Jump to content

Mikrotik. Аутентификация на радиусе

VolanD666
 Share

Recommended Posts

VolanD666

VolanD666

Posted
Posted

Добрый день!

Пытаюсь настроить аутентификацию на микротике через радиус. Вроде все работает, но если смотреть логи радиуса процесс происходит как-то странно: сначала микротик отправляет на радиус Access-Request просто с логином (без пароля), отправляет зачем-то два раза. Потом отправляет реквест, но уже с логином и паролем, тоже два раза (причем каждый раз радиус отвечает микротику). Сначала думал, что проблема в настройках радиуса, но по логам микротика, он действительно шлет такие Access-Request.

Микротик настроен так:

 

>radius print detail
service=login called-id="" domain="" address=10.250.3.3 secret="secret" authentication-port=1812 accounting-port=1813 timeout=2s accounting-backup=no realm=""

 

> user aaa print

 use-radius: yes
 accounting: no
 interim-update: 0s
 default-group: read
 exclude-groups:

 

Зачем он так делает?

myst

myst

Posted
Posted

Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :)

Тут есть два варианта. Либо принимать антидепрессанты, либо уйти в запой.

Saab95

Saab95

Posted
Posted

Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав?

VolanD666

VolanD666

Posted
  • Author
Posted

Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав?

 

Для доступа администраторов на консоль микротика.

Saab95

Saab95

Posted
Posted

Для доступа администраторов на консоль микротика.

 

Консоль это терминал?

Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование.

Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса.

 

Радиус настраивается на микротике следующим образом:

/radius
add address=10.10.10.1 secret=PASS
/user aaa
set use-radius=yes

 

Все. Больше ничего нигде трогать не следует.

VolanD666

VolanD666

Posted
  • Author
Posted

Для доступа администраторов на консоль микротика.

 

 

Консоль это терминал?

Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование.

Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса.

 

Радиус настраивается на микротике следующим образом:

 

/radiusadd address=10.10.10.1 secret=PASS/user aaaset use-radius=yes

 

 

Все. Больше ничего нигде трогать не следует.

 

 

У меня так и настроено, остальное все по умолчанию. Убрал service=login, но ничего не изменилось.

VolanD666

VolanD666

Posted
  • Author
Posted (edited)

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

 

А можете radius print detail и user aaa print и, если можно, номер прошивки?

Edited by VolanD666
Saab95

Saab95

Posted
Posted

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

 

А можете radius print detail и user aaa print и, если можно, номер прошивки?

 

Прошивки любые, начиная с 5.21 где-то и выше почти вся 6 версия.

 

radius print detail
0   service="" called-id="" domain="" address=10.10.10.1 secret="PASS" 
	authentication-port=1812 accounting-port=1813 timeout=300ms 
	accounting-backup=no realm="" 

user aaa print
 	use-radius: yes
 	accounting: yes
 interim-update: 0s
  default-group: read
 exclude-groups:

Saab95

Saab95

Posted
Posted

Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает?

 

Для телнета/терминала используется отправка данных без шифрования, через винбокс с шифрованием. Поэтому нужно либо настраивать один радиус сервер на работу с этими требованиями, или запускать 2 радиус сервера, а на оборудовании указывать 2 адреса в конфигурации.

myst

myst

Posted
Posted

Вот это логика!!!!

Ну так это же микротик. Там ничего в единичном экземляре не работает...

Для каждой задачи нужно 2 железки, 2 радиуса итд.

 

Хочешь заходить по телнету - ставь два микротика, хочешь по ssh - ещё два. (а лучше три)

VolanD666

VolanD666

Posted
  • Author
Posted
2 радиуса

Вот тут полегче, ладно?

 

Т.е. перейти на DIAMETR?

 

Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля.

Night_Snake

Night_Snake

Posted
Posted

Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля.

Забейте. Это микротик (с)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.