Jump to content
Калькуляторы

Mikrotik. Аутентификация на радиусе

Добрый день!

Пытаюсь настроить аутентификацию на микротике через радиус. Вроде все работает, но если смотреть логи радиуса процесс происходит как-то странно: сначала микротик отправляет на радиус Access-Request просто с логином (без пароля), отправляет зачем-то два раза. Потом отправляет реквест, но уже с логином и паролем, тоже два раза (причем каждый раз радиус отвечает микротику). Сначала думал, что проблема в настройках радиуса, но по логам микротика, он действительно шлет такие Access-Request.

Микротик настроен так:

 

>radius print detail
service=login called-id="" domain="" address=10.250.3.3 secret="secret" authentication-port=1812 accounting-port=1813 timeout=2s accounting-backup=no realm=""

 

> user aaa print

 use-radius: yes
 accounting: no
 interim-update: 0s
 default-group: read
 exclude-groups:

 

Зачем он так делает?

Share this post


Link to post
Share on other sites

Не надо искать тут логику. Это микротик. Надо понять, принять и простить.

Share this post


Link to post
Share on other sites

Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :)

Edited by VolanD666

Share this post


Link to post
Share on other sites

Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :)

Тут есть два варианта. Либо принимать антидепрессанты, либо уйти в запой.

Share this post


Link to post
Share on other sites

или поставить второй микротик, который будет вырезать лишние запросы

Share this post


Link to post
Share on other sites

Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав?

Share this post


Link to post
Share on other sites

Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав?

 

Для доступа администраторов на консоль микротика.

Share this post


Link to post
Share on other sites

Для доступа администраторов на консоль микротика.

 

Консоль это терминал?

Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование.

Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса.

 

Радиус настраивается на микротике следующим образом:

/radius
add address=10.10.10.1 secret=PASS
/user aaa
set use-radius=yes

 

Все. Больше ничего нигде трогать не следует.

Share this post


Link to post
Share on other sites

Для доступа администраторов на консоль микротика.

 

 

Консоль это терминал?

Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование.

Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса.

 

Радиус настраивается на микротике следующим образом:

 

/radiusadd address=10.10.10.1 secret=PASS/user aaaset use-radius=yes

 

 

Все. Больше ничего нигде трогать не следует.

 

 

У меня так и настроено, остальное все по умолчанию. Убрал service=login, но ничего не изменилось.

Share this post


Link to post
Share on other sites

Зачем он так делает?

 

Потому-что гладолус (с)

Это микрот, что вы от него хотите.

Share this post


Link to post
Share on other sites

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

Share this post


Link to post
Share on other sites

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

 

А можете radius print detail и user aaa print и, если можно, номер прошивки?

Edited by VolanD666

Share this post


Link to post
Share on other sites

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

 

А можете radius print detail и user aaa print и, если можно, номер прошивки?

 

Прошивки любые, начиная с 5.21 где-то и выше почти вся 6 версия.

 

radius print detail
0   service="" called-id="" domain="" address=10.10.10.1 secret="PASS" 
	authentication-port=1812 accounting-port=1813 timeout=300ms 
	accounting-backup=no realm="" 

user aaa print
 	use-radius: yes
 	accounting: yes
 interim-update: 0s
  default-group: read
 exclude-groups: 

Share this post


Link to post
Share on other sites

Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает?

Edited by VolanD666

Share this post


Link to post
Share on other sites

Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает?

 

Для телнета/терминала используется отправка данных без шифрования, через винбокс с шифрованием. Поэтому нужно либо настраивать один радиус сервер на работу с этими требованиями, или запускать 2 радиус сервера, а на оборудовании указывать 2 адреса в конфигурации.

Share this post


Link to post
Share on other sites

Вот это логика!!!!

Ну так это же микротик. Там ничего в единичном экземляре не работает...

Для каждой задачи нужно 2 железки, 2 радиуса итд.

 

Хочешь заходить по телнету - ставь два микротика, хочешь по ssh - ещё два. (а лучше три)

Share this post


Link to post
Share on other sites
2 радиуса

Вот тут полегче, ладно?

 

Т.е. перейти на DIAMETR?

 

Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля.

Share this post


Link to post
Share on other sites

Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля.

Забейте. Это микротик (с)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this