classic.ISPforum.cz

Ahoj,

rekonfiguroval jsem jedné firmě Mikrotik a optimalizoval ho kvůli cpu apod. Všechno jede jak má, i všechny pravidla, ale máme problém s Radiusem. Předtím to fungovalo tak, že když přišel požadavek na novou vpn, mikrotik se zeptal radius serveru (Windows server) a ten mu odpověděl, jestli je účet, který je k vpn (pptp) správný nebo ne. A podle toho uživatele přihlásil k vpn nebo ne. Teď po rekonfigurace tohle už nefunguje. Respektive Radius se zeptá, ale v logu je jen hláška "Radius timed out". Mohla by být chyba v konfiguraci firewallu? Nebo kde byste to hledali?

Konfigurace na obou mikrotikách (jeden s novou konfigurací, druhý se starou konfigurací) je naprosto stejná. Jediná místa, kde se liší jsou právě firewall a nastavení IP services apod.

Když si ale snifuju provoz, který na radius server jde, tak spolu mikrotik i radius server normálně komunikají... Tak to nechápu.

Na obrázku radius1.jpeg je zachycen provoz na nově konfigurovaném Mikrotiku. Radius je 192.168.100.1.

Díky.

A při těch pokusech se ti nový RB ptá ze stejné zdrojové IP jako ten starý? Pokud je máš připojeny na pokus vedel sebe a používá na dotazy tka jinou zdrojovou IP, tak v tom Windows serveur je možná nastavneo, že má odpovídat jen té jendé konkrétní IP a ana ostantí tiše kašle.

Nn, IP jsou stejne... Nejsou vedle sebe zaple..

Bylo to nakonec ve firewallu, nedošlo mi, že při komunikaci s Radiusem se používá udp protokol, čili že jakoby odpoví radius mikrotiku jedním paketem. Povolil jsem ve firewallu IP radiusu se source portem 1812 a už to jede. Ale nechápu, jakto, že ta komunikace byla vidět jak v torch, tak i packet snifferu, i když ji Mikrotik firewallem ořezával...

Protože torch/packet sniffer berou raw data ještě před tím, než je začne brát IP stack a čistit firewall, takže vidí i to, co pak firewall zařízne.