Jump to content
Калькуляторы

IPoE + MikroTik + внешний радиус сервер авторизация по IP (не по MAC, и не Web)

Как бы это использовать модуль хотспот на Тике(в котором юзается радиус-клиент) - именно для эзернет сети, а не для вайфай - и сделать авторизацию по IP (не веб, не мак). При этом, чтобы биллинг был в курсе IP адреса юзера - чтобы управлять скриптами - в фаере закрывать/открывать форвард трафика юзерам - вз ависимости - от баланса. И нетфлоу с Тика - собирать в базу биллинга - используюя айпи юзера. При этом радиус сервер юзать внешний - на биллинге, а не встроенный в Тик - радиус-сервер (User Manager). И DHCP - юзать желательно не встроенный в Тик, а тоже на биллинге (для опции82 и прибивания к порту+свичу)

 

Натолкните на верный курс - возможна ли схема IPoE + MikroTik + авторизация по IP (не веб, не мак)?

 

____

 

Cisco ISG не обсуждаем в этой теме : )

Share this post


Link to post
Share on other sites

Присмотритесь к ExpertBilling. Такое реализовать можно.

Share this post


Link to post
Share on other sites

Присмотритесь к ExpertBilling. Такое реализовать можно.

 

Вы имеете ввиду , что данный вариант можно реализовать только с помощью ExpertBilling - без использования Тика?

Share this post


Link to post
Share on other sites

Cisco ISG не обсуждаем в этой теме : )

В соседней есть Linux ISG ;).

Share this post


Link to post
Share on other sites

Все ясно. Нужно юзать специально заточенные решения для IPoE, а не извращаться... Тема закрыта

Share this post


Link to post
Share on other sites

Оживлю тему: возможно-ли микротик заставить пнуть радиус/исполнить какой-то скрипт при приходе первого пакета с IP адреса?

Share this post


Link to post
Share on other sites

Оживлю тему: возможно-ли микротик заставить пнуть радиус/исполнить какой-то скрипт при приходе первого пакета с IP адреса?

 

Врядли, согласно http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

service (ppp|login|hotspot|wireless|dhcp; Default: )

Router services that will use this RADIUS server:

hotspot - HotSpot authentication service

login - router's local user authentication

ppp - Point-to-Point clients authentication

wireless - wireless client authentication (client's MAC address is sent as User-Name)

dhcp - DHCP protocol client authentication (client's MAC address is sent as User-Name)

 

Но в сторону эксгуматорства, из передаваемых параметров в радиус при установке галочки на dhcp, можно выдернуть opt82(agent circuit+agent remote id) и передать в радиус как username, а уже после этого принимать решение о назначении адреса клиенту. В настройках dhcp сервера естественно поставить use radius.

 

Но есть и проблема(во всяком случае была) в 4.14, когда ставил эксперименты - не работал accounting в радиусе для dhcp, т.е. вернуть ограничители, назначаемый ip и т.д. из радиуса с ответом можно, а вот дальше считать траф и отсылать о нем инфу в радиус тик отказывался.

Share this post


Link to post
Share on other sites

Но в сторону эксгуматорства, из передаваемых параметров в радиус при установке галочки на dhcp, можно выдернуть opt82(agent circuit+agent remote id) и передать в радиус как username, а уже после этого принимать решение о назначении адреса клиенту. В настройках dhcp сервера естественно поставить use radius.

 

Всё дело в то,что клиенты приходят на Mikrotik по L3, т.е. уже с адресом, микротика задача по первому пакету либо редиректнуть на портал, либо пропустить дальше, основываясь на данных от радиуса или от какого-то скрипта....

