+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Включить Framed-IP-Address в пакеты Radius Accounting

Включить Framed-IP-Address в пакеты Radius Accounting, RouterOS

mfischer

Guest

25.04.2022 14:38:00

Привет! Наша текущая схема выглядит так: UniFi WiFi AP выполняет EAP-PEAP аутентификацию через freeradius (источник пользователей — LDAP). Freeradius передаёт информацию о VLAN и Class в систему UniFi, которая затем отправляет запрос учёта (radius accounting request), включающий, помимо прочего, User-Name, Classes и Framed-IP-Address, обратно на freeradius сервер. freeradius сервер пересылает пакет учёта на наш Fortigate firewall, и таким образом Fortigate авторизует пользователя по паре User/IP-адрес и присваивает ему группу пользователей согласно атрибуту Class.

Я хочу заменить UniFi на CAPsMAN. Моя тестовая конфигурация работает нормально (VLAN назначаются правильно и т. д.), но в пакете учёта, который генерирует CAPsMAN, отсутствует Framed-IP-Address. Поэтому Fortigate firewall не может авторизовать сочетание Пользователь/IP-адрес. Можно ли это как-то решить?

Спасибо, Майк

floaty

Guest

18.08.2023 15:08:00

Та же проблема… Пытался настроить radius-sso для беспроводных пользователей в моём файрволе, но без radius-атрибута статус пользователя не устанавливается. Поскольку мой DHCP-сервер — тоже устройство Mikrotik, я использовал функцию radius-accounting на mikrotik-dhcp как обходной путь. Теперь вижу MAC-адрес конечного устройства в файрволе как RSSO-имя пользователя… проблема решена. Но удобно ли это? Не особо, это же radius-sso для DHCP-пула ¯_(ツ)_/¯. Думаю, в вашем случае можно залогировать DHCP-службу и добавить в accounting-пакет с помощью freeradius-модуля… Только сеть должна быть достаточно большой, чтобы игра стоила свеч. К тому же ребята из UBNT уже ответили на эту проблему… сначала вы хотели что-то менять… а потом — передумали

floaty Guest	#3 0 18.08.2023 18:05:00 .static-leases со static acc-proxy-rule — это ещё уродливее (просто чтобы показать, что должен делать модуль freerad). … думал про syslog-sso … но та же проблема … с mt-устройства нет лог-сообщений с именем пользователя и IP.

floaty

Guest

18.08.2023 19:40:00

https://datatracker.ietf.org/doc/html/rfc2866#page-18

4.1. Accounting-Request
Если пакет Accounting-Request включает атрибут Framed-IP-Address, этот атрибут ОБЯЗАН содержать IP-адрес пользователя. Если Access-Accept использовал специальные значения для Framed-IP-Address, указывая NAS назначить или согласовать IP-адрес для пользователя, то Framed-IP-Address (если он есть) в Accounting-Request ДОЛЖЕН содержать фактический назначенный или согласованный IP-адрес. Когда «Если», значит «ДОЛЖЕН». Но у MikroTik такого «Если» нет... …но это, кажется, вполне стандарт в индустрии… Aruba, FortiAPs, Cisco… даже Watchguard-Wireless и народ из UBNT… всё это умеют парсить.

Требования RADIUS SSO
Вы можете использовать RADIUS Single Sign-On с беспроводными точками доступа или другими RADIUS-клиентами, которые включают нужную информацию в RADIUS-отчёты об учёте. Для правильной работы RADIUS SSO сообщения об учёте Start, Stop и Interim-Update, отправляемые RADIUS-клиентом, должны содержать следующие атрибуты:
- User-Name — имя аутентифицированного пользователя
- Framed-IP-Address — IP-адрес клиента аутентифицированного пользователя

Устройства WatchGuard AP с последней версией прошивки AP отвечают этим требованиям. Другие точки доступа, поддерживающие эти требования, тоже должны корректно работать с RADIUS SSO.

Похоже, стоит превратить это в запрос на добавление фичи

… кто-нибудь говорит «да… +1»?

floaty Guest	#5 0 18.08.2023 19:53:00 Хотя этот результат получился довольно коряво… он всё равно очень и очень приятен… и… удобен в использовании… результат!! Так что я начинаю с громкого и толстого «ура» +1.

mfischer

Guest

17.10.2023 14:21:00

Я точно не понимаю, что ты делаешь. Но, похоже, я пытался достичь той же цели похожим способом. Я записывал все аренды на своём ISC-DHCP-сервере в базу данных и пытался найти запись через модуль exec в freeradius, когда тот получал запрос на учёт, а затем обновлял её с помощью IP-адреса из базы. Но это так сильно тормозило freeradius, что дальше пользоваться им было невозможно…

mfischer Guest	#7 0 17.10.2023 14:24:00 Кстати, откуда у тебя эти скриншоты? Это что, фаервол Fortinet?

floaty Guest	#8 0 18.10.2023 11:28:00 да… это fortigate… в конце концов… вместо radius-sso можно использовать какой-то syslog-sso… логировать radius-авторизацию и dhcp-запрос с помощью swatch или похожего; потом скрипт, который объединяет имя пользователя из radius-запроса и IP из dhcp-запроса и отправляет всё обратно в syslog-sso-коннектор?!… всё ещё об этом думаю. https://help.mikrotik.com/docs/display/ROS/WifiWave2#WifiWave2-AAAproperties. может, однажды мы проснёмся… и «4» и «6» присоединятся к «a» и «A»… и после начальной аутентификации мы найдём v4 или v6 IP-адрес в промежуточных обновлениях… похоже, именно это предлагает rfc2866.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры