[Аndersen]

Linux CentOS, установил freeradius из репозитория.

Запустил, меняю на маршрутизаторе радиус сервер на новый. Конечно же не работает ничего же не заведено еще,

в логах:

 

Fri Feb 28 08:49:36 2014 : Info: Signalled to terminate
Fri Feb 28 08:49:36 2014 : Info: Exiting normally.
Fri Feb 28 09:16:34 2014 : Info: Loaded virtual server <default>
Fri Feb 28 09:16:34 2014 : Info: Loaded virtual server inner-tunnel
Fri Feb 28 09:16:34 2014 : Info:  ... adding new socket proxy address * port 57511
Fri Feb 28 09:16:34 2014 : Info: Ready to process requests.
Fri Feb 28 09:18:14 2014 : Error: Ignoring request to authentication address * port 1812 from unknown client 192.168.10.112 port 1645
Fri Feb 28 09:18:17 2014 : Error: Ignoring request to accounting address * port 1813 from unknown client 192.168.10.112 port 1646

 

Завожу клиента, но не завожу юзера, теперь в логах:

 

Fri Feb 28 09:22:55 2014 : Info: Signalled to terminate
Fri Feb 28 09:22:55 2014 : Info: Exiting normally.
Fri Feb 28 09:22:55 2014 : Info: Loaded virtual server <default>
Fri Feb 28 09:22:55 2014 : Info: Loaded virtual server inner-tunnel
Fri Feb 28 09:22:55 2014 : Info:  ... adding new socket proxy address * port 51690
Fri Feb 28 09:22:55 2014 : Info: Ready to process requests.
Fri Feb 28 09:23:31 2014 : Error: rlm_radutmp: Logout for NAS Office-C2821 port 0, but no Login record

 

Теперь завожу юзера, в логах вроде бы никаких ошибок нет:

 

 

Fri Feb 28 09:32:30 2014 : Info: Signalled to terminate
Fri Feb 28 09:32:30 2014 : Info: Exiting normally.
Fri Feb 28 09:32:30 2014 : Info: Loaded virtual server <default>
Fri Feb 28 09:32:30 2014 : Info: Loaded virtual server inner-tunnel
Fri Feb 28 09:32:30 2014 : Info:  ... adding new socket proxy address * port 58713
Fri Feb 28 09:32:30 2014 : Info: Ready to process requests.

 

Но клиент не подключается.

[Painter]

Временно запускайте freeradius в отладочном режиме c ключом -X из консоли, а не в режиме демона. Будет что-то типа " service freeradius stop", а потом "freeradius -X"

[Аndersen]

Временно запускайте freeradius в отладочном режиме c ключом -X из консоли, а не в режиме демона. Будет что-то типа " service freeradius stop", а потом "freeradius -X"

 

Все так и сделал, помогите с выводом разобраться:

 

rad_recv: Access-Request packet from host 192.168.24.128 port 1645, id=184, length=86
       Framed-Protocol = PPP
       User-Name = "gks5"
       CHAP-Password = 0x0136b19b618e79effc8aa576004ee77f63
       NAS-Port-Type = Virtual
       NAS-Port = 0
       NAS-Port-Id = "0/0/0/853"
       Service-Type = Framed-User
       NAS-IP-Address = 192.168.24.128
# Executing section authorize from file /etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[chap] Setting 'Auth-Type := CHAP'
++[chap] returns ok
++[mschap] returns noop
[suffix] No '@' in User-Name = "gks5", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
[files] users: Matched entry DEFAULT at line 172
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
++[pap] returns noop
Found Auth-Type = CHAP
# Executing group from file /etc/raddb/sites-enabled/default
+- entering group CHAP {...}
[chap] login attempt by "gks5" with CHAP password
[chap] Cleartext-Password is required for authentication
++[chap] returns invalid
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/raddb/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject]     expand: %{User-Name} -> gks5
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 2 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 2
Sending Access-Reject of id 184 to 192.168.24.128 port 1645
Waking up in 1.4 seconds.
Cleaning up request 1 ID 183 with timestamp +34
Waking up in 3.5 seconds.

[kayot]

Лог четко говорит, найден такой юзер, но не найден для него аттрибут Cleartext-Password.

В radcheck добавляли пароль в password, а не Cleartext-Password небось?

[Аndersen]

Лог четко говорит, найден такой юзер, но не найден для него аттрибут Cleartext-Password.

В radcheck добавляли пароль в password, а не Cleartext-Password небось?

 

В radcheck я ничего не добавлял, это я так понимаю таблица в MySQL.

 

Дело вообще в чем, у нас есть радиус сервер, он вполне себе работает, но сервер этот очень старый, поднимался и настраивался неизвестно когда, и его нужно выключать и демонтировать, он один из немногих оставшихся физических серверов, все уже давно на виртуалках. Так вот там радиус работает без MySQL я хочу так же без "мускула" сделать.

 

Мне не нужен биллинг, не нужно считать, не нужно что бы пользователь отключался при отрицательном балансе и тд.

 

В файле /etc/raddb/users я завел юзера вот в таком виде:

 

gks5    Auth-Type := Local, Cleartext-Password := "xxxxxxx"
   Service-Type = Framed-User,
   Framed-Protocol = PPP,
   Framed-IP-Address = 172.16.xx.xx,
   cisco-avpair = "lcp:interface-config=ip vrf forwarding gks\nip unnumbered Loopback100",
   cisco-avpair += "ip:route=vrf gks 10.32.xx.xx 255.255.255.224 172.16.xx.xx"

 

Может тут что не так?

Изменено 1 марта, 2014 пользователем Аndersen

[kayot]

Надо отключить chap авторизацию и включить files.

[Аndersen]

Надо отключить chap авторизацию и включить files.

 

rad_recv: Access-Request packet from host 192.168.24.128 port 1645, id=220, length=86
       Framed-Protocol = PPP
       User-Name = "gks5"
       CHAP-Password = 0x01ad114f57f72d9dfdc44686221aead629
       NAS-Port-Type = Virtual
       NAS-Port = 0
       NAS-Port-Id = "0/0/0/853"
       Service-Type = Framed-User
       NAS-IP-Address = 192.168.24.128
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[suffix] No '@' in User-Name = "gks5", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[unix] returns notfound
[files] users: Matched entry DEFAULT at line 172
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
++[pap] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Using Post-Auth-Type Reject
 WARNING: Unknown value specified for Post-Auth-Type.  Cannot perform requested action.
# Executing group from file /etc/freeradius/sites-enabled/default
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.

 

 

На сервере переуснатовил ОС, теперь Debian

 

Тест показывает что все нормально:

 

root@tacacs:/etc/freeradius# radtest gks5 xxxxxx 127.0.0.1 0 testing123
Sending Access-Request of id 43 to 127.0.0.1 port 1812
       User-Name = "gks5"
       User-Password = "xxxxxx"
       NAS-IP-Address = 127.0.0.1
       NAS-Port = 0
       Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=43, length=182
       Service-Type = Framed-User
       Framed-Protocol = PPP
       Framed-IP-Address = 172.16.xx.xx
       Cisco-AVPair = "lcp:interface-config=ip vrf forwarding gks\nip unnumbered Loopback100"
       Cisco-AVPair = "ip:route=vrf gks 10.32.xx.xx 255.255.255.224 172.16.xx.xx"

Изменено 3 марта, 2014 пользователем Аndersen