Mikrotik.moscow [тема: Проблемы с аутентификацией Radius]

Проблемы с аутентификацией Radius

Thu, 27 Jul 2017 12:08:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Если кто-то может помочь мне с настройкой User Manager, я уже всё настроил, но через ваучер войти не получается — пишет «неверное имя пользователя или пароль».
27.07.2017 12:08:00, mlay.

Проблемы с аутентификацией Radius

Tue, 25 Jul 2017 15:01:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Все ещё смотрю (гигантский .rsc), но
/ip firewall filter
add chain=input connection-nat-state=srcnat,dstnat connection-state=related,new dst-address=10.100.3.120 dst-port=1812 log=yes protocol=udp src-address=10.0.0.0/8 src-address-list=WCC
...
/ip firewall filter
add chain=forward comment="Allow Radius Traffic to wil-rad-01" protocol=tcp dst-address=10.100.3.120 dst-port=1812,1813 in-interface=bridge-Servers
протокол во втором правиле должен быть udp. Сомневаюсь, что первое правило сработает по заданным критериям; мы работаем с цепочкой forward даже при dst-nat, так что я бы поменял первое правило на:
/ip firewall filter
add chain=forward dst-address=10.100.3.120 dst-port=1812,1813 log=yes protocol=udp src-address-list=WCC
Вот и все необходимые правила, при условии, что список WCC будет в актуальном состоянии. Видел только одно правило по src-nat, связанное с radius, думаю, оно предназначено для того, чтобы radius-сервер мог выходить в интернет для обновлений и прочего?
25.07.2017 15:01:00, pukkita.

Проблемы с аутентификацией Radius

Tue, 25 Jul 2017 13:49:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Большое спасибо за ответ. Запрошенная информация во вложении. Я немного почистил, но основные данные на месте. Я на 99% уверен, что проблема не в хосте на Linux. Думаю, дело кроется в таблице NAT, если говорить примерно. int-ipexport.txt (68.1 KB)
25.07.2017 13:49:00, wadeblackwell.

Проблемы с аутентификацией Radius

Tue, 25 Jul 2017 09:45:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Traceroute в режиме udp работает не так, как вы думаете — показывается только другой маршрутизатор как достижимый. Этот метод не подходит для проверки доступности сервисов, но может быть альтернативным способом трассировки маршрута, например, когда icmp фильтруется.

Сделайте экспорт настроек:
Post /interface export
/ip export

С маршрутизатора, напрямую подключенного к radius, чтобы перепроверить:
1. Интерфейс, который смотрит на сервер radius, правильный
2. IP на этом интерфейсе правильный
3. Правильные маршруты (вроде бы всё нормально, раз пинг есть, но лучше проверить)
4. Нет фильтров Firewall, мешающих трафику radius
5. Нет NAT в Firewall, который портит трафик radius

Команды для проверки:
ifconfig
netstat -rn
netstat -an
iptables -nL
iptables -t nat -nL

На сервере radius нужно проверить то же самое.

Хочу ещё раз настоять на использовании последнего багфикса 6.38.7 вместе с последней прошивкой. Если этот radius раньше работал нормально, а внезапно начал глючить из-за маршрутизатора, сохраните экспорт и резервную копию конфигурации (или вручную сделайте резервные копии сертификатов и прочего) и сразу же выполните netinstall до версии 6.38.7.
25.07.2017 09:45:00, pukkita.

Проблемы с аутентификацией Radius

Mon, 24 Jul 2017 20:36:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Счастливого понедельника, друзья! Ниже экспорт Radius (очищен); [uh-nope@Edge DW] > /radius export
# jul/24/2017 13:18:56 by RouterOS 6.35.4
# software id = YS5S-E7TL
#
/radius
add address=10.100.3.120 secret="*" service=login

[uh-nope@Edge DW] > Трассировка до напрямую подключённого radius-сервера через icmp, затем udp на порт 1812; [uh-nope@Edge DW] /tool> traceroute 10.100.3.120 protocol=icmp
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 10.100.3.120 0% 15 0.6мс 0.6 0.5 0.8

[uh-nope@Edge DW] /tool> traceroute 10.100.3.120 protocol=u
# ADDRESS LOSS SENT LAST AV
1 100% 2 таймаут
2 100% 1 таймаут
3 100% 1 таймаут
4 100% 1 таймаут
5 100% 1 таймаут

Для ясности: режим отладки radius запущен, на серверном интерфейсе захват трафика показывает, что пакеты до сервера вообще не доходят — они погибают на этом устройстве RouterOS. Похоже, их просто «проглатывает чёрная дыра».
24.07.2017 20:36:00, wadeblackwell.

Проблемы с аутентификацией Radius

Fri, 21 Jul 2017 13:34:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Всем спасибо и доброе утро с Западного побережья! Я посмотрю настройки, о которых говорили. Источник не был установлен на 10.100.3.120, так как это адрес назначения для аутентификационного трафика, но я перепроверю лог FR, чтобы увидеть, не жалуется ли он. На самом деле, трафик даже не доходил до хоста. У меня есть более 40 устройств с таким же поведением, и постоянно радиус-трафик именно останавливается на этом хосте, который напрямую подключён к radius-серверу. Еще кофе — и я изучу настройки и логи и отпишусь. Всем спасибо!
21.07.2017 13:34:00, wadeblackwell.

