У кого-нибудь получилось просто соединить их? Так чтобы юзер подключался к микротику по PPPoE, микротик отправлял запрос радиусу UTM5 и юзер подключался.
Я прописал юзера в UTM, в сервисной связке назначил ему IP,
прописал адрес NAS микротика в UTM.
В микротике указал адрес радиус сервера UTM.
После этого происходит следующее:
Юзер коннектится к микротику и буквально на секунду появляется в списке Active connections микротика. После этого на компе юзера появляется ошибка 629, в логе микротика:
=================
[admin@MikroTik] >
echo: pppoe,info PPPoE connection established from 00:16:76:7C:1A:5D
echo: pppoe,ppp,info <pppoe-0>: waiting for call...
echo: pppoe,ppp,info <pppoe-0>: authenticated
[admin@MikroTik] >
echo: pppoe,ppp,info <pppoe-0>: terminating... - could not determine remote IP address
echo: pppoe,ppp,info <pppoe-0>: disconnected
======
В логе радиуса
?Debug : Feb 05 14:09:16 RADIUS DBA: NAS found. Data size <0>
?Debug : Feb 05 14:09:16 AcctServer: Acct packet with session ID: 819000b6
?Debug : Feb 05 14:09:16 RADIUS DBA: NAS found. Data size <0>
?Debug : Feb 05 14:09:16 AcctServer: Acct-Stop packet
?Debug : Feb 05 14:09:16 RADIUS DBA: Session erase ... login type <1>
?Debug : Feb 05 14:09:16 RADIUS DBA: login type login_pool or login_named_pool
?Debug : Feb 05 14:09:16 RADIUS IPPool: Released <c0a8646e>
?Debug : Feb 05 14:09:16 RADIUS Stream[plugin]: finish log id <14>
?Debug : Feb 05 14:09:16 AcctServer: Reply packet dump: RPacket:
Code: 5; ID: 53
=====
Вот такая проблемка и думаю не только у меня. О подсчете трафика пока нет и речи, да и не нужно, будет один безлимитный тариф с ограничением на самом микротике.
Mikrotik RB-450G + UTM5
Продолжаю беседу сам с собой. Нашел причину. Нужно было в параметрах pppoe сервера указать IP адрес. Указал. Все подключается и работает. Но... не отключается. Если даже пользователь в биллинге отключен, все равно pppoe соединение принимает пароль и подключает этого пользователя. как сделать так, чтобы если пользователь в системе отключен, например при отрицательном балансе, он не смог бы подключиться по vpn или pppoe? Трафик считать не нужно, т.к. безлимитка.
RTFM.
файл radius5.cfg
## radius_auth_vap
## Description: If the value is set, authorization of blocked users, whose
## logins are set in IP traffic service link, is disallowed.
## Possible values: 1
## Default value: authorization is allowed
#radius_auth_vap=1
При включении этой опции не будет пускать в заблокированном состоянии. НО, рекомендую пользователей пускать по авторизации в заблокированном, а выход в интернет блокировать средствами firewall на Mikrotik (при этом отправив например на страницу, что недостаточно средств на ЛС). В этот случае и доступ в рабочий кабинет останется (что важно при подключении PPPoE).
Так как, могут попасться неадекватные маршрутизаторы клиентов и будут посылать попытки авторизоваться по 5 раз в секунду и будет некислая нагрузка на процик Тика.
файл radius5.cfg
## radius_auth_vap
## Description: If the value is set, authorization of blocked users, whose
## logins are set in IP traffic service link, is disallowed.
## Possible values: 1
## Default value: authorization is allowed
#radius_auth_vap=1
При включении этой опции не будет пускать в заблокированном состоянии. НО, рекомендую пользователей пускать по авторизации в заблокированном, а выход в интернет блокировать средствами firewall на Mikrotik (при этом отправив например на страницу, что недостаточно средств на ЛС). В этот случае и доступ в рабочий кабинет останется (что важно при подключении PPPoE).
