетов от роутера (топология сети у меня :

CPE антенна в режиме роутера -> роутер клиента),

после чего думает, что идет попытка логина с другого IP с тем же маком и хавает IP из-за домашнего NAT-a. 

После чего, собсно, коннект срывается и мтик даёт доступ неизвестно кому, может камере, которая в инет первее меня полезла..

Гуглю дальше

Edited by strushke

Share this post


Link to post
Share on other sites

ты принципиально игнорируешь доку по микротик дхцп + кучаген? если уж не хочешь релей делать

Share this post


Link to post
Share on other sites
3 hours ago, l1ght said:

ты принципиально игнорируешь доку по микротик дхцп + кучаген? если уж не хочешь релей делать

Чего ж игнорирую, по ней и поднял dhcp, да только ничего не происходит. Хотспот авторизует не роутер, а всех, кто ломится в инет. Всё по мануалу. И у меня не одного такая трабла, куча постов по всему инету, и все без ответов

Share this post


Link to post
Share on other sites
1 час назад, strushke сказал:

Чего ж игнорирую, по ней и поднял dhcp, да только ничего не происходит. Хотспот авторизует не роутер, а всех, кто ломится в инет. Всё по мануалу. И у меня не одного такая трабла, куча постов по всему инету, и все без ответов

если делать по http://wiki.ubilling.net.ua/doku.php?id=mgmikrotikdhcp то хотспот не нужен

Share this post


Link to post
Share on other sites
4 hours ago, l1ght said:

если делать по http://wiki.ubilling.net.ua/doku.php?id=mgmikrotikdhcp то хотспот не нужен

 

Моя цель состоит в том, чтобы сделать на базе хотспота и со своим DHCP, чтобы нас не зависел от биллинга и/или его DHCP. 

Все таки, хотспот перенаправление делает знатно, а этого нехватает. 

Share this post


Link to post
Share on other sites
В 19.05.2020 в 22:15, strushke сказал:

 

Моя цель состоит в том, чтобы сделать на базе хотспота и со своим DHCP, чтобы нас не зависел от биллинга и/или его DHCP. 

Все таки, хотспот перенаправление делает знатно, а этого нехватает. 

image.png.9133fb958efb67ebbebb33325c680797.pngвы что то подобное хотите сделать ? хотспот + дхцп

Share this post


Link to post
Share on other sites
On 5/21/2020 at 11:27 PM, seversever404 said:

image.png.9133fb958efb67ebbebb33325c680797.pngвы что то подобное хотите сделать ? хотспот + дхцп

Офигенно! Так и хочу сделать!) 

On 5/21/2020 at 11:34 PM, seversever404 said:

как хотспот без билла будет знать кого . куда. зачем ? почему ?

Согласен, без авторизатора будет проблематично. 

Ну, есть идея использовать репликацию radius и mysql базы, просто поднять микросервер только для них. 

Но это уже плюшки. 

Шишки - это заставить работать хотспот. Не понимает он, что надо дать роутеру доступ. Может дать на пару минут ,а потом каким-то образом видит внутренний IP клиента (за NAT его роутера) и всё, начинаются непонятки у него. Назначенный IP то из радиуса (Скажем, 10.0.*.100, а фактический он определяет типа 192.168.*.20. При этом MAC привязан то к внешней подсети клиентского роутера. 

Пока не нашел решение данной проблемы, хотя она возникала довольно много у кого.

Share this post


Link to post
Share on other sites
1 час назад, strushke сказал:

Ну, есть идея использовать репликацию radius и mysql базы, просто поднять микросервер только для них. 

чем больше всяких микро там и микро тут .. тем ниже стабильность работы . лучше создайте условия стабильной связи микрот билл и всё не надо изобретать велосипед . а там уже определитесь что вам ближе дхцп или хотспот . 

 

Share this post


Link to post
Share on other sites
On 5/25/2020 at 9:57 PM, seversever404 said:

чем больше всяких микро там и микро тут .. тем ниже стабильность работы . лучше создайте условия стабильной связи микрот билл и всё не надо изобретать велосипед . а там уже определитесь что вам ближе дхцп или хотспот . 

 

Ну, в данный момент оно в одной сервачной стоит. Но есть еще один NAS за городом, правда там пока клиентов мало. 

Сама концепция hotspot - отличная, если б не проблема с авторизацией. Буду до последнего искать, что не так, а потом если что, dhcp выберу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By оверлок
      можно ли средствами MikroTik реализовать такую фишку- при не оплате у клиента всплывало окно(отключены ,пополните счет) .?
    • By pLastUn
      Приветствую коллеги.
      Имеется сеть небольшого провайдера в нескольких бизнес-центрах,  NAS и маршрутизация на микротиках. Исключительно юр-лица. 
      От каждого клиента отдельный VLAN по свичам и на  NAS-е в отдельный bridge, т.е. на Микроте у каждого клиента отдельный интерфейс.
      Поставил последний стабильный Ubilling 1.0.7 rev 7462 на FreeBSD 12.1.
      Из биллинга  в микротике для управления используются простые очереди и файрвол листы. 
      Все красиво работает, когда клиенту выдается IP из ./30 подсети, этот же IP попадает в листы на микротике и в Target очередей.
      Но как быть, если клиенту надо отдать /29 или больше, и еще есть клиенты, которым отдаются  серые /24. Есть ли возможность выдать клиенту подсеть, и в микроте в листах и очередях получать эту подсеть а не IP?
      Перечитав оффдоки и форум не нашел никакого решения. Существует модуль юр.лица, может быть он реализует необходимый функционал?
       
      Пару мелких вопросиков: какие еще переменные можно использовать в /etc/stargazer/system/executer/tpls/*.ini кроме IP и LOGIN ?
      В диалоге Расширенная настройка MikroTik  - Users Interface и Graph Interface где используются?  Для ссылки на графики используется имя очереди оно же логин клиента.  Так же клиенту можно добавить произвольные поля. Можно ли данные из Users Interface  и из произвольных полей  использовать в ...tpls/*.ini  ?
       
      Буду благодарен за любые мысли по этому поводу.
       
      З,Ы, В процессе  осваивания наткнулся на баг: если клиенту присвоить порт на свиче, а потом удалить клиента, порт остается занятым и нового клиента на него не повесить и как освободить порт не нашел. Создал клиента с логином как у удаленного, удалил порт со свича, потом удалил клиента.
       
       
       
       
       
       
    • By urs
      Продам б.у. MIKROTIK CCR1036-12G-4S - цена 600$
    • By ghzlviv
      Добрий вечір
      Куплю сервак на базі Мікротіка х86
      Задачі
       ПППоЕ сервер 2-3тис клієнтів онлайн
       нат      3-4Г  реального трафіку
       
    • By viktorrc17
      Куплю Mikrotik hAP ac lite (RB952Ui-5ac2nD)
×