FreeRadius a Mikrotik

[kvnetkvnet]

zdravim, snazim se rozchodit overovani klientu pres MAC pomoci radiusu ale porad se mi to nejak nedari. Potrebuji a aby radiu overim MAC adresu a pote aby se klientovi pomoci DHCP nahodila predem urcena IP. Pomuze mi s tim nekdo? Prosim Prosim....

[Jan Holub]

Nemělo by to být složité. Sem jsi koukal?:
http://www.routeros.cz/rosdays/2005/pre ... radius.pdf

[teo]

Momnet - lze to využít tak že na nějakém PCčku v síti lze udělat centrální "ACCESS LIST" jako známe z menu WIRELESS záložka ACCESS LIST, kde přidávám povolené a zakázané MACky uživatelů pro autorizaci na vysílač?

[Jan Holub]

Ano jde. NA MT vytvoříš radius se service Wireless a je to. Jen ještě rozjet a nastavit ten Radius server.

[teo]

Ano jde. NA MT vytvoříš radius se service Wireless a je to. Jen ještě rozjet a nastavit ten Radius server.

Zní to opravdu zajímavě horší až nepůjde v části síe elektrika - včetně tohodle serveru a nikdo se neautorizuje
Hold je to riziko a je na každém jestli ho podstoupí, každopádně mne hned napadá několik pojistných řešení...

Ale zpět k tématu:
Musím na to vyčlenit sólo server s WIN nebo LINUXEM nebo by stačil nějaký výkonnější MK server (PC Mikrotik) ?
(jako pro ten centrální server na který budou připojeny ostatní MK)

[teo]

Jak ale o tom přemýšlím - napadá mne že při ztrátě komunikace koncového přístupovího bodu (MK) s centrálním serverem to vykopne všechny klienty. Vidím riziko když je dočasně horší spojení v (bod-to-bod) bude to docela haprovat

[laco]

pokial mate zalozak vsetko je v poriadku, netreba zabudnut na jednu vec: ak nepojde spoj na radius nedostanete sa na MT inak ako po kabli, cize treba si to nastavit, zaujima ma ale jedna vec: ako riesit ak mam 2 a viac PC za jednym APckom a to AP nie je (nemoze byt) router? mate to niekto nejako oklamane? okrem toho riesenia, ze to AP mam vymenit za mikrotika

[laco]

pokial mate zalozak vsetko je v poriadku, netreba zabudnut na jednu vec: ak nepojde spoj na radius nedostanete sa na MT inak ako po kabli, cize treba si to nastavit, zaujima ma ale jedna vec: ako riesit ak mam 2 a viac PC za jednym APckom a to AP nie je (nemoze byt) router? mate to niekto nejako oklamane? okrem toho riesenia, ze to AP mam vymenit za mikrotika

[schneiderf]

No trošku se pleteš. Na Mikrotika se samozřejmě dostaneš i přes wlan (voláš jeho wlan IP adresu). Chce to ale trochu práce. Běží-li na něm hotspot a radius je v tuto chvíli nedostupný, dostaneš se do něj přes účet users v hotspotu, který právě pro tyto případy je nejvhodnější. Pokud ho tam teda máš a s touto variantou nedostupnosti radiusu dopředu počítáš. Mám jeden univerzální admin účet v hotspotech ve všech mikroticích a všechny ostatní přístupy řídí radius. Má to svoje výhody i nevýhody, ale o tom otázka nebyla.

[kvnetkvnet]

tak trochu jinak, radius mam samozrejme spustenej a podle tohodle vypisu z MK si spolu povidaj, problem je v tom ze neumim rict radiusu aby tuhle konkretni MAC adresu povolil...


vypis z MK (radius monitor):
pending: 0
requests: 1
accepts: 0
rejects: 0
resends: 3
timeouts: 1
bad-replies: 0
last-request-rtt: 0s

[pepulis]

Nasel by se tady nekdo, kdo by dokazal podebatovat o radiusu na icq, skype apod. ? Myslim ze skladanim zkusenosti kazdeho z nas muzeme udelat nejake jednoduchy navod na instalaci a zprovozneni. Ja osobne bych mohl podat instalaci freeradiusu od A do Z na debian serveru. Jedine co mi chybi je prakticke nasazeni a protoze mam jeste radu otazek, nechci se poustet do neceho bezhlave. Hledam spise hodneho clovicka, pana apod. kdo by me vyvratil me navrhy. Hledam ale nekoho, kdo jiz ma radius na nejake linux masine nasazeny. Teorie je na netu hodne, vcetne manualu atd., ale praxe je nekdy jina )) Pokud nekdo bude mit zajem ozvete se pls na ICQ: 317240588, email: pepulis@seznam.cz . Dekuju predem.

[Jan Holub]

vypis z MK (radius monitor):
pending: 0
requests: 1
accepts: 0
rejects: 0
resends: 3
timeouts: 1
bad-replies: 0
last-request-rtt: 0s

Tohle spíš vypadá že si nepovídaj. Že MT kontaktuje radius, ale ten na něj prdí, aniž by mu poslal accept, nebo reject.

[schneiderf]

Tak tak, tvůj mikrotik posilá radiusu requesty, ale on na něj prdi , jak tu někdo napsal. Pokud chces, aby radius ověřoval podle MAC, musíš to nastavit jak na mikrotiku v profilu hotspotu na založce login a pak v radiusu. A to tak že username je vlasně MAC a hodnota password je prázná. Taková rada: máš-li volný routerboard s L4 pak si na něj nainstaluj balíček USERMAN (takovej "malej" radius) a když Ti to spolu bude chodit, tak si začni hrát s radiusem na linuxu.

[pepulis]

Pouziva z vas nekdo Mikrotik propojeny napr. s freeradiusem, kde overovani probiha na zaklade 802.1x pres prihlasovaci dialog uzivatelske jmeno a heslo, bez vyuziti hotspotu?

Zatim jsem nastavil tohle - http://www.freewifinet.org/routeros/ (mozna bude zlobit kodovani, tak si ho pro prehlednost prepnete na Windows-1250). Kdyz se podivam ale na zalozku radius na MK tak neprijme zadne pkatey, sude jsou same nuly.


10.10.10.2 - ip adresa RB133 na kterem testuju radius
192.168.128.4 - testovaci debian server s nakonfigurovanym freeradiusem

[jali]

Nasel by se tady nekdo, kdo by dokazal podebatovat o radiusu na icq, skype apod. ? Myslim ze skladanim zkusenosti kazdeho z nas muzeme udelat nejake jednoduchy navod na instalaci a zprovozneni. Ja osobne bych mohl podat instalaci freeradiusu od A do Z na debian serveru. Jedine co mi chybi je prakticke nasazeni a protoze mam jeste radu otazek, nechci se poustet do neceho bezhlave. Hledam spise hodneho clovicka, pana apod. kdo by me vyvratil me navrhy. Hledam ale nekoho, kdo jiz ma radius na nejake linux masine nasazeny. Teorie je na netu hodne, vcetne manualu atd., ale praxe je nekdy jina )) Pokud nekdo bude mit zajem ozvete se pls na ICQ: 317240588, email: pepulis@seznam.cz . Dekuju predem.

podle zkusenosti si MK s debian radiusem nerozumi