+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблемы с аутентификацией Radius

Проблемы с аутентификацией Radius, RouterOS

wadeblackwell

Guest

28.06.2017 12:09:00

Доброе утро с Центрального побережья Калифорнии! У меня реализован freeradius, который работает через локальный мостовой интерфейс на CCR1009-8G-1S с версией 6.31. Radius-сервер пингуется, сервис запущен. Если использую инструмент traceroute в ROS и указываю IP radius-сервера и udp 1812, то вижу трафик на интерфейсе radius-сервера. Но когда пытаюсь аутентифицироваться на этом хосте (через winbox или ssh), он вообще не отправляет трафик на radius-сервер. Я добавил конкретные правила фаервола и включил отладку radius, но ничего, просто авторизация для пользователя radius не проходит. Инструмент конфигурации radius говорит, что трафик radius таймаутится. Я пока не очень опытен в ROS, но подобные вопросы отлаживал долго на IOS/NXOS/Freebsd и Linux. Может быть, есть какой-то нюанс в ROS, который я пропустил, чтобы это работало? Любая помощь будет кстати, уже немного схожу с ума из-за вроде бы простой задачи. Могу предоставить любые конфиги или логи, спасибо всем. – W

wadeblackwell

Guest

20.07.2017 19:32:00

Могу приложить правила NAT, если думаешь, что это прояснит ситуацию. Извиняюсь за поздний ответ. Статистика сброса Radius прилагается. Mangle не используется, но src-nat, dst-nat и masquerade — все задействованы. Не думаю, что запросы проходят через NAT, а если и проходят, то исходный адрес «должен» выглядеть как локально подключённый интерфейс к Radius-серверу, и тогда ответы «опять же должны» всегда возвращаться именно на этот интерфейс. L3 настроен на этот интерфейс как шлюз по умолчанию, а L2 должен решать проблему через GARP/ARP, но этого не происходит. Не уверен, что хорошо разбираюсь с NAT на Mikrotik — я из мира Cisco, там всё работает немного по-другому. Несколько безуспешных попыток аутентификации, счётчики остаются нулевыми. Не знаю, обновляются ли они по расписанию или в реальном времени. Подскажите, пожалуйста, большое спасибо!

pukkita

Guest

21.07.2017 08:09:00

Первое, что я бы сделал — обновил прошивку до 6.38.7 (последнее исправление ошибок), потом проверил в System > Routerboard Current и Upgrade firmware, при необходимости обновил и перезагрузил маршрутизатор. Убедись, что в Radius > radius server включена опция login, а в System > Users, нажав кнопку [AAA], активирована Use Radius, потому что маршрутизатор не отправляет никаких запросов на radius (0 Requests). Эти показатели практически в реальном времени: если маршрутизатор использует radius для аутентификации при входе, счетчик Requests будет расти; если бы были проблемы с подключением к radius-серверу, увеличились бы счетчики Resends и Timeouts.

savage

Guest

21.07.2017 08:48:00

Вы настроили ROS использовать 10.100.3.1 как src-address для radius-запросов, но дамп пакетов показывает, что запрос исходит с 10.100.3.120 (локальный адрес ethernet-интерфейса). Это говорит о том, что 10.100.3.1 не назначен роутеру. Есть ли у вас loopback-интерфейс с этим IP? Можете ли пинговать с loopback до FR-сервера и обратно? Пришлите экспорт /interfaces, /ip address и /ip route. Причина, по которой radius отклоняет запрос (игнорирует его), скорее всего в том, что клиент в radius настроен с src 10.100.3.1, а запрос идёт с 10.100.3.120. Если посмотреть логи FR или запустить FR в режиме отладки, вы увидите явные предупреждения и ошибки, потому что сервер получает запросы от неизвестного клиента.

pukkita

Guest

21.07.2017 11:36:00

Если бы это была единственная причина, счетчик Rejects должен был бы расти. Первая задача — увидеть увеличение счетчика Requests, то есть проверить, что ROS использует radius для аутентификации при входе, чего сейчас, похоже, не происходит. Когда счетчик Requests начнет расти, и если, как вы заметили, счетчик Rejects тоже начнет увеличиваться, это будет означать ровно одно: нужно проверить src-address.

savage Guest	#6 0 21.07.2017 11:49:00 Верно, да. Но учитывая его пост «Прилагаются данные о сбросе радиуса», вполне логично предположить, что он сбросил статистику и приложил к этому изображение. Встречал и страннее вещи...

