UTM5+Mikrotik+авторизация по ip
UTM5+Mikrotik+авторизация по ip
Всем Здравствуйте! есть проблема. не получается настроить авторизацию по ip. PPPoE настроил, все работает пользователи авторизуются, трафик считается. а вот про авторизацию по ip нигде не нашел мануал как это организовать. Если кто уже настраивал так, поделитесь опытом пожалуйста!
А в чем проблема-то?
Клиенту выдается ip адрес любым доступным Вам образом (дхцп/статик), шлюзом соответственно является микротик. На микротике опционально создается акесс лист, куда утм вносит данный ип при включении клиенту инета и удаляет при выключении. В файрволле на мт создается правило- непускать никуда клиента без адреса в acl. Данные по трафику льются с микротика в утм так же по нетфлоу.
Клиенту выдается ip адрес любым доступным Вам образом (дхцп/статик), шлюзом соответственно является микротик. На микротике опционально создается акесс лист, куда утм вносит данный ип при включении клиенту инета и удаляет при выключении. В файрволле на мт создается правило- непускать никуда клиента без адреса в acl. Данные по трафику льются с микротика в утм так же по нетфлоу.
Настроил все как вы описали
интернет на клиентской машине не появляется. и в queue simple не появляются правила со скоростями. подскажите пожалуйста, что не так?Point писал(а):А в чем проблема-то?
Клиенту выдается ip адрес любым доступным Вам образом (дхцп/статик), шлюзом соответственно является микротик. На микротике опционально создается акесс лист, куда утм вносит данный ип при включении клиенту инета и удаляет при выключении. В файрволле на мт создается правило- непускать никуда клиента без адреса в acl. Данные по трафику льются с микротика в утм так же по нетфлоу.
А в честь чего правила там появятся? Они появляются в том случае, если клиент авторизуется на nas сервере через радиус и радиус выдает nas-у необходимые атрибуты.Sefa писал(а):Настроил все как вы описалиинтернет на клиентской машине не появляется. и в queue simple не появляются правила со скоростями. подскажите пожалуйста, что не так?Point писал(а):А в чем проблема-то?
Клиенту выдается ip адрес любым доступным Вам образом (дхцп/статик), шлюзом соответственно является микротик. На микротике опционально создается акесс лист, куда утм вносит данный ип при включении клиенту инета и удаляет при выключении. В файрволле на мт создается правило- непускать никуда клиента без адреса в acl. Данные по трафику льются с микротика в утм так же по нетфлоу.
В вашем случае необходимо либо статически прописывать эти правила, либо поднимать отдельный шейпер.
это я уже понял. нашел еще вот что. в микротике в параметрах дхцп сервера есть чекбокс USE Radius. выставляю его, но автоизация не происходит? ip не выдается. в логе тика вот чтоPoint писал(а):А в честь чего правила там появятся? Они появляются в том случае, если клиент авторизуется на nas сервере через радиус и радиус выдает nas-у необходимые атрибуты.Sefa писал(а):Настроил все как вы описалиинтернет на клиентской машине не появляется. и в queue simple не появляются правила со скоростями. подскажите пожалуйста, что не так?Point писал(а):А в чем проблема-то?
Клиенту выдается ip адрес любым доступным Вам образом (дхцп/статик), шлюзом соответственно является микротик. На микротике опционально создается акесс лист, куда утм вносит данный ип при включении клиенту инета и удаляет при выключении. В файрволле на мт создается правило- непускать никуда клиента без адреса в acl. Данные по трафику льются с микротика в утм так же по нетфлоу.
В вашем случае необходимо либо статически прописывать эти правила, либо поднимать отдельный шейпер.
http://imglink.ru/show-image.php?id=53b ... 9825e001f6
в логе радиуса вот что
http://imglink.ru/show-image.php?id=993 ... 09f71e74c5
в сервисной связке у пользователя прописан MAC. как это победить?
