alibek Опубликовано 30 августа, 2019 · Жалоба Есть настроенный и работающий RADIUS-сервер с IP-адресом 10.1.128.100. Есть NAS, который работает с этим RADIUS-сервером (микротик с хотспотом), его IP-адрес (используемый для связи с RADIUS) 10.1.128.101. За микротиком есть несколько точек доступа в подсети 10.10.10.0/24. Мне нужно, чтобы эти точки доступа так же могли обращаться к RADIUS-серверу. Сейчас эти обращения идут через NAT на микротике, при этом на RADIUS-сервере обращения от них поступают от 10.1.128.101, но в NAS-IP-Address указан IP-адрес точки доступа (10.10.10.x). Можно ли как-то диффиренциировать на RADIUS-сервере обращения от точек доступа и от микротика? Абстрактно это должно быть что-то вроде такого в clients.conf: client hotspot-mt { ipaddr = 10.1.128.101 nasip = 10.1.128.101 ... } client hotspot-ap { ipaddr = 10.1.128.101 nasip = 10.10.10.0/24 ... } Но в определении клиентов атрибуты еще недоступны и использовать их нельзя. Как лучше такое решать? Прямая маршрутизация между 10.10.10.0/24 и 10.1.128.0/24 невозможна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 августа, 2019 · Жалоба Попробовал сделать так. На микротике создал дополнительный IP-адрес 10.1.128.110 и для всех обращений к RADIUS делаю srcnat на этот адрес. И соответственно, в clients.conf указываю IP-адрес клиента как 10.1.128.110 (чтобы отличать его от 10.1.128.101). Входящие запросы приходят: 15:26:31.655143 IP (tos 0x0, ttl 63, id 29977, offset 0, flags [DF], proto UDP (17), length 164) 10.1.128.110.39193 > 10.1.128.100.radius: RADIUS, length: 136 Access-Request (1), id: 0x02, Authenticator: 2c9b3dfd3067112225d0005e83a8b442 User-Name Attribute (1), length: 10, Value: xxx NAS-IP-Address Attribute (4), length: 6, Value: 10.10.10.51 NAS-Identifier Attribute (32), length: 11, Value: Wive-NG 0 NAS-Port Attribute (5), length: 6, Value: 1 Called-Station-Id Attribute (30), length: 19, Value: F8-F0-82-2E-A1-BD Calling-Station-Id Attribute (31), length: 19, Value: CC-61-E5-0F-54-4A Framed-MTU Attribute (12), length: 6, Value: 1400 NAS-Port-Type Attribute (61), length: 6, Value: Wireless - IEEE 802.11 EAP-Message Attribute (79), length: 15, Value: .. Message-Authenticator Attribute (80), length: 18, Value: %(0.J...m.....Ag Но FreeRADIUS не дает на них ответы. Он их игнорирует потому что IP-адрес и NAS-IP-Address не совпадает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 30 августа, 2019 · Жалоба И себе же отвечаю — clients.conf обновил, а перезапустить RADIUS забыл. Все работает, на хотспоте настроил WPA-EAP с авторизацией по логину/паролю прямо при подключении к беспроводной сети. Мне даже нравится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...