wadeblackwell

Guest

21.07.2017 13:34:00

Всем спасибо и доброе утро с Западного побережья! Я посмотрю настройки, о которых говорили. Источник не был установлен на 10.100.3.120, так как это адрес назначения для аутентификационного трафика, но я перепроверю лог FR, чтобы увидеть, не жалуется ли он. На самом деле, трафик даже не доходил до хоста. У меня есть более 40 устройств с таким же поведением, и постоянно радиус-трафик именно останавливается на этом хосте, который напрямую подключён к radius-серверу. Еще кофе — и я изучу настройки и логи и отпишусь. Всем спасибо!

wadeblackwell

Guest

24.07.2017 20:36:00

Счастливого понедельника, друзья! Ниже экспорт Radius (очищен); [uh-nope@Edge DW] > /radius export
# jul/24/2017 13:18:56 by RouterOS 6.35.4
# software id = YS5S-E7TL
#
/radius
add address=10.100.3.120 secret="<removed>*" service=login

[uh-nope@Edge DW] > Трассировка до напрямую подключённого radius-сервера через icmp, затем udp на порт 1812; [uh-nope@Edge DW] /tool> traceroute 10.100.3.120 protocol=icmp
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 10.100.3.120 0% 15 0.6мс 0.6 0.5 0.8

[uh-nope@Edge DW] /tool> traceroute 10.100.3.120 protocol=u
# ADDRESS LOSS SENT LAST AV
1 100% 2 таймаут
2 100% 1 таймаут
3 100% 1 таймаут
4 100% 1 таймаут
5 100% 1 таймаут

Для ясности: режим отладки radius запущен, на серверном интерфейсе захват трафика показывает, что пакеты до сервера вообще не доходят — они погибают на этом устройстве RouterOS. Похоже, их просто «проглатывает чёрная дыра».

pukkita

Guest

25.07.2017 09:45:00

Traceroute в режиме udp работает не так, как вы думаете — показывается только другой маршрутизатор как достижимый. Этот метод не подходит для проверки доступности сервисов, но может быть альтернативным способом трассировки маршрута, например, когда icmp фильтруется.

Сделайте экспорт настроек:
Post /interface export
/ip export

С маршрутизатора, напрямую подключенного к radius, чтобы перепроверить:
1. Интерфейс, который смотрит на сервер radius, правильный
2. IP на этом интерфейсе правильный
3. Правильные маршруты (вроде бы всё нормально, раз пинг есть, но лучше проверить)
4. Нет фильтров Firewall, мешающих трафику radius
5. Нет NAT в Firewall, который портит трафик radius

Команды для проверки:
ifconfig
netstat -rn
netstat -an
iptables -nL
iptables -t nat -nL

На сервере radius нужно проверить то же самое.

Хочу ещё раз настоять на использовании последнего багфикса 6.38.7 вместе с последней прошивкой. Если этот radius раньше работал нормально, а внезапно начал глючить из-за маршрутизатора, сохраните экспорт и резервную копию конфигурации (или вручную сделайте резервные копии сертификатов и прочего) и сразу же выполните netinstall до версии 6.38.7.

wadeblackwell

Guest

#10

25.07.2017 13:49:00

Большое спасибо за ответ. Запрошенная информация во вложении. Я немного почистил, но основные данные на месте. Я на 99% уверен, что проблема не в хосте на Linux. Думаю, дело кроется в таблице NAT, если говорить примерно. int-ipexport.txt (68.1 KB)

pukkita

Guest

#11

25.07.2017 15:01:00

Все ещё смотрю (гигантский .rsc), но
/ip firewall filter
add chain=input connection-nat-state=srcnat,dstnat connection-state=related,new dst-address=10.100.3.120 dst-port=1812 log=yes protocol=udp src-address=10.0.0.0/8 src-address-list=WCC
...
/ip firewall filter
add chain=forward comment="Allow Radius Traffic to wil-rad-01" protocol=tcp dst-address=10.100.3.120 dst-port=1812,1813 in-interface=bridge-Servers
протокол во втором правиле должен быть udp. Сомневаюсь, что первое правило сработает по заданным критериям; мы работаем с цепочкой forward даже при dst-nat, так что я бы поменял первое правило на:
/ip firewall filter
add chain=forward dst-address=10.100.3.120 dst-port=1812,1813 log=yes protocol=udp src-address-list=WCC
Вот и все необходимые правила, при условии, что список WCC будет в актуальном состоянии. Видел только одно правило по src-nat, связанное с radius, думаю, оно предназначено для того, чтобы radius-сервер мог выходить в интернет для обновлений и прочего?

mlay Guest	#12 0 27.07.2017 12:08:00 Если кто-то может помочь мне с настройкой User Manager, я уже всё настроил, но через ваучер войти не получается — пишет «неверное имя пользователя или пароль».

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры