Перейти к содержимому
Калькуляторы

Вопрос по настройке FreeRADIUS

Ответить

alibek   

alibek
Опубликовано · Жалоба

Есть настроенный и работающий RADIUS-сервер с IP-адресом 10.1.128.100.

Есть NAS, который работает с этим RADIUS-сервером (микротик с хотспотом), его IP-адрес (используемый для связи с RADIUS) 10.1.128.101.

За микротиком есть несколько точек доступа в подсети 10.10.10.0/24. Мне нужно, чтобы эти точки доступа так же могли обращаться к RADIUS-серверу.

Сейчас эти обращения идут через NAT на микротике, при этом на RADIUS-сервере обращения от них поступают от 10.1.128.101, но в NAS-IP-Address указан IP-адрес точки доступа (10.10.10.x).

Можно ли как-то диффиренциировать на RADIUS-сервере обращения от точек доступа и от микротика?

Абстрактно это должно быть что-то вроде такого в clients.conf: 

client hotspot-mt {
   ipaddr = 10.1.128.101
   nasip = 10.1.128.101
   ...
}

client hotspot-ap {
   ipaddr = 10.1.128.101
   nasip = 10.10.10.0/24
   ...
}

Но в определении клиентов атрибуты еще недоступны и использовать их нельзя.

Как лучше такое решать?

Прямая маршрутизация между 10.10.10.0/24 и 10.1.128.0/24 невозможна.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

alibek   

alibek
Опубликовано · Жалоба

Попробовал сделать так.

На микротике создал дополнительный IP-адрес 10.1.128.110 и для всех обращений к RADIUS делаю srcnat на этот адрес.

И соответственно, в clients.conf указываю IP-адрес клиента как 10.1.128.110 (чтобы отличать его от 10.1.128.101).

Входящие запросы приходят: 

15:26:31.655143 IP (tos 0x0, ttl 63, id 29977, offset 0, flags [DF], proto UDP (17), length 164)
    10.1.128.110.39193 > 10.1.128.100.radius: RADIUS, length: 136
   Access-Request (1), id: 0x02, Authenticator: 2c9b3dfd3067112225d0005e83a8b442
     User-Name Attribute (1), length: 10, Value: xxx
     NAS-IP-Address Attribute (4), length: 6, Value: 10.10.10.51
     NAS-Identifier Attribute (32), length: 11, Value: Wive-NG 0
     NAS-Port Attribute (5), length: 6, Value: 1
     Called-Station-Id Attribute (30), length: 19, Value: F8-F0-82-2E-A1-BD
     Calling-Station-Id Attribute (31), length: 19, Value: CC-61-E5-0F-54-4A
     Framed-MTU Attribute (12), length: 6, Value: 1400
     NAS-Port-Type Attribute (61), length: 6, Value: Wireless - IEEE 802.11
     EAP-Message Attribute (79), length: 15, Value: ..
     Message-Authenticator Attribute (80), length: 18, Value: %(0.J...m.....Ag

Но FreeRADIUS не дает на них ответы.

Он их игнорирует потому что IP-адрес и NAS-IP-Address не совпадает?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

alibek   

alibek
Опубликовано · Жалоба

И себе же отвечаю — clients.conf обновил, а перезапустить RADIUS забыл.

Все работает, на хотспоте настроил WPA-EAP с авторизацией по логину/паролю прямо при подключении к беспроводной сети.

Мне даже нравится.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Программное обеспечение, биллинг и *unix системы