radius server s veřejnou ip

[okoun]

Vzhledem k tomu, že jsme chtěli mít 100% jistotu, že nám bude fungovat radius server, tak jsme ho dali do profi housingu, kde samozřejmě dostal veřejnou adresu IPv4. Nemá tedy naší lokální adresu. Problém ale je v tom, že všechny zařízení na páteři a AP musím, tak zařadit do NATU a to se mi právě moc nechce.
Co si o tom myslíte?
Vadí či nevadí natovat do internetu páteřní zařízení?
Je lepší server dát jen do vnitřní sítě?

[loopie]

Takhle bych to určitě nedělal. Když se budou přístupy NATovat, tak jak potom poznáš odkud se klient hlásí? Pokud bych musel mít radius mimo svojí síť, tak bych radši použil nějakou VPN mezi ním a koncentrátory. Nicméně nevidím žádný důvod to tak dělat, protože to přináší spoustu dalších problémů (co když vypadne konekt do netu? - pokud NATuješ, tak asi nemáš moc veřejek, nemáš tedy asi ani AS a BGP a zálohování primární linky do netu bude asi horor). My máme radius na backbone jako ostatní servery a není s tím problém, některé ty servery mají uptime i 5 let.

[net.work]

udelej nejaky tunel a mas poreseno... bezne se to dela

[okoun]

počkat, špatně pochopeno, koncentrátor mám vždy na lokálním AP, ale radius server je na veřejné adrese a aby si MK ten radius server načetl tak musí být nat

[loopie]

Pochopil jsem to správně. A jak říká net.work, nějaký tunel to řeší. Já se teď chystám na openVPN server s ověřováním proti radiusu, což by mohlo být relativně elegantní řešení. Nicméně mi pořád není jasné jaká je výhoda mít radius mimo svojí síť. Dokážu si představit, že s tím bude spousta problémů (viz ten NAT) a nenapadá mě co ti to přinese.

[okoun]

no výhoda je v tom že je to profi server housing, tedy nemusíme řešit klimatizace, upsky, a ještě je to na 1Gb vláknu.... prostě kvůli radiusu nemusíme stavět serverovnu

[loopie]

Rozumím. Stejně bych radši měl radius u sebe v síti než někde v serverovně, kde mám horší přístup (mám ve sklepě dvoumetrový rack a v něm všechny servery a příslušenství). Troufnu si tvrdit, že dostupnost serveru, který mám u sebe je minimálně stejná, ne-li lepší, než u serveru v datacentru. Co je to vlastně používáš za radius? U nás to vyhrál freeradius s dialup adminem na debianu (za ten debian bych si zpětně nakopal, ale co už...)

[hafieror]

Co bylo špatně na debianu?

[DarkLogic]

Přesně. Taky by zajímalo, co komu může vadit na debianu.

[zdenek.svarc]

Nezlobte se, ale nechápal jsem toto vlákno už od prvního příspěvku, ale čekal jsem od sebe, že smysl odhalím s postupujícím časem. Leč přiznám sebekriticky, že celou situaci nechápu doteď. Jediné, co mě napadá, že důvod, proč umístit něco tak kritického na dostupnost, jako je AAA server pro přístupovou síť, někam do tramtárie, je, že dotyčný server je hostovaný. Tedy poskytovaný a spravovaný jiným subjektem. V tom případě by bylo dobré se nestydět, a tuhle skutečnost uvést. Odpadne pak spousta nechápavých příspěvků a můžeme řešit podstatné.

Jinak v dnešní době nemá smysl řešit, co běží za OS (Debian), ale co běží pod OS, tedy virtualizační prostředí. A s tím pak úzce souvisí redundance, zálohování a v případě velkých fajnšmekrů HA. To jsou otázky, které mají smysl. Samozřejmě v jiném vlákně.

[okoun]

no zajímalo by mě jak to tedy řešit, když nemám vlastní serverovnu, mám dát server na půdu?

[DarkLogic]

Půda je ideálním místem, kam server dát - v létě se ohřeje a v zimě trocha chladu ještě přece nikomu neuškodila

Ale jinak proč hned stavět serverovnu kvůli jednomu serveru?

[okoun]

tak také je to kvůli tomu že je šíť rozdělená na 4 kusy, tedy na 4 konektivity, sítě zatím propojit nelze jelikož jsou od sebe vzdálenější

[zdenek.svarc]

Jasnačka, to už smysl dává. V tom případě by to opravdu chtělo zvolit nějakou formu L2 tunelu, ať už teminovanou přímo v OS toho Radius serveru nebo, ještě lépe, terminovanou na routeru/firewallu, za kterým bude server na straně datové centra schovaný.

[loopie]

Jenom doplním k tomu debianu. Jinak si na něj nemůžu stěžovat, ale balíčky a freeradiusem jsou v něm v hodně zabugovaném stavu, trvalo mi docela dlouho, než jsem všechny chyby opravil a radius rozchodil. Co jsem se později díval, tak například v CentOSu je freeradius funkční hned po instalaci.

Teď už si dokážu lépe představit, jak to má okoun udělané..... Nehodilo by se na tohle použít třeba radius proxy? Tunelování nebo NATování se nevyhne, ale bude to mít jenom 4x a ne tunel pro každé AP. Možná plácám blbosti, ale v každém segmentu sítě jeden radius třeba Alixu a přeposílat dotazy tunelem na nadřazený radius? Hmm...? Co myslíte?