Перейти к содержимому
Калькуляторы

Mikrotik. Аутентификация на радиусе

Добрый день!

Пытаюсь настроить аутентификацию на микротике через радиус. Вроде все работает, но если смотреть логи радиуса процесс происходит как-то странно: сначала микротик отправляет на радиус Access-Request просто с логином (без пароля), отправляет зачем-то два раза. Потом отправляет реквест, но уже с логином и паролем, тоже два раза (причем каждый раз радиус отвечает микротику). Сначала думал, что проблема в настройках радиуса, но по логам микротика, он действительно шлет такие Access-Request.

Микротик настроен так:

 

>radius print detail
service=login called-id="" domain="" address=10.250.3.3 secret="secret" authentication-port=1812 accounting-port=1813 timeout=2s accounting-backup=no realm=""

 

> user aaa print

 use-radius: yes
 accounting: no
 interim-update: 0s
 default-group: read
 exclude-groups:

 

Зачем он так делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо искать тут логику. Это микротик. Надо понять, принять и простить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :)

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :)

Тут есть два варианта. Либо принимать антидепрессанты, либо уйти в запой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

или поставить второй микротик, который будет вырезать лишние запросы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав?

 

Для доступа администраторов на консоль микротика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для доступа администраторов на консоль микротика.

 

Консоль это терминал?

Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование.

Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса.

 

Радиус настраивается на микротике следующим образом:

/radius
add address=10.10.10.1 secret=PASS
/user aaa
set use-radius=yes

 

Все. Больше ничего нигде трогать не следует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для доступа администраторов на консоль микротика.

 

 

Консоль это терминал?

Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование.

Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса.

 

Радиус настраивается на микротике следующим образом:

 

/radiusadd address=10.10.10.1 secret=PASS/user aaaset use-radius=yes

 

 

Все. Больше ничего нигде трогать не следует.

 

 

У меня так и настроено, остальное все по умолчанию. Убрал service=login, но ничего не изменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем он так делает?

 

Потому-что гладолус (с)

Это микрот, что вы от него хотите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

 

А можете radius print detail и user aaa print и, если можно, номер прошивки?

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну это у всех так или я чета не так делаю?

 

У меня все нормально работает в такой схеме, настройки я приводил выше.

 

А можете radius print detail и user aaa print и, если можно, номер прошивки?

 

Прошивки любые, начиная с 5.21 где-то и выше почти вся 6 версия.

 

radius print detail
0   service="" called-id="" domain="" address=10.10.10.1 secret="PASS" 
	authentication-port=1812 accounting-port=1813 timeout=300ms 
	accounting-backup=no realm="" 

user aaa print
 	use-radius: yes
 	accounting: yes
 interim-update: 0s
  default-group: read
 exclude-groups: 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает?

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает?

 

Для телнета/терминала используется отправка данных без шифрования, через винбокс с шифрованием. Поэтому нужно либо настраивать один радиус сервер на работу с этими требованиями, или запускать 2 радиус сервера, а на оборудовании указывать 2 адреса в конфигурации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот это логика!!!!

Ну так это же микротик. Там ничего в единичном экземляре не работает...

Для каждой задачи нужно 2 железки, 2 радиуса итд.

 

Хочешь заходить по телнету - ставь два микротика, хочешь по ssh - ещё два. (а лучше три)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 радиуса

Вот тут полегче, ладно?

 

Т.е. перейти на DIAMETR?

 

Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля.

Забейте. Это микротик (с)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.