Jump to content
Калькуляторы

Mikrotik и не встроенный Radius ?

Есть настроенный Radius сервер на отдельном сервере.

Планируем перейти оборудование Mikrotik.

Взяли на тест коммутатор и маршрутизатор (с коммутацией) Mikrotik с RouterOS v 6.49.

 

По этой связке 2 вопроса:

1. в Received Access-Request нет NAS-Port. Это где-то включается или его всегда здесь не будет или это глюк ?

В D-link, например, есть.

2. В Mikrotik есть поддержка "allows to create dynamic switch rules when authenticating clients with dot1x server" , это rfc4849.

Есть возможность создать правило на физическом порту коммутатора, отграничивающее исходящий IP - чтобы доступ в сеть на этом порту имел только клиент с указанным IP или из указанного диапазона/подсети ?

Хотя по Тынц1 или Тынц2

Цитата

The mac-protocol, dst-address, dst-port and protocol conditional parameters are supported

В D-link, например, есть srcIP в dynamic ACL и это работает.

Share this post


Link to post
Share on other sites

Сорри, что оффтоп. Но какой смысл переходить с коммутаторов длинка на коммутаторы микротика?с Одна фигня же, не?

Share this post


Link to post
Share on other sites

Не.

1. Цена - все таки Mikrotik дешевле чем управляемый D-link при том же количестве портов;

2. Планируем сделать Wi-fi (несколько сна Mikrotik' e, и хотели на нем всю сеть сделать.

Точка доступа у Mikrotik' a нам больше понравилась - гибШе в настройках, чем D-link.

По крайней мере к нашей топологии сети подошла.

Хотя с уровнем сигнала и непонятными провалами по скорости ...

 

Вы предпочитаете D-link ?

 

Share this post


Link to post
Share on other sites
1 час назад, Oooo800 сказал:

Это где-то включается или его всегда здесь не будет или это глюк ?

обычные баги некротика. у него вообще от версии к версии прошивки поведение (особенно - редкоиспользуемых фич типа радиуса и т.п.) сильно меняется.

 

33 минуты назад, Oooo800 сказал:

Цена - все таки Mikrotik дешевле чем управляемый D-link при том же количестве портов;

хороший к слову повод задуматься - "а почему"...

Share this post


Link to post
Share on other sites
3 часа назад, Oooo800 сказал:

1. в Received Access-Request нет NAS-Port. Это где-то включается или его всегда здесь не будет или это глюк ?

service dhcp добавьте в настройках RADIUS клиента

 

3 часа назад, Oooo800 сказал:

Есть возможность создать правило на физическом порту коммутатора, отграничивающее исходящий IP - чтобы доступ в сеть на этом порту имел только клиент с указанным IP или из указанного диапазона/подсети ?

По src-ip нет.

Share this post


Link to post
Share on other sites
3 часа назад, jffulcrum сказал:

service dhcp добавьте в настройках RADIUS клиента

 

По src-ip нет.

1. Стояла "галка" , попробую снять/еще раз поставить.

2. Жаль. Надо именно srcIP.

Edited by Oooo800

Share this post


Link to post
Share on other sites
8 часов назад, jffulcrum сказал:

service dhcp добавьте в настройках RADIUS клиента

Убирал, устанавливал - блок switch1 (1Gb порты) RB-2011-UiAS/6.49.

Это в Main menu -> Radius server -> General

Ничего не изменилось.

Может не там убирал/устанавливал ?

Share this post


Link to post
Share on other sites

Насчет src-IP тех. поддержка Mikrotik' a, на удивление, написала, что если наддо этот функционал, добавим, правда не знаем когда.

Насчет отсутствия NAS-Port' a запросила log с коммутатора, отправил - правда там то же, что и в log' e консоли сервера, который им уже отправлял.

Share this post


Link to post
Share on other sites

А клиент не к виртуальному интерфейсу подключен, типа туннеля или VLAN?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this