mikrotik hotspot dhcp radius Framed-IP-Address

[sasku]

добрый день

пытаюсь настроить на микротике хот-спот с выдачей IP-адресов от радиуса

после создания хотспота мастером создается DHCP pool адресов, из которого выдаются клиентам адреса

в профиле хотспота указываю использовать радиус, запросы на радиус прилетают, радиус отдает Framed-IP-Address, но адреса клиентам выдаются все равно из пула

пробовал радиусов выдавать адреса для дхцп сервера, получилось: хотспот получал из радиуса. но для радиуса фактически стартует две сессии: одна от дхцп сервера и сразу за ней от хотспота и параметр NAS-Port - для обоих разный.

 

как настроить хотспот, чтобы адреса выдавались из радиуса ?

 

[RN3DCX]

В 26.06.2020 в 17:38, sasku сказал:

в профиле хотспота указываю использовать радиус, запросы на радиус прилетают, радиус отдает Framed-IP-Address, но адреса клиентам выдаются все равно из пула

апну тему, т.к. тоже столкнулся с данной проблемой.

[Saab95]

Зачем на хотспоте делать выдачу адресов через радиус?

Если хотите раздавать адреса по маку через радиус - так делайте просто раздачу через радиус, хотспот тут не нужен.

[RN3DCX]

18 минут назад, Saab95 сказал:

Если хотите раздавать адреса по маку через радиус - так делайте просто раздачу через радиус, хотспот тут не нужен.

Всё делалось по мануалу ТЫЦ от White_Crow.

Если у Вас есть другой вариант скрещивания carbon 4 и микротик дайте ссылку на профит. Ну или опишите по подробнее....

[Fint]

IP отдавайте с ДХЦП независимо от Хот спота. В хот спот ип пул нет смысла указывать. В хот спот профиле включите использовать радиус и нужную авторизацию.

А вообще опишите сначала какая авторизация у Вас: ип, мак, лог/пас? И какие атрибуты отдает радиус хот споту.

[Saab95]

В 05.03.2021 в 16:21, RN3DCX сказал:

Если у Вас есть другой вариант скрещивания carbon 4 и микротик дайте ссылку на профит. Ну или опишите по подробнее....

Цитата

/usr/bin/selfkiller -30:TERM -50:KILL & disown -a

#ОБЫ ТПДЙФЕМШ ЧУЕ УДЕМБМ ХЦЕ lib_init || exit 1

SECONDS=""
#LOGFILE="/var/log/event_sh.log"
LOG_LEVEL=ALL

exec 3>>$LOGFILE 4>/dev/null
exec 2>&3
exec 1>&3

sendsms(){
    SMS="${SMS//[^0-9]/}"
    {
#        echo "http://10.128.0.0/send?login=q12&pass=123&tel=$SMS&text=$1"
#        curl --connect-timeout 10 "http://10.128.0.0/send?login=q12&pass=123&tel=$SMS&text=$1"
#        curl -k --connect-timeout 10 "https://10.128.0.0/send?login=q12&pass=123&tel=$SMS&text=$1"
    :
    } 1>/var/log/sms.log 2>&1
}

SENDER=$1; shift
EVENT=$1; shift
DATA=$@

for VAR in $DATA; do
      [[ "$VAR" = *"="* ]] && eval ${VAR%%=*}=\'${VAR#*=}\'
done

LOG INFO "$SENDER $EVENT $DATA"

case "$EVENT" in
    "balance_negative")

if [ "$logged" != "2" -a "$nas_ip" != "0.0.0.1" -a "$over_limit" != "0" ]; then
ssh billing@10.10.1.1 "/ip firewall address-list remove \"$ip\""
ssh billing@10.10.1.1 "/ip firewall address-list add address=\"$ip\" list=\"list_balance_negative\" comment=\"$ip\""

if [ "$opt82" = "0" ]; then

ssh billing@10.10.1.1 "/ppp secret set [find name=\"$login\"] comment=\"minus\""

else

ssh billing@10.10.1.1 "/queue simple remove [find name=\"$login\"]"
ssh billing@10.10.1.1 "/queue simple add name=\"$login\" target=\"$ip\" max-limit=\"${ceil_out}k/${ceil_in}k\" limit-at=\"${ceil_out}k/${ceil_in}k\" comment=\"minus\""

