+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Кажется, Mikrotik игнорирует ответ RADIUS.

Кажется, Mikrotik игнорирует ответ RADIUS., RouterOS

aklougbo

Guest

04.01.2006 02:41:00

Установил Mikrotik 2.9.10, настроил как Hotspot gateway с аутентификацией через Freeradius + Mysql. Когда запускаю Freeradius в режиме отладки и использую другие клиенты (например, NtRadping) против него, аутентификация проходит отлично. Вижу ожидаемый ответ. Но с Mikrotik 2.9.10 Freeradius отправляет Access-Accept ответ на Mikrotik, но, кажется, Mikrotik его игнорирует и показывает "Radius server is not responding". У кого-нибудь на списке был подобный опыт? Есть какие-нибудь идеи, что еще можно попробовать, чтобы решить проблему? Заранее спасибо.

lastguru Guest	#2 0 04.01.2006 09:29:00 Совпадает ли секретный RADIUS-ключ на роутере с ключом RADIUS-сервера?

aklougbo

Guest

04.01.2006 17:00:00

Спасибо всем за помощь в решении моей проблемы. Я читал это в документации RouterOS в разделе "Radius client", но не очень понимаю, что это значит. Процитирую: <Когда RADIUS-сервер аутентифицирует пользователя с использованием CHAP, MS-CHAPv1, MS-CHAPv2, он не использует общий секрет, секрет используется только в ответе на аутентификацию, и маршрутизатор его проверяет. Так что если у вас неверный общий секрет, RADIUS-сервер примет запрос, но маршрутизатор не примет ответ. Вы можете видеть это с помощью команды /radius monitor, число "bad-replies" будет увеличиваться всякий раз, когда кто-то пытается подключиться>. Не мог бы кто-нибудь объяснить это чуть лучше? Я собираю свои настройки RADIUS и Mikrotik, чтобы скоро выложить список.

aklougbo

Guest

04.01.2006 17:30:00

Вот конфигурация моего Mikrotik и сервера FreeRadius.

=========
**Настройки IP Hotspot** - созданы с помощью `/ip hotspot setup`

[admin@MikroTik] > /ip hotspot export 04/01/2006 18:12:48 с RouterOS 2.9.10 software id = 0I3A-WPT
/ ip hotspot add name="hs-ether2" interface=ether2 address-pool=hs-pool-2 profile=hsprof1 idle-timeout=5m keepalive-timeout=none addresses-per-mac=2 disabled=no
/ ip hotspot service-port set ftp ports=21 disabled=no
/ ip hotspot profile set default name="default" hotspot-address=192.168.1.2 dns-name="" html-directory=hotspot rate-limit="" http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=http-chap,http-pap split-user-domain=no use-radius=yes radius-accounting=yes radius-interim-update=received nas-port-type=ethernet
add name="hsprof1" hotspot-address=192.168.1.2 dns-name="" html-directory=hotspot rate-limit="" http-proxy=0.0.0.0:0 smtp-server=0.0.0.0 login-by=http-chap,http-pap split-user-domain=no use-radius=yes radius-accounting=yes radius-interim-update=received nas-port-type=ethernet
/ ip hotspot user add name="pascal" password="pascal" profile=default comment="" disabled=no
/ ip hotspot user profile set default name="default" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m shared-users=1 transparent-proxy=yes open-status-page=always advertise=no

**Настройки Radius клиента Mikrotik**

[admin@MikroTik] > /radius export 04/01/2006 18:13:58 с RouterOS 2.9.10 software id = 0I3A-WPT
/ radius add service=hotspot called-id="" domain="" address=192.168.1.3 secret="testing" authentication-port=1812 accounting-port=1813 timeout=1s accounting-backup=no realm="" comment="" disabled=no
/ radius incoming set accept=no port=1700

**Конфигурации FREERADIUS**

Пользователи в Mysql

mysql> select * from usergroup;
±—±-----------±----------+
| id | UserName | GroupName |
±—±-----------±----------+
| 1 | fredf | dynamic |
| 2 | barney | static |
| 3 | dialrouter | netdial |
±—±-----------±----------+
3 rows in set (0.02 sec)

mysql> select * from radcheck;
±—±---------±----------------±—±------+
| id | UserName | Attribute | op | Value |
±—±---------±----------------±—±------+
| 3 | fredf | Password | == | wilma |
| 4 | fredf | Max-All-Session | := | 1000 |
±—±---------±----------------±—±------+

mysql> select * from radgroupcheck;
±—±----------±----------±—±------+
| id | GroupName | Attribute | op | Value |
±—±----------±----------±—±------+
| 1 | dynamic | Auth-Type | := | Local |
| 2 | static | Auth-Type | := | Local |
| 3 | netdial | Auth-Type | := | Local |
±—±----------±----------±—±------+
3 rows in set (0.02 sec)

