Jump to content
Калькуляторы

Ubiquti Авторизация клиентов по 802.1Х

Уважаемые спецы, такая ситуация. У нас в сети клиенты авторизуются по 802.1х в убнт тоже есть такая авторизация, но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов??????????

Share this post


Link to post
Share on other sites

Микротик нормально работает в таком режиме по радиусу, UBNT без костылей не поддерживает.

 

На микротике можно сначала авторизовать клиента по EAP.

Дать команду создать для него отдельный влан.

Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку.

Share this post


Link to post
Share on other sites
но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов??????????

не очень понял задачу, у меня сеть WPA2-Ent+PEAP клиенты как с дд-врт, так и с ubnt...

Никаких костылей нет, только дату надо выставить новее даты генерации сертификата....

Share this post


Link to post
Share on other sites

 На клиентах? Насколько я понял после опытов, дата на клиенте сбивается после ребута. Какое лекарство подобрали? Выставляете стартовую дату ручками? 

Edited by passer

Share this post


Link to post
Share on other sites

Да, на днях тестил связку из пары Rocket M5. Родная дата устройстве - почти на год от текущей отличается. NTP-клиент после ребута что-то не сподобился дату поправить. Прошивка 5.3.5.

 

В общем, пока каменный цветок с радиусом не вышел. Завтра продолжу эксперименты.

 

 

Share this post


Link to post
Share on other sites
Выставляете стартовую дату ручками?

Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10...

Share this post


Link to post
Share on other sites

На микротике можно сначала авторизовать клиента по EAP.

Дать команду создать для него отдельный влан.

Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку.

А где можно поподробнее почитать о создании такой связки на Mikrotik ?

Как авторизовать и как автоматом посадить клиента в отдельный Vlan ?

Если статьи или Wiki нет, обьясните вкратце пожалуйста ..

Заранее благодарю.

Share this post


Link to post
Share on other sites
На микротике можно сначала авторизовать клиента по EAP.

Не динамический vlan Вы случайно имеете ввиду, если его, то это никак не решит проблемы...

 

динамический vlan в юбнт, действительно, не реализован, возожен ли через cli -- не знаю ( теории -- да, но е пробовал), но заплаирован...

 

только повторюсь, проблемы времени это не решает...

 

На микротике можно сначала авторизовать клиента по EAP.

по-подробнее, пожалуйста, в контексте решеия проблемы времени, то же интересует решение вопроса без установки старт-ап даты...

Edited by NewUse

Share this post


Link to post
Share on other sites

А где можно поподробнее почитать о создании такой связки на Mikrotik ?

Как авторизовать и как автоматом посадить клиента в отдельный Vlan ?

Если статьи или Wiki нет, обьясните вкратце пожалуйста ..

Заранее благодарю.

 

Тут=)

 

Сначала на вкладке Security Profiles в разделе Wireless включаете авторизацию по радиусу и выбираете тип авторизации.

 

Далее при подключении клиента к точке идет запрос на его MAC адрес, если его MAC есть в списке разрешенных (это решает ваш биллинг), тогда выполняются следующие действия посредством отправки команд по ssh на этот микротик (адрес микротика берется из RADIUS запроса):

 

1.На запрос клиенту отправляется отказ в подключении.

2.Создается Virtual AP на микротике с таким же SSID как и у основной точки и SSID ее должен быть скрытый.

3.MAK-адрес клиента добавляется в Access List с указанием интерфейса этой Virtual AP.

4.Создается нужный влан и бриджуется с этой Virtual AP.

 

Все=) клиент подключается к точке и работает в своем влане. Это подходит для подключения ноутбуков. Недостатка 2 - при создании Virtual AP передергиваеются все беспроводные интерфейсы, поэтому желательно заранее создать необходимое количество их и вести учет в биллинге. Не все ноутбуки правильно обрабатывают отказ в подключении и не перебирают следующую точку с этим именем.

 

Если клиент умеет работать в WDS все делается проще:

 

1.На запрос клиенту отправляется разрешение подключения.

2.Создается нужный влан.

3.На основании MAK-адреса клиента создается статический WDS-клиент.

4.Влан бриджуется с этой WDS записью.

 

Все=) клиент подключается к точке и работает в своем влане. Это происходит при подключении клиентского CPE. Когда клиент отключается, нужно отправить команду удаления влана и статической WDS записи чтобы не засорять точки не используемыми в данный момент вланами.

Share this post


Link to post
Share on other sites

Да, прикольный костыль, хотя вариатов действительно не так много...

Share this post


Link to post
Share on other sites

Спасибо за развернутый ответ, буду пробовать.

Попутно вопрос, сколько virtual AP можно повесить на базе ?

Share this post


Link to post
Share on other sites

Спасибо за развернутый ответ, буду пробовать.

Попутно вопрос, сколько virtual AP можно повесить на базе ?

Нет ограничений.

Share this post


Link to post
Share on other sites

Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10...

Благодарю, получилось.

 

 

Edited by passer

Share this post


Link to post
Share on other sites

Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть?

Share this post


Link to post
Share on other sites
Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть?

а в секции аккаунтинга модуль SQL прописан? в sql.conf стоит запрос аккаунтинга?

Share this post


Link to post
Share on other sites
а в секции аккаунтинга модуль SQL прописан?
Прописан, точнее раскомментирован.

 

в sql.conf стоит запрос аккаунтинга?
Он же там не один. И по умолчанию в gentoo они раскомментированы. postauth в БД пишется, но там нет ничего интересного.

 

 

Share this post


Link to post
Share on other sites

если в лог пишется -- значит траблы в настройках, я использую FreeNIBS -- там свой модуль, так что структуру БД наизусть не знаю, проверьте accounting_onoff_query, а также просмотрите dialup.conf (если фрирадиус версии2)...

 

может установка в файле cfg на точках доступа параметра aaa.1.radius.acct.1.interim=30 поможет вытянуть траблу...

 

ну и скелет БД то в баз заведён?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this