VolanD666 Опубликовано 15 июня, 2015 · Жалоба Добрый день! Пытаюсь настроить аутентификацию на микротике через радиус. Вроде все работает, но если смотреть логи радиуса процесс происходит как-то странно: сначала микротик отправляет на радиус Access-Request просто с логином (без пароля), отправляет зачем-то два раза. Потом отправляет реквест, но уже с логином и паролем, тоже два раза (причем каждый раз радиус отвечает микротику). Сначала думал, что проблема в настройках радиуса, но по логам микротика, он действительно шлет такие Access-Request. Микротик настроен так: >radius print detail service=login called-id="" domain="" address=10.250.3.3 secret="secret" authentication-port=1812 accounting-port=1813 timeout=2s accounting-backup=no realm="" > user aaa print use-radius: yes accounting: no interim-update: 0s default-group: read exclude-groups: Зачем он так делает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 15 июня, 2015 · Жалоба Не надо искать тут логику. Это микротик. Надо понять, принять и простить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 15 июня, 2015 (изменено) · Жалоба Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :) Изменено 15 июня, 2015 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 15 июня, 2015 · Жалоба Ну т.е. не у меня одного так? Не могу спать спокойно, когда не до конца понимаю как работает моя сеть :) Тут есть два варианта. Либо принимать антидепрессанты, либо уйти в запой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 июня, 2015 · Жалоба или поставить второй микротик, который будет вырезать лишние запросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 июня, 2015 · Жалоба Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 15 июня, 2015 · Жалоба Вы для какой цели это делаете? Что бы абонентов подключать по PPP или для доступа администраторов и установки им соответствующих прав? Для доступа администраторов на консоль микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 июня, 2015 · Жалоба Для доступа администраторов на консоль микротика. Консоль это терминал? Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование. Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса. Радиус настраивается на микротике следующим образом: /radius add address=10.10.10.1 secret=PASS /user aaa set use-radius=yes Все. Больше ничего нигде трогать не следует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 июня, 2015 · Жалоба Для доступа администраторов на консоль микротика. Консоль это терминал? Если вы настраиваете доступ по радиусу в винбокс, то микротик запрашивает логин и пароль, при этом используется шифрование. Если вы настраиваете доступ по радиусу в консоль, то микротик запрашивает логин и пароль без шифрования, и ваш радиус должен уметь отвечать на оба этих запроса. Радиус настраивается на микротике следующим образом: /radiusadd address=10.10.10.1 secret=PASS/user aaaset use-radius=yes Все. Больше ничего нигде трогать не следует. У меня так и настроено, остальное все по умолчанию. Убрал service=login, но ничего не изменилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 16 июня, 2015 · Жалоба Зачем он так делает? Потому-что гладолус (с) Это микрот, что вы от него хотите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 июня, 2015 · Жалоба Ну это у всех так или я чета не так делаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 июня, 2015 · Жалоба Ну это у всех так или я чета не так делаю? У меня все нормально работает в такой схеме, настройки я приводил выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 16 июня, 2015 (изменено) · Жалоба Ну это у всех так или я чета не так делаю? У меня все нормально работает в такой схеме, настройки я приводил выше. А можете radius print detail и user aaa print и, если можно, номер прошивки? Изменено 16 июня, 2015 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 июня, 2015 · Жалоба Ну это у всех так или я чета не так делаю? У меня все нормально работает в такой схеме, настройки я приводил выше. А можете radius print detail и user aaa print и, если можно, номер прошивки? Прошивки любые, начиная с 5.21 где-то и выше почти вся 6 версия. radius print detail 0 service="" called-id="" domain="" address=10.10.10.1 secret="PASS" authentication-port=1812 accounting-port=1813 timeout=300ms accounting-backup=no realm="" user aaa print use-radius: yes accounting: yes interim-update: 0s default-group: read exclude-groups: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 июня, 2015 (изменено) · Жалоба Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает? Изменено 18 июня, 2015 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июня, 2015 · Жалоба Хмм, настройки такие же. А у вас SSH, а то на телнете у меня тоже работает? Для телнета/терминала используется отправка данных без шифрования, через винбокс с шифрованием. Поэтому нужно либо настраивать один радиус сервер на работу с этими требованиями, или запускать 2 радиус сервера, а на оборудовании указывать 2 адреса в конфигурации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 20 июня, 2015 · Жалоба Вот это логика!!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 20 июня, 2015 · Жалоба Вот это логика!!!! Ну так это же микротик. Там ничего в единичном экземляре не работает... Для каждой задачи нужно 2 железки, 2 радиуса итд. Хочешь заходить по телнету - ставь два микротика, хочешь по ssh - ещё два. (а лучше три) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 22 июня, 2015 · Жалоба 2 радиуса Вот тут полегче, ладно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 июня, 2015 · Жалоба 2 радиуса Вот тут полегче, ладно? Т.е. перейти на DIAMETR? Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 22 июня, 2015 · Жалоба Да так то все работает, я просто логику не понимаю. Т.е. для телнета он шлет один раз, а для ssh дублирует, причем сначала без пароля. Забейте. Это микротик (с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...