Еще раз спасибо заранее.

aklougbo

Guest

04.01.2006 17:40:00

В этом может помочь вот лог работы freeradius с Mikrotik. Как видно, Freeradius отправил: Session-Timeout в access-accept и попытался переотправить на NAS: Среда Янв 4 18:36:46 2006 : Debug: rad_check_password: Найдено Auth-Type Local Среда Янв 4 18:36:46 2006 : Debug: auth: type Local Среда Янв 4 18:36:46 2006 : Debug: auth: пользователь предоставил CHAP-Password, который совпадает с локальным User-Password Среда Янв 4 18:36:46 2006 : Debug: Обработка секции post-auth в radiusd.conf Среда Янв 4 18:36:46 2006 : Debug: modcall: вход в группу post-auth для запроса 0 Среда Янв 4 18:36:46 2006 : Debug: modsingle[post-auth]: вызов sql (rlm_sql) для запроса 0 Среда Янв 4 18:36:46 2006 : Debug: rlm_sql (sql): Обработка sql_postauth Среда Янв 4 18:36:46 2006 : Debug: radius_xlat: ‘fredf’ Среда Янв 4 18:36:46 2006 : Debug: rlm_sql (sql): sql_set_user escaped user → ’ fredf’ Среда Янв 4 18:36:46 2006 : Debug: radius_xlat: ‘INSERT into radpostauth (id, user, pass, reply, date) values (’‘, ‘fredf’, ‘Chap-Password’, ‘Access-Accept’, NOW())’ Среда Янв 4 18:36:46 2006 : Debug: rlm_sql (sql) in sql_postauth: запрос INSERT into radpostauth (id, user, pass, reply, date) values (‘’, ‘fredf’, ‘Chap-Password’, ‘Access-Accept’, NOW()) Среда Янв 4 18:36:46 2006 : Debug: rlm_sql (sql): Резервирование sql socket id: 2 Среда Янв 4 18:36:46 2006 : Debug: rlm_sql (sql): Освобождение sql socket id: 2 Среда Янв 4 18:36:46 2006 : Debug: modsingle[post-auth]: возвращение от sql (rlm_sql) для запроса 0 Среда Янв 4 18:36:46 2006 : Debug: modcall[post-auth]: модуль “sql” возвращает ok для запроса 0 Среда Янв 4 18:36:46 2006 : Debug: modcall: группа post-auth возвращает ok для запроса 0 Отправка Access-Accept с id 0 на 192.168.1.2:1026 Session-Timeout = 1000 Среда Янв 4 18:36:46 2006 : Debug: Завершение запроса 0 Среда Янв 4 18:36:46 2006 : Debug: Переход к следующему запросу Среда Янв 4 18:36:46 2006 : Debug: — Просмотр всего списка запросов — Среда Янв 4 18:36:46 2006 : Debug: Ожидание в течение 6 секунд… rad_recv: Access-Request пакет от хоста 192.168.1.2:1026, id=0, длина=164 Среда Янв 4 18:36:47 2006 : Debug: Отправка дублирующего ответа клиенту netgate-chilispot:1026 - ID: 0 Переотправка Access-Accept с id 0 на 192.168.1.2:1026 Среда Янв 4 18:36:47 2006 : Debug: — Просмотр всего списка запросов — Среда Янв 4 18:36:47 2006 : Debug: Ожидание в течение 5 секунд… rad_recv: Access-Request пакет от хоста 192.168.1.2:1026, id=0, длина=164 Среда Янв 4 18:36:48 2006 : Debug: Отправка дублирующего ответа клиенту netgate-chilispot:1026 - ID: 0 Переотправка Access-Accept с id 0 на 192.168.1.2:1026 Среда Янв 4 18:36:48 2006 : Debug: — Просмотр всего списка запросов — Среда Янв 4 18:36:48 2006 : Debug: Ожидание в течение 4 секунд… Среда Янв 4 18:36:52 2006 : Debug: — Просмотр всего списка запросов — Среда Янв 4 18:36:52 2006 : Debug: Очистка запроса 0 ID 0 с временной меткой 43bc07ae Среда Янв 4 18:36:52 2006 : Debug: Нечего делать. Ожидание, пока появится запрос.

