Перейти к содержимому
Калькуляторы

IPoE + MikroTik + внешний радиус сервер авторизация по IP (не по MAC, и не Web)

Как бы это использовать модуль хотспот на Тике(в котором юзается радиус-клиент) - именно для эзернет сети, а не для вайфай - и сделать авторизацию по IP (не веб, не мак). При этом, чтобы биллинг был в курсе IP адреса юзера - чтобы управлять скриптами - в фаере закрывать/открывать форвард трафика юзерам - вз ависимости - от баланса. И нетфлоу с Тика - собирать в базу биллинга - используюя айпи юзера. При этом радиус сервер юзать внешний - на биллинге, а не встроенный в Тик - радиус-сервер (User Manager). И DHCP - юзать желательно не встроенный в Тик, а тоже на биллинге (для опции82 и прибивания к порту+свичу)

 

Натолкните на верный курс - возможна ли схема IPoE + MikroTik + авторизация по IP (не веб, не мак)?

 

____

 

Cisco ISG не обсуждаем в этой теме : )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присмотритесь к ExpertBilling. Такое реализовать можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присмотритесь к ExpertBilling. Такое реализовать можно.

 

Вы имеете ввиду , что данный вариант можно реализовать только с помощью ExpertBilling - без использования Тика?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco ISG не обсуждаем в этой теме : )

В соседней есть Linux ISG ;).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все ясно. Нужно юзать специально заточенные решения для IPoE, а не извращаться... Тема закрыта

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оживлю тему: возможно-ли микротик заставить пнуть радиус/исполнить какой-то скрипт при приходе первого пакета с IP адреса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оживлю тему: возможно-ли микротик заставить пнуть радиус/исполнить какой-то скрипт при приходе первого пакета с IP адреса?

 

Врядли, согласно http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

service (ppp|login|hotspot|wireless|dhcp; Default: )

Router services that will use this RADIUS server:

hotspot - HotSpot authentication service

login - router's local user authentication

ppp - Point-to-Point clients authentication

wireless - wireless client authentication (client's MAC address is sent as User-Name)

dhcp - DHCP protocol client authentication (client's MAC address is sent as User-Name)

 

Но в сторону эксгуматорства, из передаваемых параметров в радиус при установке галочки на dhcp, можно выдернуть opt82(agent circuit+agent remote id) и передать в радиус как username, а уже после этого принимать решение о назначении адреса клиенту. В настройках dhcp сервера естественно поставить use radius.

 

Но есть и проблема(во всяком случае была) в 4.14, когда ставил эксперименты - не работал accounting в радиусе для dhcp, т.е. вернуть ограничители, назначаемый ip и т.д. из радиуса с ответом можно, а вот дальше считать траф и отсылать о нем инфу в радиус тик отказывался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но в сторону эксгуматорства, из передаваемых параметров в радиус при установке галочки на dhcp, можно выдернуть opt82(agent circuit+agent remote id) и передать в радиус как username, а уже после этого принимать решение о назначении адреса клиенту. В настройках dhcp сервера естественно поставить use radius.

 

Всё дело в то,что клиенты приходят на Mikrotik по L3, т.е. уже с адресом, микротика задача по первому пакету либо редиректнуть на портал, либо пропустить дальше, основываясь на данных от радиуса или от какого-то скрипта....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем мысль пришла такая: управление сессиями на микротике по событиям ISC DHCP, on commit, on release, on expiry

 

В моём случае (влан на рыло) вызывается скрипт, который сопоставляет IP адрес номеру вилана, далее в биллинге по номеру влана ищутся инструкции и применяются на микротик, либо форвард, либо переброс на портал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как бы это использовать модуль хотспот на Тике(в котором юзается радиус-клиент) - именно для эзернет сети, а не для вайфай - и сделать авторизацию по IP (не веб, не мак). При этом, чтобы биллинг был в курсе IP адреса юзера - чтобы управлять скриптами - в фаере закрывать/открывать форвард трафика юзерам - вз ависимости - от баланса. И нетфлоу с Тика - собирать в базу биллинга - используюя айпи юзера. При этом радиус сервер юзать внешний - на биллинге, а не встроенный в Тик - радиус-сервер (User Manager). И DHCP - юзать желательно не встроенный в Тик, а тоже на биллинге (для опции82 и прибивания к порту+свичу)

 

Натолкните на верный курс - возможна ли схема IPoE + MikroTik + авторизация по IP (не веб, не мак)?

 

____

 

Cisco ISG не обсуждаем в этой теме : )

Я под freeradius на базе rlm_perl написал собственный модуль авторизации. Работает с микротик hotspot. Возможность авторизовываться различными способами ip, mac, ip+mac.

Если интересно могу заточить под Вашу БД.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

morf, а как реализовали именоо IP авторизацию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

morf, а как реализовали именоо IP авторизацию?

Очень просто. Радиус микротик'а отсылает все атрибуты по абоненту ( например: NAS_IP_ADDRESS, FRAMED_IP_ADDRESS и т.д.), который пытается авторизоваться. Модуль freeradius'а смотрит сервер, с которого пришла попытка авторизоваться и ищет абонента по переданным параметрам в базе. Ну и либо дает добро на авторизацию, либо нет.

Авторизовать абоненты ты можешь как душе угодно по переданным параметрам. В моем случае база на MySQL, так что с выборкой абонентов проблем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Радиус микротик'а отсылает все атрибуты по абоненту ( например: NAS_IP_ADDRESS, FRAMED_IP_ADDRESS и т.д.), который пытается авторизоваться.