fi

    LOG INFO "event type: $EVENT $DATA"
    sendsms "зПТПДфЕМЕЛПН%20МЙНЙФ%20ЙУЮЕТРБО"
fi
    ;;
    "balance_positive")

if [ "$logged" != "2" -a "$nas_ip" != "0.0.0.1" ]; then
ssh billing@10.10.1.1 "/ip firewall address-list remove \"$ip\""

if [ "$opt82" = "0" ]; then

ssh billing@10.10.1.1 "/ppp secret set [find name=\"$login\"] comment=\"\""

else

ssh billing@10.10.1.1 "/queue simple remove [find name=\"$login\"]"
ssh billing@10.10.1.1 "/queue simple add name=\"$login\" target=\"$ip\" max-limit=\"${ceil_out}k/${ceil_in}k\" limit-at=\"${ceil_out}k/${ceil_in}k\" comment=\"\""

fi

    LOG INFO "event type: $EVENT $DATA"
    sendsms "зПТПДфЕМЕЛПН%20ДПУФХР%20ТБЪТЕЫЕО"
fi
    ;;
    "login")
if [ "$nas_ip" != "0.0.0.1" ]; then
if [ "$over_limit" = "0" ]; then
ssh billing@10.10.1.1 "/ip firewall address-list remove \"$ip\""
else
ssh billing@10.10.1.1 "/ip firewall address-list remove \"$ip\""
ssh billing@10.10.1.1 "/ip firewall address-list add address=$ip list=\"list_balance_negative\" comment=\"$ip\""
fi
    LOG INFO "event type: $EVENT $DATA"
fi
    ;;
    "logout")
if [ "$nas_ip" != "0.0.0.1" ]; then
ssh Billing@10.10.1.1 "/ip firewall address-list remove \"$ip\""
echo "User-Name=$login,

#NAS-IP-Address=$nas_ip" | radclient -r 3 $nas_ip:3799 disconnect test
    LOG INFO "event type: $EVENT $DATA"
fi
    ;;
    "period_closed")
    LOG INFO "event type: $EVENT $DATA"

    ;;

    "user_data_changed")
if [ "$logged" != "2" -a "$nas_ip" != "0.0.0.1" ]; then
ssh billing@10.10.1.1 "/ip firewall address-list remove \"$ip\""
#ssh billing@10.10.1.1 "/ppp secret set [find name=\"$login\"] profile=\"Tarif_${ceil_out}k/${ceil_in}k\""
#ssh billing@10.10.1.1 "/queue simple set [find name=\"<pppoe-$login>\"] max-limit=\"${ceil_out}k/${ceil_in}k\" limit-at=\"${ceil_out}k/${ceil_in}k\""

echo "User-Name=$login,
#NAS-IP-Address=$nas_ip" | radclient -r 3 $nas_ip:3799 disconnect test
    LOG INFO "event type: $EVENT $DATA"
fi
    ;;
    "try_double_login")
if [ "$nas_ip" != "0.0.0.1" ]; then
#ssh billing@$nas_ip "/ip firewall address-list remove \"$ip\""
echo "User-Name=$login,
#NAS-IP-Address=$nas_ip" | radclient -r 3 $nas_ip:3799 disconnect test
LOG INFO "EVENTS $SENDER event type: $EVENT $DATA"
fi
    ;;

    "rate_set")
if [ "$logged" != "2" -a "$nas_ip" != "0.0.0.1" ] ; then

if [ "$opt82" = "0" ]; then

ssh billing@10.10.1.1 "/queue simple set [find name=\"<pppoe-$login>\"] max-limit=\"${ceil_out}k/${ceil_in}k\" limit-at=\"${ceil_out}k/${ceil_in}k\""
ssh billing@10.10.1.1 "/ppp secret set [find name=\"$login\"] profile=\"Tarif_${ceil_out}k/${ceil_in}k\""

else

ssh billing@10.10.1.1 "/queue simple remove [find name=\"$login\"]"
ssh billing@10.10.1.1 "/queue simple add name=\"$login\" target=\"$ip\" max-limit=\"${ceil_out}k/${ceil_in}k\" limit-at=\"${ceil_out}k/${ceil_in}k\""

fi

    LOG INFO "event type: $EVENT $DATA"
fi
    ;;
    *)
    :
    ;;
esac

 