Share this post


Link to post
Share on other sites

В общем мысль пришла такая: управление сессиями на микротике по событиям ISC DHCP, on commit, on release, on expiry

 

В моём случае (влан на рыло) вызывается скрипт, который сопоставляет IP адрес номеру вилана, далее в биллинге по номеру влана ищутся инструкции и применяются на микротик, либо форвард, либо переброс на портал

Share this post


Link to post
Share on other sites

Как бы это использовать модуль хотспот на Тике(в котором юзается радиус-клиент) - именно для эзернет сети, а не для вайфай - и сделать авторизацию по IP (не веб, не мак). При этом, чтобы биллинг был в курсе IP адреса юзера - чтобы управлять скриптами - в фаере закрывать/открывать форвард трафика юзерам - вз ависимости - от баланса. И нетфлоу с Тика - собирать в базу биллинга - используюя айпи юзера. При этом радиус сервер юзать внешний - на биллинге, а не встроенный в Тик - радиус-сервер (User Manager). И DHCP - юзать желательно не встроенный в Тик, а тоже на биллинге (для опции82 и прибивания к порту+свичу)

 

Натолкните на верный курс - возможна ли схема IPoE + MikroTik + авторизация по IP (не веб, не мак)?

 

____

 

Cisco ISG не обсуждаем в этой теме : )

Я под freeradius на базе rlm_perl написал собственный модуль авторизации. Работает с микротик hotspot. Возможность авторизовываться различными способами ip, mac, ip+mac.

Если интересно могу заточить под Вашу БД.

Share this post


Link to post
Share on other sites

morf, а как реализовали именоо IP авторизацию?

Share this post


Link to post
Share on other sites

morf, а как реализовали именоо IP авторизацию?

Очень просто. Радиус микротик'а отсылает все атрибуты по абоненту ( например: NAS_IP_ADDRESS, FRAMED_IP_ADDRESS и т.д.), который пытается авторизоваться. Модуль freeradius'а смотрит сервер, с которого пришла попытка авторизоваться и ищет абонента по переданным параметрам в базе. Ну и либо дает добро на авторизацию, либо нет.

Авторизовать абоненты ты можешь как душе угодно по переданным параметрам. В моем случае база на MySQL, так что с выборкой абонентов проблем нет.

Share this post


Link to post
Share on other sites

Радиус микротик'а отсылает все атрибуты по абоненту ( например: NAS_IP_ADDRESS, FRAMED_IP_ADDRESS и т.д.), который пытается авторизоваться.

 

А я чёто не знал вот этого, с микротиком только начинаю. Спасибо большое за подсказку!

Share this post


Link to post
Share on other sites
Но есть и проблема(во всяком случае была) в 4.14, когда ставил эксперименты - не работал accounting в радиусе для dhcp,

Это было много лет назад - не нужно такие древние версии вспоминать даже - все развивается и устраняются баги.

В пятой версии - все работает:

 

Тиковский DHCP сервер,получая dhcp запрос от клиента или DHCP-relay - умеет отправлять запросы Radius серверу (в ваш биллинг).

Биллинг (радиус-сервер) анализирует в радиус запросах - опц82 либо MAC (на ваш выбор)... и выдает IP адрес и разрешение на авторизацию (radius accept).

А дальше рулить все как обычно с радиус протоколом...

Аккаунтинг работает.

Радиус атрибуты передаются (скорости там разные (Rate limit)и прочее).

Адрес из биллинга можно как из пула выделить свободный, так и каждый раз один и тот же.

И при этом биллинг будет в курсе адреса юзера и всех сессий.

А значит можно рулить Тиком - события там разные (radius start/stop/update), скрипты выполнять, управление фаерволом и прочее.

 

Это самый простой и логичный вариант - в котором:

отдельный ISC DHCP - не нужен.

HOTSPOT - включать не нужно.

Все почти так же как и ppp+radius (алгоритмы работы биллинга нуждаются в минимальном допиле)

Share this post


Link to post
Share on other sites

 

Аккаунтинг работает.

 

 

Может я что-то не то, чем-то не тем обзываю? Но развейте сомнения - радиус по dhcp сессии начал считать байты (тьфу для радиуса октеты).

 

Про все остальное я в курсе, но есть официальный ответ support@mikrotik на тему dhcp accounting (читать переписку снизу вверх).

 

Hello,

 

No, we do not have plans to change DHCP in near future.

User HotSpot to accomplish requested setup.