Дык я вижу что там написано. вы думаете я не пробовал так? поставлял mac в логин в разных вариантах (XX:XX:XX и XX-XX-XX) никак не помогает. В логах тоже самоеPoint писал(а):Дык в логах радиуса явно видно, что пытается залогиниться юзер с логином=мак адрес.
Прописывайте в услуге "передача трафика" юзеру логин=mac и будет Вам щастье.
Вот ответ тех. поддержки netup
От: NetUP Support team <helpdesk@netup.ru>
Для: <admin@telecom-f.ru>
Тема: [Ticket#: 2012031110000058] UTM5 + Mikrotik + Авторизация DHCP через Radi [...]
Прикрепленный файл:
Добрый день, admin@telecom-f.ru!
<admin@telecom-f.ru> записано:
> Здравствуйте! есть необходимость в связке микротик + utm, с авторизацией по
> PPPoE, PPTP, IPoE. Авторизацию по PPPoE и PPTP я победил. все авторизуется
> правила в микротик с утм пишутся, интернет работает. а вот с авторизацией по
> ip никак не разберусь. я так понимаю чтобы по ip авторизовать через радиус, на
> микротике это можно реализовать только чрез dhcp? так вот настроил dhcp сервер
> на тике, выставил в его настройках чекбокс "USE Radius". в настройках клиента
> на утм в сервисной связке прописал ip и mac. но при попытке получить ip,
> происходит ошибка авторизации. это видно по логам микротика и радиуса утм.
> файлы скринов во вложении. подскажите как быть? и возможно ли это? если да то
> в чем может быть проблема?
>
Проблема заключается в символе ":", который является разделителем для
callback
номера. Вам необходимо настроить сервер доступа таким образом, чтобы в
поле логин
не содержался символ ":".
С уважением, группа технической поддержки Компании НетАП.
http://www.netup.ru
Тел.: +7 (495) 510-1025 доб.1
Факс.: +7 (499) 783-0080
IP: 77.72.80.1
Moscow, GMT+4
-- Руслан Капра --
кто нибудь знает как в тике реализовать передачу mac-адреса без ":"?
От: NetUP Support team <helpdesk@netup.ru>
Для: <admin@telecom-f.ru>
Тема: [Ticket#: 2012031110000058] UTM5 + Mikrotik + Авторизация DHCP через Radi [...]
Прикрепленный файл:
Добрый день, admin@telecom-f.ru!
<admin@telecom-f.ru> записано:
> Здравствуйте! есть необходимость в связке микротик + utm, с авторизацией по
> PPPoE, PPTP, IPoE. Авторизацию по PPPoE и PPTP я победил. все авторизуется
> правила в микротик с утм пишутся, интернет работает. а вот с авторизацией по
> ip никак не разберусь. я так понимаю чтобы по ip авторизовать через радиус, на
> микротике это можно реализовать только чрез dhcp? так вот настроил dhcp сервер
> на тике, выставил в его настройках чекбокс "USE Radius". в настройках клиента
> на утм в сервисной связке прописал ip и mac. но при попытке получить ip,
> происходит ошибка авторизации. это видно по логам микротика и радиуса утм.
> файлы скринов во вложении. подскажите как быть? и возможно ли это? если да то
> в чем может быть проблема?
>
Проблема заключается в символе ":", который является разделителем для
callback
номера. Вам необходимо настроить сервер доступа таким образом, чтобы в
поле логин
не содержался символ ":".
С уважением, группа технической поддержки Компании НетАП.
http://www.netup.ru
Тел.: +7 (495) 510-1025 доб.1
Факс.: +7 (499) 783-0080
IP: 77.72.80.1
Moscow, GMT+4
-- Руслан Капра --
кто нибудь знает как в тике реализовать передачу mac-адреса без ":"?
разобрался сам. утм отбрасыват первые 2 символа из mac-адреса. т.е. в поле логина в сервисной связке нужно ввести mac-адрес вида XX:XX:XX:XX:XX но без первых двух символов. авторизация при этом происходит и интернет появляется. но есть другая проблема - правила firewall не передаются на тик и трафик не считается( веду переписку с тех. поддержкой