[lw97]

Здравствуйте.

Такая проблема, не могу представить красивого варианта настройки привязки определенного IP под конкретного пользователя после аутентификации на порте с 802.1х. Поднял и играюсь с freeRADIUS, пытаюсь передать DHCP тика параметр Framed-IP-Address (ну или Framed-Pool). Проблема в том, что DHCP при использовании радиус-клиента тиковского посылает на радиус-сервер запрос только с маком-как-имя и пустым паролем, а через 802.1, очевидно, используется EAP с нормальными логин-паролем Привязываться к макам не особо хочется. Как можно сделать это?

Еще где-то на зарубежных форумах краем глаза встречал, что тиковский DHCP не всегда как-то работает с Framed-штуками, как ожидается, но обсуждение потерял и не могу найти.

Вообще возможна такая реализация? Смотрел на user-manager, но он какой-то куцеватый немного. Хотя вон в v7-beta routeros его неплохо так расширили. Он сможет эту задачу решить?

Заранее спасибо за ответ.

[Saab95]

Если у вас абонент привязан к порту, то радиус микротика передает имя порта в запросе - по имени порта и привязывать. Еще там и адрес роутера есть, с которого запрос пришел.

[lw97]

On 1/27/2020 at 7:36 PM, Saab95 said:

Если у вас абонент привязан к порту, то радиус микротика передает имя порта в запросе - по имени порта и привязывать. Еще там и адрес роутера есть, с которого запрос пришел.

А если я как раз хочу отойти от привязки к порту? Чтобы можно было аутентифицироваться на любом порте (из любой "дырки" в сети) и получить тот же адрес?

[Saab95]

Тогда получается как у билайна авторизация по мак адресу.

 

1. Компьютер клиента подключается в любом месте сети, идет запрос на радиус о получении адреса.

2. Радиус сравнивает мак клиента со своей базой, если его в базе нет, выдает абоненту серый служебный адрес, аренда 10 минут, с которого доступ только на сайт и в поле ввода логина / пароля.

3. Клиент вводит логин и пароль, форма отправляет данные на сервер, откуда они попадают в базу радиуса - мак абонента, коммутатор/роутер откуда пришел запрос, порт.

4. Клиент по истечении времени аренды адреса снова запрашивает IP, ему радиус выдает рабочий, абонент пользуется.

 

Если абонент воткнул этот комп в другом месте сети, то радиус сервер увидит, что запрос пришел с нового порта, которого в базе нет, и выдает ему снова серый служебный адрес и запрашивает логин с паролем. После успешной аутентификации на новом месте старые данные удаляются.

 

Соответственно при такой схеме нужно просто настроить радиус сервер и веб форму с запросом пароля, что бы они обменивались данными и все, на микротике ничего делать не надо, кроме как включить DHCP сервер на каждом порту, настроить раздачу адресов через радиус. Ну и сделать перенаправление с серых служебных адресов на страничку с вводом логина и пароля.

[lw97]

2 hours ago, Saab95 said:

Тогда получается как у билайна авторизация по мак адресу.

Ну то есть получается, что "внутри" тика, или только с использованием одного лишь радиус-сервера такого не добиться. Понял, спасибо, буду дальше думать, как получше организовать.