savage

Guest

31.01.2006 04:44:00

Это может показаться глупым, но, может быть, у тебя на MT стоит файрвол, который отбрасывает ответы от Radius сервера? Нет никаких сомнений, что Radius сервер получает запрос и отправляет ответ. Просто твой MT его не получает. Мне кажется, это почти наверняка проблема с подключением/файрволом.

aklougbo

Guest

01.02.2006 20:41:00

Проблема с радиусом решена. Оказывается, это была проблема согласования ссылок между NIC в Mikrotik и NIC на сервере Freeradius (соединил их перекрестным кабелем). Но мне бы хотелось увидеть в этом списке пример файла пользователей CHAP для радиуса. Что нужно определить на стороне Mikrotik, а что — на стороне радиуса? Сейчас я использую только PAP и вообще не знаю, как настроить CHAP. Заранее спасибо.

savage Guest	#8 0 01.02.2006 21:16:00 Включить CHAP в секции авторизации в radius.conf? Особых или дополнительных атрибутов как таковых не требуется. Просто правильно настроить. В FreeRadius полно документации, где описано, как это сделать.

iron4umx

Guest

14.02.2007 11:56:00

У меня та же проблема, но я не могу найти решение. Free Radius принимает запрос и отправляет ответ на Mikrotik, но Mikrotik не принимает этот ответ. Видно соединение в мониторе подключений брандмауэра, но Mikrotik не реагирует на этот ответ. Я перепробовал кучу всего… это начинает раздражать… У меня нет никаких правил в брандмауэре, у Mikrotik есть базовая настройка hotspot, сделанная в Winbox с помощью кнопки настройки. Единственный способ войти в систему — использовать учетную запись, которая хранится в Mikrotik. Это реальная морока… Я пробовал подключать машины кроссовером к коммутатору… и ничего… Я перепроверил общий секрет… он в порядке… Я начинал с нуля много раз… Я обновил файл словаря для Mikrotik в менеджере Radius… Кстати, его написал наш друг lastguru. В общем, это моя версия… Radius-сервер работает отлично. Единственное, что настроено в брандмауэре — это маскировка для hotspot… ПОЖАЛУЙСТА, ПОМОГИТЕ МНЕ!!!

cmit

Guest

#10

04.01.2006 10:07:00

Если он видит Access-Accept в логе отладки FreeRADIUS, то секреты должны совпадать. Похоже, проблема, возможно, в блокировке ответов RADIUS файрволом на этапе входящих соединений для точки доступа? С наилучшими пожеланиями, Christian Meis.

lastguru Guest	#11 0 04.01.2006 11:22:00 Если он не использует PAP-аутентификацию, то секреты проверяются только в ответе, поэтому сервер может принять аутентификацию, даже если роутер её не примет.

cmit Guest	#12 0 04.01.2006 16:33:00 Ну, не подумал об этом… Кристиан

savage Guest	#13 0 14.02.2007 12:05:00 Посты вроде "Не работает" не приведут тебя ни к чему. Выкладывай конфигурацию radius на MT, выкладывай конфигурацию hotspot на MT, выкладывай вывод отладки с твоего radius-сервера…

iron4umx Guest	#14 0 03.03.2007 01:32:00 Привет! Я решил свою проблему… Мой Radius-сервер – Fedora Core 6 с freeradius+mysql и несколькими PHP-скриптами. Если я пытаюсь использовать freeradius-сервер... ну, ты понимаешь... запускаю radiusd -x или radiusd и потом с другого компьютера в сети пытаюсь залогиниться в хот-спот с аккаунтом, который хранится на Radius-сервере… Единственный способ, чтобы это заработало, – сначала залогиниться на сам Radius-сервер (открыть веб-браузер на Fedora Core 6 и войти) в Mikrotik hotspot с одним из внутренних аккаунтов, например, с username: admin и password: somepasword. И… ВОЛШЕБНО!¡¡¡ Работает! Мы... работало для меня.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры