zakirov84 Опубликовано 20 января, 2012 · Жалоба Уважаемые спецы, такая ситуация. У нас в сети клиенты авторизуются по 802.1х в убнт тоже есть такая авторизация, но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов?????????? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 января, 2012 · Жалоба Микротик нормально работает в таком режиме по радиусу, UBNT без костылей не поддерживает. На микротике можно сначала авторизовать клиента по EAP. Дать команду создать для него отдельный влан. Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 20 января, 2012 · Жалоба но кто-нибудь реально прикручивал это железо в сеть оператора с такой авторизацией абонентов?????????? не очень понял задачу, у меня сеть WPA2-Ent+PEAP клиенты как с дд-врт, так и с ubnt... Никаких костылей нет, только дату надо выставить новее даты генерации сертификата.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 22 января, 2012 (изменено) · Жалоба На клиентах? Насколько я понял после опытов, дата на клиенте сбивается после ребута. Какое лекарство подобрали? Выставляете стартовую дату ручками? Изменено 22 января, 2012 пользователем passer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 января, 2012 · Жалоба Ну так настройте им NTP сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 22 января, 2012 · Жалоба Да, на днях тестил связку из пары Rocket M5. Родная дата устройстве - почти на год от текущей отличается. NTP-клиент после ребута что-то не сподобился дату поправить. Прошивка 5.3.5. В общем, пока каменный цветок с радиусом не вышел. Завтра продолжу эксперименты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 22 января, 2012 · Жалоба Выставляете стартовую дату ручками? Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 22 января, 2012 · Жалоба На микротике можно сначала авторизовать клиента по EAP. Дать команду создать для него отдельный влан. Выдать на запрос DHCP сервера требуемые реквизиты для этого клиента по его маку. А где можно поподробнее почитать о создании такой связки на Mikrotik ? Как авторизовать и как автоматом посадить клиента в отдельный Vlan ? Если статьи или Wiki нет, обьясните вкратце пожалуйста .. Заранее благодарю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 22 января, 2012 (изменено) · Жалоба На микротике можно сначала авторизовать клиента по EAP. Не динамический vlan Вы случайно имеете ввиду, если его, то это никак не решит проблемы... динамический vlan в юбнт, действительно, не реализован, возожен ли через cli -- не знаю ( теории -- да, но е пробовал), но заплаирован... только повторюсь, проблемы времени это не решает... На микротике можно сначала авторизовать клиента по EAP. по-подробнее, пожалуйста, в контексте решеия проблемы времени, то же интересует решение вопроса без установки старт-ап даты... Изменено 22 января, 2012 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 января, 2012 · Жалоба А где можно поподробнее почитать о создании такой связки на Mikrotik ? Как авторизовать и как автоматом посадить клиента в отдельный Vlan ? Если статьи или Wiki нет, обьясните вкратце пожалуйста .. Заранее благодарю. Тут=) Сначала на вкладке Security Profiles в разделе Wireless включаете авторизацию по радиусу и выбираете тип авторизации. Далее при подключении клиента к точке идет запрос на его MAC адрес, если его MAC есть в списке разрешенных (это решает ваш биллинг), тогда выполняются следующие действия посредством отправки команд по ssh на этот микротик (адрес микротика берется из RADIUS запроса): 1.На запрос клиенту отправляется отказ в подключении. 2.Создается Virtual AP на микротике с таким же SSID как и у основной точки и SSID ее должен быть скрытый. 3.MAK-адрес клиента добавляется в Access List с указанием интерфейса этой Virtual AP. 4.Создается нужный влан и бриджуется с этой Virtual AP. Все=) клиент подключается к точке и работает в своем влане. Это подходит для подключения ноутбуков. Недостатка 2 - при создании Virtual AP передергиваеются все беспроводные интерфейсы, поэтому желательно заранее создать необходимое количество их и вести учет в биллинге. Не все ноутбуки правильно обрабатывают отказ в подключении и не перебирают следующую точку с этим именем. Если клиент умеет работать в WDS все делается проще: 1.На запрос клиенту отправляется разрешение подключения. 2.Создается нужный влан. 3.На основании MAK-адреса клиента создается статический WDS-клиент. 4.Влан бриджуется с этой WDS записью. Все=) клиент подключается к точке и работает в своем влане. Это происходит при подключении клиентского CPE. Когда клиент отключается, нужно отправить команду удаления влана и статической WDS записи чтобы не засорять точки не используемыми в данный момент вланами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 22 января, 2012 · Жалоба Да, прикольный костыль, хотя вариатов действительно не так много... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 22 января, 2012 · Жалоба Спасибо за развернутый ответ, буду пробовать. Попутно вопрос, сколько virtual AP можно повесить на базе ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 23 января, 2012 · Жалоба Спасибо за развернутый ответ, буду пробовать. Попутно вопрос, сколько virtual AP можно повесить на базе ? Нет ограничений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 23 января, 2012 (изменено) · Жалоба Ручками на вкладке system есть специальный пункт выставления даты, ставите любую, у меня так работает, только сертификаты сгенерите лет на 10... Благодарю, получилось. Изменено 29 января, 2012 пользователем passer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 29 января, 2012 · Жалоба Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 29 января, 2012 · Жалоба Гм, не заполняется табличка radacct, но в логи /var/log/radius/radacct добро пишется. Подскажите, куда смотреть? а в секции аккаунтинга модуль SQL прописан? в sql.conf стоит запрос аккаунтинга? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 29 января, 2012 · Жалоба а в секции аккаунтинга модуль SQL прописан?Прописан, точнее раскомментирован. в sql.conf стоит запрос аккаунтинга?Он же там не один. И по умолчанию в gentoo они раскомментированы. postauth в БД пишется, но там нет ничего интересного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 29 января, 2012 · Жалоба если в лог пишется -- значит траблы в настройках, я использую FreeNIBS -- там свой модуль, так что структуру БД наизусть не знаю, проверьте accounting_onoff_query, а также просмотрите dialup.conf (если фрирадиус версии2)... может установка в файле cfg на точках доступа параметра aaa.1.radius.acct.1.interim=30 поможет вытянуть траблу... ну и скелет БД то в баз заведён? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...