 

Regards,

Sergejs

 

--

Come to MikroTik User Meetings:

- October 13-14, 2011 in Las Vegas, USA after WISPAPALOOZA

- November 7-8, 2011 in Sao Paulo, Brazil

- November 10-11, 2011 in Buenos Aires, Argentina

http://mum.mikrotik.com/

 

09/14/2011 13:13 - Денисов Руслан wrote:

 

>

> Will dhcp send it once upon a time in future versions?

>

> We plan to use our Routerboard as DHCP-server and get payments from

> clients according to traffic passed(raddacct in FreeRadius). So we need

> accounting. Today we can have only unlimited tarrifs.

>

> 14.09.2011 13:38, MikroTik support [sergejs] пишет:

>> Hello,

>>

>> DHCP does not send any accounting data to RADIUS server.

>>

>> Regards,

>> Sergejs

>>

>> --

>> Come to MikroTik User Meetings:

>> - October 13-14, 2011 in Las Vegas, USA after WISPAPALOOZA

>> - November 7-8, 2011 in Sao Paulo, Brazil

>> - November 10-11, 2011 in Buenos Aires, Argentina

>> http://mum.mikrotik.com/

>>

>> 09/12/2011 14:33 - Денисов Руслан wrote:

>>

>>> Hello.

>>>

>>> We have configured Dhcp-server on mikrotik and assign leases to cpe

>>> according to option 82. Authentification works perfect, but we can't see

>>> any accounting data. The only packet came to radius was "Accounting ON"

>>> packet and no more data were sent to radius.

>>> As I know, the accounting works perfect with pptp-server and may be

>>> other ppp(haven't tested).

>>>

>>> Some problems with dhcp?

 

 

А вопрос мне очень интересен. Просто нет сейчас под рукой коммутатора с opt82, чтобы собрать схему и протестировать в 5.19 или 6.0.

Очень прошу, у кого есть возможность - проверьте...

Share this post


Link to post
Share on other sites

понял свою ошибку: ААА - проверял только первые два AA )

Последнюю А - даже не догадался, что кому-то может нужно считать объемы трафа. (вроде эра повальных безлимитов (заканчивается))))

Сорри, что ввел в заблуждение - вполне возможно, что именно аккаунтинг на Тике и не работает в связке DHCP+RADIUS.

Как вариант - считать объемы трафа с помощью нетфлоу - если к-во юзеров и трафа позволяют.

А если более серьезные объемы - то не надо юзать MikroTik, а юзать "взрослые" вундервафли, специально для этого придуманные )

Это мое скромное мнение и ничего более...

Edited by white_crow

Share this post


Link to post
Share on other sites

А если более серьезные объемы - то не надо юзать MikroTik, а юзать "взрослые" вундервафли, специально для этого придуманные )

 

Циска 7204VXR/NPE-300 на 50ти мегабитах умирает, если задействовать ISG, а красные попы от эрикссона - невероятно дорого для существующего кол-ва народу

 

ЗЫ: Cisco 7204VXR - серьёзная "вундервафель"

Share this post


Link to post
Share on other sites
А вопрос мне очень интересен. Просто нет сейчас под рукой коммутатора с opt82, чтобы собрать схему и протестировать

Так Вы можете сами проверить эккаунтинг в этой схеме (MIKROTIK DHCP+RADIUS) без опц82:

МикроТик отправляет в радиус запросах поле user-name = MAC address юзера.

Share this post


Link to post
Share on other sites
для существующего кол-ва народу

тогда пилите, шура, пилите на тазиках....

Имхо - если аккаунтинг не работает в вышеописанной схеме - считайте объем по нетфлоу (при современных объемах потребления трафика - один кошерный тазик может обсчитывать (в хорошем смысле этого слова )))) базу 10K юзеров.

Edited by white_crow

Share this post


Link to post
Share on other sites

если аккаунтинг не работает в вышеописанной схеме

 

Не, у меня всё как раз нормально, схема чуть другая

Share this post


Link to post
Share on other sites

 

И данная статья непрозрачно намекает, что считать придется по netflow :)

предлагаю одно из альтенативных решений, ктати то что просит автор тоже можно сделать в abills

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this