Jump to content

Вопрос по настройке FreeRADIUS

alibek
 Share

Recommended Posts

alibek

alibek

Posted
Posted

Есть настроенный и работающий RADIUS-сервер с IP-адресом 10.1.128.100.

Есть NAS, который работает с этим RADIUS-сервером (микротик с хотспотом), его IP-адрес (используемый для связи с RADIUS) 10.1.128.101.

За микротиком есть несколько точек доступа в подсети 10.10.10.0/24. Мне нужно, чтобы эти точки доступа так же могли обращаться к RADIUS-серверу.

Сейчас эти обращения идут через NAT на микротике, при этом на RADIUS-сервере обращения от них поступают от 10.1.128.101, но в NAS-IP-Address указан IP-адрес точки доступа (10.10.10.x).

Можно ли как-то диффиренциировать на RADIUS-сервере обращения от точек доступа и от микротика?

Абстрактно это должно быть что-то вроде такого в clients.conf: 

client hotspot-mt {
   ipaddr = 10.1.128.101
   nasip = 10.1.128.101
   ...
}

client hotspot-ap {
   ipaddr = 10.1.128.101
   nasip = 10.10.10.0/24
   ...
}

Но в определении клиентов атрибуты еще недоступны и использовать их нельзя.

Как лучше такое решать?

Прямая маршрутизация между 10.10.10.0/24 и 10.1.128.0/24 невозможна.

alibek

alibek

Posted
  • Author
Posted

Попробовал сделать так.

На микротике создал дополнительный IP-адрес 10.1.128.110 и для всех обращений к RADIUS делаю srcnat на этот адрес.

И соответственно, в clients.conf указываю IP-адрес клиента как 10.1.128.110 (чтобы отличать его от 10.1.128.101).

Входящие запросы приходят: 

15:26:31.655143 IP (tos 0x0, ttl 63, id 29977, offset 0, flags [DF], proto UDP (17), length 164)
    10.1.128.110.39193 > 10.1.128.100.radius: RADIUS, length: 136
   Access-Request (1), id: 0x02, Authenticator: 2c9b3dfd3067112225d0005e83a8b442
     User-Name Attribute (1), length: 10, Value: xxx
     NAS-IP-Address Attribute (4), length: 6, Value: 10.10.10.51
     NAS-Identifier Attribute (32), length: 11, Value: Wive-NG 0
     NAS-Port Attribute (5), length: 6, Value: 1
     Called-Station-Id Attribute (30), length: 19, Value: F8-F0-82-2E-A1-BD
     Calling-Station-Id Attribute (31), length: 19, Value: CC-61-E5-0F-54-4A
     Framed-MTU Attribute (12), length: 6, Value: 1400
     NAS-Port-Type Attribute (61), length: 6, Value: Wireless - IEEE 802.11
     EAP-Message Attribute (79), length: 15, Value: ..
     Message-Authenticator Attribute (80), length: 18, Value: %(0.J...m.....Ag

Но FreeRADIUS не дает на них ответы.

Он их игнорирует потому что IP-адрес и NAS-IP-Address не совпадает?

alibek

alibek

Posted
  • Author
Posted

И себе же отвечаю — clients.conf обновил, а перезапустить RADIUS забыл.

Все работает, на хотспоте настроил WPA-EAP с авторизацией по логину/паролю прямо при подключении к беспроводной сети.

Мне даже нравится.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.