Oooo800 Posted October 13, 2021 Posted October 13, 2021 Есть настроенный Radius сервер на отдельном сервере. Планируем перейти оборудование Mikrotik. Взяли на тест коммутатор и маршрутизатор (с коммутацией) Mikrotik с RouterOS v 6.49. По этой связке 2 вопроса: 1. в Received Access-Request нет NAS-Port. Это где-то включается или его всегда здесь не будет или это глюк ? В D-link, например, есть. 2. В Mikrotik есть поддержка "allows to create dynamic switch rules when authenticating clients with dot1x server" , это rfc4849. Есть возможность создать правило на физическом порту коммутатора, отграничивающее исходящий IP - чтобы доступ в сеть на этом порту имел только клиент с указанным IP или из указанного диапазона/подсети ? Хотя по Тынц1 или Тынц2 Цитата The mac-protocol, dst-address, dst-port and protocol conditional parameters are supported В D-link, например, есть srcIP в dynamic ACL и это работает. Вставить ник Quote
VolanD666 Posted October 13, 2021 Posted October 13, 2021 Сорри, что оффтоп. Но какой смысл переходить с коммутаторов длинка на коммутаторы микротика?с Одна фигня же, не? Вставить ник Quote
Oooo800 Posted October 13, 2021 Author Posted October 13, 2021 Не. 1. Цена - все таки Mikrotik дешевле чем управляемый D-link при том же количестве портов; 2. Планируем сделать Wi-fi (несколько сна Mikrotik' e, и хотели на нем всю сеть сделать. Точка доступа у Mikrotik' a нам больше понравилась - гибШе в настройках, чем D-link. По крайней мере к нашей топологии сети подошла. Хотя с уровнем сигнала и непонятными провалами по скорости ... Вы предпочитаете D-link ? Вставить ник Quote
NiTr0 Posted October 13, 2021 Posted October 13, 2021 1 час назад, Oooo800 сказал: Это где-то включается или его всегда здесь не будет или это глюк ? обычные баги некротика. у него вообще от версии к версии прошивки поведение (особенно - редкоиспользуемых фич типа радиуса и т.п.) сильно меняется. 33 минуты назад, Oooo800 сказал: Цена - все таки Mikrotik дешевле чем управляемый D-link при том же количестве портов; хороший к слову повод задуматься - "а почему"... Вставить ник Quote
jffulcrum Posted October 13, 2021 Posted October 13, 2021 3 часа назад, Oooo800 сказал: 1. в Received Access-Request нет NAS-Port. Это где-то включается или его всегда здесь не будет или это глюк ? service dhcp добавьте в настройках RADIUS клиента 3 часа назад, Oooo800 сказал: Есть возможность создать правило на физическом порту коммутатора, отграничивающее исходящий IP - чтобы доступ в сеть на этом порту имел только клиент с указанным IP или из указанного диапазона/подсети ? По src-ip нет. Вставить ник Quote
Oooo800 Posted October 13, 2021 Author Posted October 13, 2021 (edited) 3 часа назад, jffulcrum сказал: service dhcp добавьте в настройках RADIUS клиента По src-ip нет. 1. Стояла "галка" , попробую снять/еще раз поставить. 2. Жаль. Надо именно srcIP. Edited October 13, 2021 by Oooo800 Вставить ник Quote
Oooo800 Posted October 13, 2021 Author Posted October 13, 2021 8 часов назад, jffulcrum сказал: service dhcp добавьте в настройках RADIUS клиента Убирал, устанавливал - блок switch1 (1Gb порты) RB-2011-UiAS/6.49. Это в Main menu -> Radius server -> General Ничего не изменилось. Может не там убирал/устанавливал ? Вставить ник Quote
Oooo800 Posted October 15, 2021 Author Posted October 15, 2021 Насчет src-IP тех. поддержка Mikrotik' a, на удивление, написала, что если наддо этот функционал, добавим, правда не знаем когда. Насчет отсутствия NAS-Port' a запросила log с коммутатора, отправил - правда там то же, что и в log' e консоли сервера, который им уже отправлял. Вставить ник Quote
jffulcrum Posted October 15, 2021 Posted October 15, 2021 А клиент не к виртуальному интерфейсу подключен, типа туннеля или VLAN? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.