zakirov84 Posted January 20, 2012 Posted January 20, 2012 Уважаемые спецы, такая ситуация. У нас в сети клиенты авторизуются по 802.1х в убнт тоже есть такая авторизация, но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов?????????? Вставить ник Quote
Saab95 Posted January 20, 2012 Posted January 20, 2012 Микротик нормально работает в таком режиме по радиусу, UBNT без костылей не поддерживает. На микротике можно сначала авторизовать клиента по EAP. Дать команду создать для него отдельный влан. Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку. Вставить ник Quote
NewUse Posted January 20, 2012 Posted January 20, 2012 но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов?????????? не очень понял задачу, у меня сеть WPA2-Ent+PEAP клиенты как с дд-врт, так и с ubnt... Никаких костылей нет, только дату надо выставить новее даты генерации сертификата.... Вставить ник Quote
passer Posted January 22, 2012 Posted January 22, 2012 (edited) На клиентах? Насколько я понял после опытов, дата на клиенте сбивается после ребута. Какое лекарство подобрали? Выставляете стартовую дату ручками? Edited January 22, 2012 by passer Вставить ник Quote
Saab95 Posted January 22, 2012 Posted January 22, 2012 Ну так настройте им NTP сервер. Вставить ник Quote
passer Posted January 22, 2012 Posted January 22, 2012 Да, на днях тестил связку из пары Rocket M5. Родная дата устройстве - почти на год от текущей отличается. NTP-клиент после ребута что-то не сподобился дату поправить. Прошивка 5.3.5. В общем, пока каменный цветок с радиусом не вышел. Завтра продолжу эксперименты. Вставить ник Quote
NewUse Posted January 22, 2012 Posted January 22, 2012 Выставляете стартовую дату ручками? Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10... Вставить ник Quote
kww Posted January 22, 2012 Posted January 22, 2012 На микротике можно сначала авторизовать клиента по EAP. Дать команду создать для него отдельный влан. Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку. А где можно поподробнее почитать о создании такой связки на Mikrotik ? Как авторизовать и как автоматом посадить клиента в отдельный Vlan ? Если статьи или Wiki нет, обьясните вкратце пожалуйста .. Заранее благодарю. Вставить ник Quote
NewUse Posted January 22, 2012 Posted January 22, 2012 (edited) На микротике можно сначала авторизовать клиента по EAP. Не динамический vlan Вы случайно имеете ввиду, если его, то это никак не решит проблемы... динамический vlan в юбнт, действительно, не реализован, возожен ли через cli -- не знаю ( теории -- да, но е пробовал), но заплаирован... только повторюсь, проблемы времени это не решает... На микротике можно сначала авторизовать клиента по EAP. по-подробнее, пожалуйста, в контексте решеия проблемы времени, то же интересует решение вопроса без установки старт-ап даты... Edited January 22, 2012 by NewUse Вставить ник Quote
Saab95 Posted January 22, 2012 Posted January 22, 2012 А где можно поподробнее почитать о создании такой связки на Mikrotik ? Как авторизовать и как автоматом посадить клиента в отдельный Vlan ? Если статьи или Wiki нет, обьясните вкратце пожалуйста .. Заранее благодарю. Тут=) Сначала на вкладке Security Profiles в разделе Wireless включаете авторизацию по радиусу и выбираете тип авторизации. Далее при подключении клиента к точке идет запрос на его MAC адрес, если его MAC есть в списке разрешенных (это решает ваш биллинг), тогда выполняются следующие действия посредством отправки команд по ssh на этот микротик (адрес микротика берется из RADIUS запроса): 1.На запрос клиенту отправляется отказ в подключении. 2.Создается Virtual AP на микротике с таким же SSID как и у основной точки и SSID ее должен быть скрытый. 3.MAK-адрес клиента добавляется в Access List с указанием интерфейса этой Virtual AP. 4.Создается нужный влан и бриджуется с этой Virtual AP. Все=) клиент подключается к точке и работает в своем влане. Это подходит для подключения ноутбуков. Недостатка 2 - при создании Virtual AP передергиваеются все беспроводные интерфейсы, поэтому желательно заранее создать необходимое количество их и вести учет в биллинге. Не все ноутбуки правильно обрабатывают отказ в подключении и не перебирают следующую точку с этим именем. Если клиент умеет работать в WDS все делается проще: 1.На запрос клиенту отправляется разрешение подключения. 2.Создается нужный влан. 3.На основании MAK-адреса клиента создается статический WDS-клиент. 4.Влан бриджуется с этой WDS записью. Все=) клиент подключается к точке и работает в своем влане. Это происходит при подключении клиентского CPE. Когда клиент отключается, нужно отправить команду удаления влана и статической WDS записи чтобы не засорять точки не используемыми в данный момент вланами. Вставить ник Quote
NewUse Posted January 22, 2012 Posted January 22, 2012 Да, прикольный костыль, хотя вариатов действительно не так много... Вставить ник Quote
kww Posted January 22, 2012 Posted January 22, 2012 Спасибо за развернутый ответ, буду пробовать. Попутно вопрос, сколько virtual AP можно повесить на базе ? Вставить ник Quote
SSD Posted January 23, 2012 Posted January 23, 2012 Спасибо за развернутый ответ, буду пробовать. Попутно вопрос, сколько virtual AP можно повесить на базе ? Нет ограничений. Вставить ник Quote
passer Posted January 23, 2012 Posted January 23, 2012 (edited) Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10... Благодарю, получилось. Edited January 29, 2012 by passer Вставить ник Quote
passer Posted January 29, 2012 Posted January 29, 2012 Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть? Вставить ник Quote
NewUse Posted January 29, 2012 Posted January 29, 2012 Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть? а в секции аккаунтинга модуль SQL прописан? в sql.conf стоит запрос аккаунтинга? Вставить ник Quote
passer Posted January 29, 2012 Posted January 29, 2012 а в секции аккаунтинга модуль SQL прописан?Прописан, точнее раскомментирован. в sql.conf стоит запрос аккаунтинга?Он же там не один. И по умолчанию в gentoo они раскомментированы. postauth в БД пишется, но там нет ничего интересного. Вставить ник Quote
NewUse Posted January 29, 2012 Posted January 29, 2012 если в лог пишется -- значит траблы в настройках, я использую FreeNIBS -- там свой модуль, так что структуру БД наизусть не знаю, проверьте accounting_onoff_query, а также просмотрите dialup.conf (если фрирадиус версии2)... может установка в файле cfg на точках доступа параметра aaa.1.radius.acct.1.interim=30 поможет вытянуть траблу... ну и скелет БД то в баз заведён? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.