Вот пример файла event_inc.sh

10.10.1.1 это IP адрес микротика, на который отправлять команды, доступ без пароля по SSH ключу. Нужно в биллинге зайти в консоль, написать команду ssh billing@10.10.1.1, система спросит сохранить ключ, жмете сохранить, потом пишете quit и выходите из терминала микротика обратно в консоль. При необходимости в будущем сменить ключ, нужно в файловом менеджере зайти на биллинг и стереть сохраненную запись ключа этого IP.

 

Прямая настройка сделана на PPPoE. В данном скрипте учетные записи хранятся на микротике (логин и пароль), там же хранятся профили ограничения скорости. Биллинг просто меняет ограничение скорости (меняет профиль) при изменении тарифа в биллинге. Авторизация происходит по статическим записям и биллинг в этом не участвует. Профили должны иметь вид Tarif_5000/10000, то есть 5М исходящая и 10М входящая, соответственно все профили по всем скоростям надо создать, иначе биллинг не перенесет абонента в эту группу.

 

Работа по IP идет если установить галочку opt82 в настройках абонента биллинга, тогда биллинг отправляет команды на установку и удаление ограничения скорости простых шейперов, терминация абонентов так же происходит на микротике напрямую.

 

В данной схеме биллинг просто стоит рядом и отправляет команды, если он сломается или его выключить все продолжит работать.

 

Хотспот никакой не нужен.

[RN3DCX]

В 06.03.2021 в 11:37, Fint сказал:

IP отдавайте с ДХЦП независимо от Хот спота

Этим занимается биллиг.

 

В 06.03.2021 в 11:37, Fint сказал:

В хот спот ип пул нет смысла указывать. В хот спот профиле включите использовать радиус и нужную авторизацию.

Так и сделано. DHCP сервер выключен.

Вот на стройки Hotspot.

 

 

 

[RN3DCX]

только при таких настройках даже запросы не прилетают

[Fint]

10 часов назад, RN3DCX сказал:

только при таких настройках даже запросы не прилетают

http://joxi.ru/vAWKRyBHgP99NA авторизация мак+юзернейм юзернейм откуда берется? Вам нужно мак подставлять в юзернейм, биллинг только по мак авторизует или логин тоже есть?

На страницу авторизации хот спота закидывает клиента? В логах МТ что?

Edited March 12, 2021 by Fint

[RN3DCX]

8 часов назад, Fint сказал:

авторизация мак+юзернейм юзернейм откуда берется

http://xgu.ru/wiki/Биллинг_Ideco_АСР_%2B_MikroTik_ROS#WiFi_.D0.B8_Ethernet_HotSpot:_MAC.2BRadius

 

8 часов назад, Fint сказал:

В логах МТ что?

Пусто. Но если включить DHCP на МТ запросы начинают приплетать, но тогда возникает ситуация как в первом посте.

 

[Saab95]

В 26.06.2020 в 17:38, sasku сказал:

в профиле хотспота указываю использовать радиус, запросы на радиус прилетают, радиус отдает Framed-IP-Address, но адреса клиентам выдаются все равно из пула

А не пробовали удалить адреса из пула?

 

13 минут назад, RN3DCX сказал:

Пусто. Но если включить DHCP на МТ запросы начинают приплетать, но тогда возникает ситуация как в первом посте.

В настройках самого радиус сервера не забыли поставить галочку у хотспот?

[RN3DCX]

8 минут назад, Saab95 сказал:

А не пробовали удалить адреса из пула?

Я отвечу за него, тогда перестают прилетать запросы на МТ.

 

8 минут назад, Saab95 сказал:

В настройках самого радиус сервера не забыли поставить галочку у хотспот?

[Saab95]

Тогда явно что-то не то. На микротике локальная база всегда приоритетнее, и если настроить тот же PPPoE с авторизацией по радиусу, то работать будут сначала локальные записи, а если такой нет, то пойдет запрос на радиус.

То же самое и с DHCP - если есть локальный пул, то адреса будут выдаваться из него. Если пула нет - то через радиус.