[SergKz]

Есть базовая станция EION StarMax, надо её чем-то оконечить в сети.

Мобильные фичи не обязательно, мало того даже аккаунтинг не обязателен. Использоваться будет для стационарных пользователей.

Надо только авторизовать и выдать IP.

Знаю, что на BreezeCompact и на RuggedCom и на каких-то ещё есть автономный режим, когда она работает со внутренним ASN-GW.

Но увы, это не наш случай - какая досталась, такую и пытаемся запустить.

Попробовал фриварный boc-wimax-asn - неуспешно, всё что видим это сообщения о неизвестном формате заголовков R6, видимо в базовой станции другая ревизия протокола, ну да понятно - boc-wimax проект практически мертвый уже года 3-4.

Зарегился на eionewireless, скачал триал ихнего софта "Express ASN&AAA".

Всё ничего, но радиус упорно ругается на неправильные сертификаты и не поднимает сессию EAP.

Видимо, надо что-то дополнительно генерить, но документации традиционно для проприетарного софта практически ноль.

И в софте eion-asnc непонятно куда этот сертификат пихать.

Суппорт от EION, как только поняли, что у нас всего одна база и мы пытаемся запустить её подешевле, перестал отвечать на письма.

"Просто бизнес, ничего личного".

 

Кто-нибудь подскажет, что тут можно ещё придумать?

 

PS: также неясно - можно ли использовать в качестве роутера wsg-router обычную циску? или надо со спецсофтом? сами EION используют Juniper M7i, не упоминая нигде, ставится на него что-то дополнительно или нет.

Edited May 16, 2013 by SergKz

[NewUse]

Кто-нибудь подскажет, что тут можно ещё придумать?

Ну Вы же сами пишите:

но радиус упорно ругается на неправильные сертификаты и не поднимает сессию EAP

т.е. Вам необходимо на радиус-сервере сгенерить свежие SSL сертификаты (OpenSSL в помощь, ну или из FreeRADIUS-а скрипт вытянуть, или сразу сертифиаты) и проверить время на CPE, и всё заработает.

База здесь непричём.

Вот ещё один проектик:

http://www.amitchawre.net/nw-wimax-asncp.html

Был ещё какой-то опенсурсный проект ASN, но не помню названия, на форуме обсуждался, может он поживее....

[SergKz]

т.е. Вам необходимо на радиус-сервере сгенерить свежие SSL сертификаты (OpenSSL в помощь, ну или из FreeRADIUS-а скрипт вытянуть, или сразу сертифиаты) и проверить время на CPE, и всё заработает.

База здесь непричём.

 

Если конкретно - ругается на unknown CA.

Софт укомплектован сертификатами от EION, заменить их своими?

И сертификат нужно размещать только на радиусе, больше нигде?

 

Вот ещё один проектик:

http://www.amitchawre.net/nw-wimax-asncp.html

Этот я находил, если я правильно понял написанное

==

It emulates minimalistic ULP entity logic for a WiMAX ASN Gateway and handles Network Entry/Exit procedures as per standard specifications. Authentication mechanism and data plane are not supported yet.

==

то собственно функция передачи данных с базы там не реализована.

[SergKz]

Ну Вы же сами пишите:

но радиус упорно ругается на неправильные сертификаты и не поднимает сессию EAP

т.е. Вам необходимо на радиус-сервере сгенерить свежие SSL сертификаты (OpenSSL в помощь, ну или из FreeRADIUS-а скрипт вытянуть, или сразу сертифиаты) и проверить время на CPE, и всё заработает.

 

Сгенерил радиусовским скриптом новые сертификаты. Заменил в конфигах все сертификаты на эти новые.

Эффект ровно тот же:

==

Fri May 17 23:01:48 2013 : Error: TLS Alert read:fatal:unknown CA

Fri May 17 23:01:48 2013 : Error: TLS_accept: failed in SSLv3 read client certificate A

Fri May 17 23:01:48 2013 : Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca

==

[nay]

Ну Вы же сами пишите:

но радиус упорно ругается на неправильные сертификаты и не поднимает сессию EAP

т.е. Вам необходимо на радиус-сервере сгенерить свежие SSL сертификаты (OpenSSL в помощь, ну или из FreeRADIUS-а скрипт вытянуть, или сразу сертифиаты) и проверить время на CPE, и всё заработает.

 

Сгенерил радиусовским скриптом новые сертификаты. Заменил в конфигах все сертификаты на эти новые.

Эффект ровно тот же:

==

Fri May 17 23:01:48 2013 : Error: TLS Alert read:fatal:unknown CA

Fri May 17 23:01:48 2013 : Error: TLS_accept: failed in SSLv3 read client certificate A

Fri May 17 23:01:48 2013 : Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca

==

 

Это абонентское устройство похоже жалуется на самоподписанный сертификат.

Надо или отключить проверку CA, или залить на ms свой СА сертификат.

[NewUse]

Не уверен, но, возможно сертификат не пренадлежит CA на сервере, в конфиге сервера указан верный CA, сгенерённый через скрипт?

то собственно функция передачи данных с базы там не реализована.

На сколько я понял, там не реализовано управление скоростями, а передача данных -- есть, надо тестить, копать код, и самому дописывать нужный функционал....

Там, как я понял реализован протокол, а весь обвес необходимо дописывать, я код не копал ....

[SergKz]

Это абонентское устройство похоже жалуется на самоподписанный сертификат.

Надо или отключить проверку CA, или залить на ms свой СА сертификат.

 

И где его отключить? в радиусе? пока нашёл как отключить TLS - не помогло.

Или в софте ASN? там нет таких параметров.

И как обходятся провайдеры без заливки сертификатов на абонентские устройства? судя по вычитанному на wimaxforum, абонентские устройства должны иметь сертификаты, вшитые производителем.

[SergKz]

Так... путём игрищ с сертификатами (сработал кстати сертификат вшитый в модем производителем CaCert_MACADDR) добился того, что теперь через радиус авторизация проходит, но софт asnc теперь отлупляет по причине DEREG_WSGR_NOTREADY.

Я догадываюсь, что он хочет Wireless Service Gateway Router, но какой можно использовать в качестве роутера и как ему (роутеру) об этом сказать? И можно ли использовать в этом качестве линуксовый шлюз?

Сами фирмачи EION в брошюрке по софту используют Juniper M7i. Найти упоминания, ставят ли они на него дополнительный софт, не удалось.