Так как, могут попасться неадекватные маршрутизаторы клиентов и будут посылать попытки авторизоваться по 5 раз в секунду и будет некислая нагрузка на процик Тика.
Спасибо! Помогло. Но... Возникла другая проблема, когда ввел несколько юзеров подключение PPPoE на некоторых компах не получается, выдает 691 ошибку.Хотя иногда и проходит....
Вот лог радиуса:
?Debug : Feb 12 18:56:04 AuthServer: User <shir16k10a> connecting
?Debug : Feb 12 18:56:04 AuthServer: Session for sessionid <shir16k10a> not found in <10.248.0.7> cache
?Debug : Feb 12 18:56:04 RADIUS DBA: Info for login <shir16k10a> found. type <1>
?Debug : Feb 12 18:56:04 AuthServer: Auth scheme: MS-CHAPv2
?Debug : Feb 12 18:56:04 AuthServer: MS-CHAPv2: Authorized user <shir16k10a>
?Debug : Feb 12 18:56:04 AuthServer: MS-CHAPv2: MPPE Keys send
Warn : Feb 12 18:56:04 AuthServer: Unable to claim IP: No such file or directory
?Debug : Feb 12 18:56:04 AuthServer: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Feb 12 18:56:04 AuthServer: Login incorrect <shir16k10a> from NAS <10.248.0.7> CLID <service1> Calling-station <00:16:76:7C:1A:5D>
Notice: Feb 12 18:56:04 AuthServer: Authorization failed for user <shir16k10a>
Вот лог радиуса:
?Debug : Feb 12 18:56:04 AuthServer: User <shir16k10a> connecting
?Debug : Feb 12 18:56:04 AuthServer: Session for sessionid <shir16k10a> not found in <10.248.0.7> cache
?Debug : Feb 12 18:56:04 RADIUS DBA: Info for login <shir16k10a> found. type <1>
?Debug : Feb 12 18:56:04 AuthServer: Auth scheme: MS-CHAPv2
?Debug : Feb 12 18:56:04 AuthServer: MS-CHAPv2: Authorized user <shir16k10a>
?Debug : Feb 12 18:56:04 AuthServer: MS-CHAPv2: MPPE Keys send
Warn : Feb 12 18:56:04 AuthServer: Unable to claim IP: No such file or directory
?Debug : Feb 12 18:56:04 AuthServer: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Feb 12 18:56:04 AuthServer: Login incorrect <shir16k10a> from NAS <10.248.0.7> CLID <service1> Calling-station <00:16:76:7C:1A:5D>
Notice: Feb 12 18:56:04 AuthServer: Authorization failed for user <shir16k10a>
Этим и занимался последнюю неделю. Перелопатил весь инет и пришел к выводу что в связке с микротиком проблема такая у всех на новой версии UTM5. Пререпробовал все параметры конфига радиуса. В итоге надоело, поставил старую версию и проблему как рукой сняло. Видимо разработчики не учли какие-то особенности микротика.nik247 писал(а):Из лога видно - не пускает, так как занят ИП - точнее считается, что занят.
Смотри другие параметры в радиусе.
Странно, но у меня почему-то работает нормально на 4.5 с UTM5 5.2-007u10 (и наверное не только у меня...)Rusteko писал(а): Этим и занимался последнюю неделю. Перелопатил весь инет и пришел к выводу что в связке с микротиком проблема такая у всех на новой версии UTM5. Пререпробовал все параметры конфига радиуса. В итоге надоело, поставил старую версию и проблему как рукой сняло. Видимо разработчики не учли какие-то особенности микротика.
И у меня нормально заработало как только прошил микротики на 4.5. Получается теперь ничего не надо трогать. ВЫйдет RouterOS 5.0 и не факт что она будет работать с UTM. Интересно отслеживает нетап обновления RouterOS?nik247 писал(а): Странно, но у меня почему-то работает нормально на 4.5 с UTM5 5.2-007u10 (и наверное не только у меня...)
