Перейти к содержимому
Калькуляторы

Ubiquti Авторизация клиентов по 802.1Х

Уважаемые спецы, такая ситуация. У нас в сети клиенты авторизуются по 802.1х в убнт тоже есть такая авторизация, но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов??????????

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик нормально работает в таком режиме по радиусу, UBNT без костылей не поддерживает.

 

На микротике можно сначала авторизовать клиента по EAP.

Дать команду создать для него отдельный влан.

Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов??????????

не очень понял задачу, у меня сеть WPA2-Ent+PEAP клиенты как с дд-врт, так и с ubnt...

Никаких костылей нет, только дату надо выставить новее даты генерации сертификата....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 На клиентах? Насколько я понял после опытов, дата на клиенте сбивается после ребута. Какое лекарство подобрали? Выставляете стартовую дату ручками? 

Изменено пользователем passer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, на днях тестил связку из пары Rocket M5. Родная дата устройстве - почти на год от текущей отличается. NTP-клиент после ребута что-то не сподобился дату поправить. Прошивка 5.3.5.

 

В общем, пока каменный цветок с радиусом не вышел. Завтра продолжу эксперименты.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выставляете стартовую дату ручками?

Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На микротике можно сначала авторизовать клиента по EAP.

Дать команду создать для него отдельный влан.

Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку.

А где можно поподробнее почитать о создании такой связки на Mikrotik ?

Как авторизовать и как автоматом посадить клиента в отдельный Vlan ?

Если статьи или Wiki нет, обьясните вкратце пожалуйста ..

Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На микротике можно сначала авторизовать клиента по EAP.

Не динамический vlan Вы случайно имеете ввиду, если его, то это никак не решит проблемы...

 

динамический vlan в юбнт, действительно, не реализован, возожен ли через cli -- не знаю ( теории -- да, но е пробовал), но заплаирован...

 

только повторюсь, проблемы времени это не решает...

 

На микротике можно сначала авторизовать клиента по EAP.

по-подробнее, пожалуйста, в контексте решеия проблемы времени, то же интересует решение вопроса без установки старт-ап даты...

Изменено пользователем NewUse

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А где можно поподробнее почитать о создании такой связки на Mikrotik ?

Как авторизовать и как автоматом посадить клиента в отдельный Vlan ?

Если статьи или Wiki нет, обьясните вкратце пожалуйста ..

Заранее благодарю.

 

Тут=)

 

Сначала на вкладке Security Profiles в разделе Wireless включаете авторизацию по радиусу и выбираете тип авторизации.

 

Далее при подключении клиента к точке идет запрос на его MAC адрес, если его MAC есть в списке разрешенных (это решает ваш биллинг), тогда выполняются следующие действия посредством отправки команд по ssh на этот микротик (адрес микротика берется из RADIUS запроса):

 

1.На запрос клиенту отправляется отказ в подключении.

2.Создается Virtual AP на микротике с таким же SSID как и у основной точки и SSID ее должен быть скрытый.

3.MAK-адрес клиента добавляется в Access List с указанием интерфейса этой Virtual AP.

4.Создается нужный влан и бриджуется с этой Virtual AP.

 

Все=) клиент подключается к точке и работает в своем влане. Это подходит для подключения ноутбуков. Недостатка 2 - при создании Virtual AP передергиваеются все беспроводные интерфейсы, поэтому желательно заранее создать необходимое количество их и вести учет в биллинге. Не все ноутбуки правильно обрабатывают отказ в подключении и не перебирают следующую точку с этим именем.

 

Если клиент умеет работать в WDS все делается проще:

 

1.На запрос клиенту отправляется разрешение подключения.

2.Создается нужный влан.

3.На основании MAK-адреса клиента создается статический WDS-клиент.

4.Влан бриджуется с этой WDS записью.

 

Все=) клиент подключается к точке и работает в своем влане. Это происходит при подключении клиентского CPE. Когда клиент отключается, нужно отправить команду удаления влана и статической WDS записи чтобы не засорять точки не используемыми в данный момент вланами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, прикольный костыль, хотя вариатов действительно не так много...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за развернутый ответ, буду пробовать.

Попутно вопрос, сколько virtual AP можно повесить на базе ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за развернутый ответ, буду пробовать.

Попутно вопрос, сколько virtual AP можно повесить на базе ?

Нет ограничений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10...

Благодарю, получилось.

 

 

Изменено пользователем passer

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть?

а в секции аккаунтинга модуль SQL прописан? в sql.conf стоит запрос аккаунтинга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а в секции аккаунтинга модуль SQL прописан?
Прописан, точнее раскомментирован.

 

в sql.conf стоит запрос аккаунтинга?
Он же там не один. И по умолчанию в gentoo они раскомментированы. postauth в БД пишется, но там нет ничего интересного.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если в лог пишется -- значит траблы в настройках, я использую FreeNIBS -- там свой модуль, так что структуру БД наизусть не знаю, проверьте accounting_onoff_query, а также просмотрите dialup.conf (если фрирадиус версии2)...

 

может установка в файле cfg на точках доступа параметра aaa.1.radius.acct.1.interim=30 поможет вытянуть траблу...

 

ну и скелет БД то в баз заведён?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.