lw97 Опубликовано 27 января, 2020 · Жалоба Здравствуйте. Такая проблема, не могу представить красивого варианта настройки привязки определенного IP под конкретного пользователя после аутентификации на порте с 802.1х. Поднял и играюсь с freeRADIUS, пытаюсь передать DHCP тика параметр Framed-IP-Address (ну или Framed-Pool). Проблема в том, что DHCP при использовании радиус-клиента тиковского посылает на радиус-сервер запрос только с маком-как-имя и пустым паролем, а через 802.1, очевидно, используется EAP с нормальными логин-паролем Привязываться к макам не особо хочется. Как можно сделать это? Еще где-то на зарубежных форумах краем глаза встречал, что тиковский DHCP не всегда как-то работает с Framed-штуками, как ожидается, но обсуждение потерял и не могу найти. Вообще возможна такая реализация? Смотрел на user-manager, но он какой-то куцеватый немного. Хотя вон в v7-beta routeros его неплохо так расширили. Он сможет эту задачу решить? Заранее спасибо за ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 января, 2020 · Жалоба Если у вас абонент привязан к порту, то радиус микротика передает имя порта в запросе - по имени порта и привязывать. Еще там и адрес роутера есть, с которого запрос пришел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lw97 Опубликовано 29 января, 2020 · Жалоба On 1/27/2020 at 7:36 PM, Saab95 said: Если у вас абонент привязан к порту, то радиус микротика передает имя порта в запросе - по имени порта и привязывать. Еще там и адрес роутера есть, с которого запрос пришел. А если я как раз хочу отойти от привязки к порту? Чтобы можно было аутентифицироваться на любом порте (из любой "дырки" в сети) и получить тот же адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 января, 2020 · Жалоба Тогда получается как у билайна авторизация по мак адресу. 1. Компьютер клиента подключается в любом месте сети, идет запрос на радиус о получении адреса. 2. Радиус сравнивает мак клиента со своей базой, если его в базе нет, выдает абоненту серый служебный адрес, аренда 10 минут, с которого доступ только на сайт и в поле ввода логина / пароля. 3. Клиент вводит логин и пароль, форма отправляет данные на сервер, откуда они попадают в базу радиуса - мак абонента, коммутатор/роутер откуда пришел запрос, порт. 4. Клиент по истечении времени аренды адреса снова запрашивает IP, ему радиус выдает рабочий, абонент пользуется. Если абонент воткнул этот комп в другом месте сети, то радиус сервер увидит, что запрос пришел с нового порта, которого в базе нет, и выдает ему снова серый служебный адрес и запрашивает логин с паролем. После успешной аутентификации на новом месте старые данные удаляются. Соответственно при такой схеме нужно просто настроить радиус сервер и веб форму с запросом пароля, что бы они обменивались данными и все, на микротике ничего делать не надо, кроме как включить DHCP сервер на каждом порту, настроить раздачу адресов через радиус. Ну и сделать перенаправление с серых служебных адресов на страничку с вводом логина и пароля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lw97 Опубликовано 29 января, 2020 · Жалоба 2 hours ago, Saab95 said: Тогда получается как у билайна авторизация по мак адресу. Ну то есть получается, что "внутри" тика, или только с использованием одного лишь радиус-сервера такого не добиться. Понял, спасибо, буду дальше думать, как получше организовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...