Связка UTM 5.2.1-005 - RouterOS 3.22 работала идеально.nik247 писал(а):Версия RoS в твоем случае не причем - 100%.
Обновил RouterOS до 4.5 - перестало авторизовываться Unable to claim IP: No such file or directory.
Поставил UTM 5.2.1-007 - часов 6 проработало нормально - 10 юзеров отключались и подключались без проблем. А потом опять:
=============
?Debug : Feb 16 02:24:46 RADIUS Packet: raw data constructed! size <202>
?Debug : Feb 16 02:24:46 RadiusSocket: Moving RADIUS packet into send queue
?Debug : Feb 16 02:24:46 RadiusSocket: RADIUS raw data sent
?Debug : Feb 16 02:24:46 AuthServer: Next...
?Trace : Feb 16 02:24:46 AuthServer: Process loop step
?Debug : Feb 16 02:24:46 RadiusSocket: Waiting for RADIUS raw data
?Debug : Feb 16 02:24:48 RADIUS DBA: No interim update enabled session <2> found. Setting to default (if enabled).
?Debug : Feb 16 02:24:48 RADIUS Stream[plugin]: Ping reply received
?Debug : Feb 16 02:24:59 RadiusSocket: RADIUS packet successfully received
?Debug : Feb 16 02:24:59 RadiusSocket: RADIUS raw data obtained
?Debug : Feb 16 02:24:59 RADIUS Packet: Size <194>; HDR.Size <194>
?Debug : Feb 16 02:24:59 AuthServer: Recv...
?Debug : Feb 16 02:24:59 AuthServer: Packet from NAS <10.248.0.2>
?Debug : Feb 16 02:24:59 RADIUS DBA: NAS found. Data size <0>
?Debug : Feb 16 02:24:59 AuthServer: Packet from <10.248.0.2> packet dump: RPacket:
==========
или так:
==========
?Debug : Feb 16 02:24:59 AuthServer: User <zel6k23> connecting
?Debug : Feb 16 02:24:59 AuthServer: Session for sessionid <zel6k23> not found in <10.248.0.2> cache
?Debug : Feb 16 02:24:59 RADIUS DBA: Info for login <zel6k23> found. type <1>
?Debug : Feb 16 02:24:59 AuthServer: Auth scheme: MS-CHAPv2
?Debug : Feb 16 02:24:59 AuthServer: MS-CHAPv2: Authorized user <zel6k23>
?Debug : Feb 16 02:24:59 AuthServer: MS-CHAPv2: MPPE Keys send
Warn : Feb 16 02:24:59 AuthServer: Unable to claim IP: No such file or directory
?Debug : Feb 16 02:24:59 AuthServer: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Feb 16 02:24:59 AuthServer: Login incorrect <zel6k23> from NAS <10.248.0.2> CLID <service1> Calling-station <00:E0:51:11:02:36>
Notice: Feb 16 02:24:59 AuthServer: Authorization failed for user <zel6k23>
?Debug : Feb 16 02:24:59 AuthServer: Auth reply: RPacket:
======================
Придется наверное откатывать туда, где работало.... Конфиги все перелопатил, перепробовал все...
Пока тестирую c услугой Dialup, вроде работает, наверное потому что тут динамическое распределение адресов и если один адрес "залипнет", будет выдан другой.
radius_ippool_timeout=60
interim_update_interval=120
radius_default_session_timeout=86400
На Mikrotik тоже настрой interim update 120s.
Если отключались коррктно, то привязки ИП освобождаються сразу.
Ессли нет, то ИП освободиться по таймауту. Он кажеться в 4 раза больше чем radius_ippool_timeout. Подожди немного - минут 5 и они нормально залогиняться.
interim_update_interval=120
radius_default_session_timeout=86400
На Mikrotik тоже настрой interim update 120s.
Если отключались коррктно, то привязки ИП освобождаються сразу.
Ессли нет, то ИП освободиться по таймауту. Он кажеться в 4 раза больше чем radius_ippool_timeout. Подожди немного - минут 5 и они нормально залогиняться.