Владимир320 Posted September 11, 2024 Posted September 11, 2024 (edited) Mikrotik ROS v7.15.3 на нем поднят hotspot в связке с радиусом. Radius крутится на debian 12.4 На микроте активен 1 интерфейс, он же для связи с радиусом и он же для сервера hotspot. Микротик и радиус в разных сетях, связь по l3. На удаленных площадка есть фортигейты с wifi точками fortiAP и своим интернетом. Настроил сеть wifi, где указал captive portal адрес HotSpot сервера и также создал группу юзеров радиус сервера. ДХЦП поднят на фортигейте и выход в инет должен быть через фортигейт а не через hotspot микротика. В фаерволе фортигейта само собой разрешил трафик выхода в инет + группу пользаков радиуса. При попытке подключении к этому wifi перенаправляет на страницу аутентификации hotspot, далее ввожу лог пас и типо пишет, что подключен, но интернета по факту нет, и пишет, что необходимо войти в сеть. Нажимаю войти и пишет опять войдите в сеть. Слушал трафик на радиусе и вижу, что приходил запрос с флагом 1 и уходил ответ с флагом 3, то есть доступ разрешен, но инет не работает при этом( Кто сталкивался с подобной связкой железок и подобным вопросом очень хелп. Могу скинуть необходимый конфиг, который щас есть Edited September 11, 2024 by Владимир320 Вставить ник Quote
VolanD666 Posted September 11, 2024 Posted September 11, 2024 А по факту как трафик идет? Не понимаю зачем в этой схеме Микротик, если FG перенаправляет на CP, это же может быть Web сервер с нужным шаблоном-страницей? После авторизации через CP на FG статус пользователя какой? Вставить ник Quote
jffulcrum Posted September 11, 2024 Posted September 11, 2024 Хотспот маскарадинг включает по дефолту, в вашем случае лучше выключить. В целом, у фортигейта есть свой функционал captive portal, непонятно, зачем тут MT вообще. Вставить ник Quote
Владимир320 Posted September 12, 2024 Author Posted September 12, 2024 (edited) Использую микротик так как на нем уже есть функционал взаимодействия вебсервера с радиусом. Если поднимать отдельный веб сервер на каком нить линуксе, то нужно продумать этот механизм с нуля взаимодействие радиуса и вебсервера. Хотя мне нужно просто сделат страницу, чтоб она могла вносить данные на радиус, а фортигей уже сам проверяет пользаков на радиусе. Надо подумать, как лучше Цитата После авторизации через CP на FG статус пользователя какой? Как на форте статус пользователей проверить? нигде не нашел этого механизма. На ус-ве(мобила, комп) постоянно пишет "войдите в сеть" Цитата В целом, у фортигейта есть свой функционал captive portal, непонятно, зачем тут MT вообще от этого избавляюсь Edited September 12, 2024 by Владимир320 Вставить ник Quote
Владимир320 Posted September 13, 2024 Author Posted September 13, 2024 (edited) пока остановился на схеме с микротиком и до сих пор бьюсь с проблемой, что после аутентификации доступа в инет так и нет. Постоянно требует войдите в сеть, вхожу, инета нет и так по кругу. Такое чувство, что до форта не долетают юзерские credentials, так как смотрю трафик на форте и вижу что выход в инет попадает под правило общего запрета. Можно как-то на форте проверить юзерскую группу? Таким способом типа все норм. Но в моей схеме я сначала обращаюсь к микротику и микротик уже проверяет радиус, а радиус уже может не посылать инфу фортигейту. Очень мутная схема, но истинна где-то рядом) Вот как это все происходит: Страница загружается, ввожу лог пасс, жму подключиться и все гуд, тока вот инета нет((. Слушаю трафик на форте и вижу, что он типа улетает и не прилетате, так как попадает под правило запрета Edited September 13, 2024 by Владимир320 Вставить ник Quote
Владимир320 Posted September 13, 2024 Author Posted September 13, 2024 вот общий план всех действий Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.