lw97 Posted January 27, 2020 Posted January 27, 2020 Здравствуйте. Такая проблема, не могу представить красивого варианта настройки привязки определенного IP под конкретного пользователя после аутентификации на порте с 802.1х. Поднял и играюсь с freeRADIUS, пытаюсь передать DHCP тика параметр Framed-IP-Address (ну или Framed-Pool). Проблема в том, что DHCP при использовании радиус-клиента тиковского посылает на радиус-сервер запрос только с маком-как-имя и пустым паролем, а через 802.1, очевидно, используется EAP с нормальными логин-паролем Привязываться к макам не особо хочется. Как можно сделать это? Еще где-то на зарубежных форумах краем глаза встречал, что тиковский DHCP не всегда как-то работает с Framed-штуками, как ожидается, но обсуждение потерял и не могу найти. Вообще возможна такая реализация? Смотрел на user-manager, но он какой-то куцеватый немного. Хотя вон в v7-beta routeros его неплохо так расширили. Он сможет эту задачу решить? Заранее спасибо за ответ. Вставить ник Quote
Saab95 Posted January 27, 2020 Posted January 27, 2020 Если у вас абонент привязан к порту, то радиус микротика передает имя порта в запросе - по имени порта и привязывать. Еще там и адрес роутера есть, с которого запрос пришел. Вставить ник Quote
lw97 Posted January 29, 2020 Author Posted January 29, 2020 On 1/27/2020 at 7:36 PM, Saab95 said: Если у вас абонент привязан к порту, то радиус микротика передает имя порта в запросе - по имени порта и привязывать. Еще там и адрес роутера есть, с которого запрос пришел. А если я как раз хочу отойти от привязки к порту? Чтобы можно было аутентифицироваться на любом порте (из любой "дырки" в сети) и получить тот же адрес? Вставить ник Quote
Saab95 Posted January 29, 2020 Posted January 29, 2020 Тогда получается как у билайна авторизация по мак адресу. 1. Компьютер клиента подключается в любом месте сети, идет запрос на радиус о получении адреса. 2. Радиус сравнивает мак клиента со своей базой, если его в базе нет, выдает абоненту серый служебный адрес, аренда 10 минут, с которого доступ только на сайт и в поле ввода логина / пароля. 3. Клиент вводит логин и пароль, форма отправляет данные на сервер, откуда они попадают в базу радиуса - мак абонента, коммутатор/роутер откуда пришел запрос, порт. 4. Клиент по истечении времени аренды адреса снова запрашивает IP, ему радиус выдает рабочий, абонент пользуется. Если абонент воткнул этот комп в другом месте сети, то радиус сервер увидит, что запрос пришел с нового порта, которого в базе нет, и выдает ему снова серый служебный адрес и запрашивает логин с паролем. После успешной аутентификации на новом месте старые данные удаляются. Соответственно при такой схеме нужно просто настроить радиус сервер и веб форму с запросом пароля, что бы они обменивались данными и все, на микротике ничего делать не надо, кроме как включить DHCP сервер на каждом порту, настроить раздачу адресов через радиус. Ну и сделать перенаправление с серых служебных адресов на страничку с вводом логина и пароля. Вставить ник Quote
lw97 Posted January 29, 2020 Author Posted January 29, 2020 2 hours ago, Saab95 said: Тогда получается как у билайна авторизация по мак адресу. Ну то есть получается, что "внутри" тика, или только с использованием одного лишь радиус-сервера такого не добиться. Понял, спасибо, буду дальше думать, как получше организовать. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.