Проблемы с аутентификацией Radius

Fri, 21 Jul 2017 11:49:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Верно, да. Но учитывая его пост «Прилагаются данные о сбросе радиуса», вполне логично предположить, что он сбросил статистику и приложил к этому изображение. Встречал и страннее вещи...
21.07.2017 11:49:00, savage.

Проблемы с аутентификацией Radius

Fri, 21 Jul 2017 11:36:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Если бы это была единственная причина, счетчик Rejects должен был бы расти. Первая задача — увидеть увеличение счетчика Requests, то есть проверить, что ROS использует radius для аутентификации при входе, чего сейчас, похоже, не происходит. Когда счетчик Requests начнет расти, и если, как вы заметили, счетчик Rejects тоже начнет увеличиваться, это будет означать ровно одно: нужно проверить src-address.
21.07.2017 11:36:00, pukkita.

Проблемы с аутентификацией Radius

Fri, 21 Jul 2017 08:48:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Вы настроили ROS использовать 10.100.3.1 как src-address для radius-запросов, но дамп пакетов показывает, что запрос исходит с 10.100.3.120 (локальный адрес ethernet-интерфейса). Это говорит о том, что 10.100.3.1 не назначен роутеру. Есть ли у вас loopback-интерфейс с этим IP? Можете ли пинговать с loopback до FR-сервера и обратно? Пришлите экспорт /interfaces, /ip address и /ip route. Причина, по которой radius отклоняет запрос (игнорирует его), скорее всего в том, что клиент в radius настроен с src 10.100.3.1, а запрос идёт с 10.100.3.120. Если посмотреть логи FR или запустить FR в режиме отладки, вы увидите явные предупреждения и ошибки, потому что сервер получает запросы от неизвестного клиента.
21.07.2017 08:48:00, savage.

Проблемы с аутентификацией Radius

Fri, 21 Jul 2017 08:09:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Первое, что я бы сделал — обновил прошивку до 6.38.7 (последнее исправление ошибок), потом проверил в System > Routerboard Current и Upgrade firmware, при необходимости обновил и перезагрузил маршрутизатор. Убедись, что в Radius > radius server включена опция login, а в System > Users, нажав кнопку [AAA], активирована Use Radius, потому что маршрутизатор не отправляет никаких запросов на radius (0 Requests). Эти показатели практически в реальном времени: если маршрутизатор использует radius для аутентификации при входе, счетчик Requests будет расти; если бы были проблемы с подключением к radius-серверу, увеличились бы счетчики Resends и Timeouts.
21.07.2017 08:09:00, pukkita.

Проблемы с аутентификацией Radius

Thu, 20 Jul 2017 19:32:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Могу приложить правила NAT, если думаешь, что это прояснит ситуацию. Извиняюсь за поздний ответ. Статистика сброса Radius прилагается. Mangle не используется, но src-nat, dst-nat и masquerade — все задействованы. Не думаю, что запросы проходят через NAT, а если и проходят, то исходный адрес «должен» выглядеть как локально подключённый интерфейс к Radius-серверу, и тогда ответы «опять же должны» всегда возвращаться именно на этот интерфейс. L3 настроен на этот интерфейс как шлюз по умолчанию, а L2 должен решать проблему через GARP/ARP, но этого не происходит. Не уверен, что хорошо разбираюсь с NAT на Mikrotik — я из мира Cisco, там всё работает немного по-другому. Несколько безуспешных попыток аутентификации, счётчики остаются нулевыми. Не знаю, обновляются ли они по расписанию или в реальном времени. Подскажите, пожалуйста, большое спасибо!
20.07.2017 19:32:00, wadeblackwell.

Проблемы с аутентификацией Radius

Wed, 28 Jun 2017 12:09:00 +0300

Проблемы с аутентификацией Radius RouterOS в форуме RouterOS.
Доброе утро с Центрального побережья Калифорнии! У меня реализован freeradius, который работает через локальный мостовой интерфейс на CCR1009-8G-1S с версией 6.31. Radius-сервер пингуется, сервис запущен. Если использую инструмент traceroute в ROS и указываю IP radius-сервера и udp 1812, то вижу трафик на интерфейсе radius-сервера. Но когда пытаюсь аутентифицироваться на этом хосте (через winbox или ssh), он вообще не отправляет трафик на radius-сервер. Я добавил конкретные правила фаервола и включил отладку radius, но ничего, просто авторизация для пользователя radius не проходит. Инструмент конфигурации radius говорит, что трафик radius таймаутится. Я пока не очень опытен в ROS, но подобные вопросы отлаживал долго на IOS/NXOS/Freebsd и Linux. Может быть, есть какой-то нюанс в ROS, который я пропустил, чтобы это работало? Любая помощь будет кстати, уже немного схожу с ума из-за вроде бы простой задачи. Могу предоставить любые конфиги или логи, спасибо всем. – W
28.06.2017 12:09:00, wadeblackwell.