 

А я чёто не знал вот этого, с микротиком только начинаю. Спасибо большое за подсказку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но есть и проблема(во всяком случае была) в 4.14, когда ставил эксперименты - не работал accounting в радиусе для dhcp,

Это было много лет назад - не нужно такие древние версии вспоминать даже - все развивается и устраняются баги.

В пятой версии - все работает:

 

Тиковский DHCP сервер,получая dhcp запрос от клиента или DHCP-relay - умеет отправлять запросы Radius серверу (в ваш биллинг).

Биллинг (радиус-сервер) анализирует в радиус запросах - опц82 либо MAC (на ваш выбор)... и выдает IP адрес и разрешение на авторизацию (radius accept).

А дальше рулить все как обычно с радиус протоколом...

Аккаунтинг работает.

Радиус атрибуты передаются (скорости там разные (Rate limit)и прочее).

Адрес из биллинга можно как из пула выделить свободный, так и каждый раз один и тот же.

И при этом биллинг будет в курсе адреса юзера и всех сессий.

А значит можно рулить Тиком - события там разные (radius start/stop/update), скрипты выполнять, управление фаерволом и прочее.

 

Это самый простой и логичный вариант - в котором:

отдельный ISC DHCP - не нужен.

HOTSPOT - включать не нужно.

Все почти так же как и ppp+radius (алгоритмы работы биллинга нуждаются в минимальном допиле)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Аккаунтинг работает.

 

 

Может я что-то не то, чем-то не тем обзываю? Но развейте сомнения - радиус по dhcp сессии начал считать байты (тьфу для радиуса октеты).

 

Про все остальное я в курсе, но есть официальный ответ support@mikrotik на тему dhcp accounting (читать переписку снизу вверх).

 

Hello,

 

No, we do not have plans to change DHCP in near future.

User HotSpot to accomplish requested setup.

 

Regards,

Sergejs

 

--

Come to MikroTik User Meetings:

- October 13-14, 2011 in Las Vegas, USA after WISPAPALOOZA

- November 7-8, 2011 in Sao Paulo, Brazil

- November 10-11, 2011 in Buenos Aires, Argentina

http://mum.mikrotik.com/

 

09/14/2011 13:13 - Денисов Руслан wrote:

 

>

> Will dhcp send it once upon a time in future versions?

>

> We plan to use our Routerboard as DHCP-server and get payments from

> clients according to traffic passed(raddacct in FreeRadius). So we need

> accounting. Today we can have only unlimited tarrifs.

>

> 14.09.2011 13:38, MikroTik support [sergejs] пишет:

>> Hello,

>>

>> DHCP does not send any accounting data to RADIUS server.

>>

>> Regards,

>> Sergejs

>>

>> --

>> Come to MikroTik User Meetings:

>> - October 13-14, 2011 in Las Vegas, USA after WISPAPALOOZA

>> - November 7-8, 2011 in Sao Paulo, Brazil

>> - November 10-11, 2011 in Buenos Aires, Argentina

>> http://mum.mikrotik.com/

>>

>> 09/12/2011 14:33 - Денисов Руслан wrote:

>>

>>> Hello.

>>>

>>> We have configured Dhcp-server on mikrotik and assign leases to cpe

>>> according to option 82. Authentification works perfect, but we can't see

>>> any accounting data. The only packet came to radius was "Accounting ON"

>>> packet and no more data were sent to radius.

>>> As I know, the accounting works perfect with pptp-server and may be

>>> other ppp(haven't tested).

>>>

>>> Some problems with dhcp?

 

 

А вопрос мне очень интересен. Просто нет сейчас под рукой коммутатора с opt82, чтобы собрать схему и протестировать в 5.19 или 6.0.

Очень прошу, у кого есть возможность - проверьте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

понял свою ошибку: ААА - проверял только первые два AA )

Последнюю А - даже не догадался, что кому-то может нужно считать объемы трафа. (вроде эра повальных безлимитов (заканчивается))))

Сорри, что ввел в заблуждение - вполне возможно, что именно аккаунтинг на Тике и не работает в связке DHCP+RADIUS.

Как вариант - считать объемы трафа с помощью нетфлоу - если к-во юзеров и трафа позволяют.

А если более серьезные объемы - то не надо юзать MikroTik, а юзать "взрослые" вундервафли, специально для этого придуманные )

Это мое скромное мнение и ничего более...

Изменено пользователем white_crow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если более серьезные объемы - то не надо юзать MikroTik, а юзать "взрослые" вундервафли, специально для этого придуманные )

 

Циска 7204VXR/NPE-300 на 50ти мегабитах умирает, если задействовать ISG, а красные попы от эрикссона - невероятно дорого для существующего кол-ва народу

 

ЗЫ: Cisco 7204VXR - серьёзная "вундервафель"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вопрос мне очень интересен. Просто нет сейчас под рукой коммутатора с opt82, чтобы собрать схему и протестировать

Так Вы можете сами проверить эккаунтинг в этой схеме (MIKROTIK DHCP+RADIUS) без опц82:

МикроТик отправляет в радиус запросах поле user-name = MAC address юзера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для существующего кол-ва народу

тогда пилите, шура, пилите на тазиках....

Имхо - если аккаунтинг не работает в вышеописанной схеме - считайте объем по нетфлоу (при современных объемах потребления трафика - один кошерный тазик может обсчитывать (в хорошем смысле этого слова )))) базу 10K юзеров.

Изменено пользователем white_crow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если аккаунтинг не работает в вышеописанной схеме

 

Не, у меня всё как раз нормально, схема чуть другая

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

И данная статья непрозрачно намекает, что считать придется по netflow :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

И данная статья непрозрачно намекает, что считать придется по netflow :)

предлагаю одно из альтенативных решений, ктати то что просит автор тоже можно сделать в abills

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.