У кого нибудь работает связка UTM+VPN server mikrotik+radius

[Mr.Black]

Стоит сервек под управлением MICROTIK RouterOS. Клиенты к ниму конектсятся по ВПН. Нужно их авторизовывать по радиусу в УТМ. Кто нибудь делал?

[taf]

Ну у нас такое дело используется. Настраивается все легко и просто по документации самого микротика.

[Mr.Black]

скить плиз конфиг или скриншот с винбокса основных настроек на limonco @ mail.ru

[taf]

А какие там могут быть заморочки?
...
/ ppp aaa
set use-radius=yes accounting=yes interim-update=0s
...

/ radius
add service=ppp called-id="" domain="" address=IP_RADIUS secret="SUPER_SECRET" \
authentication-port=1812 accounting-port=1813 timeout=300ms \
accounting-backup=no realm="" comment="" disabled=no
/ radius incoming
set accept=no port=1700

Вот и все, что относится к радиусу.

[Mr.Black]

radius debug time out 53:00

это пишется в логах миктотика.
и не конектится.

Ya pitaus avtorizovatsya na pptpd cherez radius. Eto ne proishodit. Vo vlogenii screens logov. V to ge vremya na drugih linux serverah vse rabotaet.

Vot tcpdump na Mikrotik na radius servere:

[root@free rc.d]# tcpdump -i eth1 host 192.168.1.85
tcpdump: listening on eth1
18:44:20.336808 192.168.1.85.1024 > 192.168.1.1.radius: rad-access-req 130 [id 8] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{13} NAS_port_type{Virtual} User{lvm} [|radius] (DF)
18:44:20.641072 192.168.1.85.1024 > 192.168.1.1.radius: rad-access-req 130 [id 8] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{13} NAS_port_type{Virtual} User{lvm} [|radius] (DF)
18:44:20.951089 192.168.1.85.1024 > 192.168.1.1.radius: rad-access-req 130 [id 8] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{13} NAS_port_type{Virtual} User{lvm} [|radius] (DF)

3 packets received by filter
0 packets dropped by kernel

A vot tcpdump na linux server na tom ge radius servere:

[root@free rc.d]# tcpdump -i eth2 host 10.10.5.2
tcpdump: listening on eth2
19:18:06.117700 10.10.5.2.1099 > 10.10.5.1.radius: rad-access-req 86 [id 251] Attr[ Service_type{Framed} Framed_proto{PPP} User{lvm} [|radius] (DF)
19:18:06.119649 10.10.5.1.radius > 10.10.5.2.1099: rad-access-reject 43 [id 251] Attr[ Reply{Authorization failed.} ] (DF)

2 packets received by filter
0 packets dropped by kernelf

Vot logi radius servera pri avtorizacii na mikritike

ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory ?Debug : Nov 29 19:24:57 RADIUS Auth: Packet from <MikroTik> ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory ?Debug : Nov 29 19:24:57 RADIUS Auth: Packet from <MikroTik> ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory

Vot logi radius servera pri avtorizacii na linux server

?Debug : Nov 29 19:26:26 RADIUS Auth: Packet from <127.0.0.1> ?Debug : Nov 29 19:26:26 RADIUS Auth: User <lvm> connecting ?Debug : Nov 29 19:26:26 RADIUS DBA: NAS found. Data size <0> ?Debug : Nov 29 19:26:26 RADIUS Auth: Auth scheme: CHAP ?Debug : Nov 29 19:26:26 RADIUS Auth: CHAP: Challenge size: 17 ?Debug : Nov 29 19:26:26 RADIUS Auth: CHAP: Rejected user <lvm>
Notice: Nov 29 19:26:26 RADIUS Auth: Authorization failed for user <lvm>
Notice: Nov 29 19:26:26 RADIUS Auth: Authorization failed for user <lvm>

Vot drugie logi radiusa pri avtorizacii cherez mikrotik

Size: 130; HDR.Size: 130
RPacket:
Code: 1; ID: 21
<Vendor: 0; Attr: 1>[3]: 6c766d
<Vendor: 0; Attr: 3>[17]: 01f9f82963829be1d78ec6f3806977e375
<Vendor: 0; Attr: 4>[4]: c0a80155
<Vendor: 0; Attr: 5>[4]: 0000001a
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 30>[12]: 3139322e3136382e312e3835
<Vendor: 0; Attr: 31>[12]: 3139322e3136382e312e3130
<Vendor: 0; Attr: 32>[8]: 4d696b726f54696b
<Vendor: 0; Attr: 60>[16]: 356bfb8f927776c24d6a1922b22ee3ba
<Vendor: 0; Attr: 61>[4]: 00000005

Size: 130; HDR.Size: 130
RPacket:
Code: 1; ID: 21
<Vendor: 0; Attr: 1>[3]: 6c766d
<Vendor: 0; Attr: 3>[17]: 01f9f82963829be1d78ec6f3806977e375
<Vendor: 0; Attr: 4>[4]: c0a80155
<Vendor: 0; Attr: 5>[4]: 0000001a
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 30>[12]: 3139322e3136382e312e3835
<Vendor: 0; Attr: 31>[12]: 3139322e3136382e312e3130
<Vendor: 0; Attr: 32>[8]: 4d696b726f54696b
<Vendor: 0; Attr: 60>[16]: 356bfb8f927776c24d6a1922b22ee3ba
<Vendor: 0; Attr: 61>[4]: 00000005

Size: 130; HDR.Size: 130
RPacket:
Code: 1; ID: 21
<Vendor: 0; Attr: 1>[3]: 6c766d
<Vendor: 0; Attr: 3>[17]: 01f9f82963829be1d78ec6f3806977e375
<Vendor: 0; Attr: 4>[4]: c0a80155
<Vendor: 0; Attr: 5>[4]: 0000001a
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 30>[12]: 3139322e3136382e312e3835
<Vendor: 0; Attr: 31>[12]: 3139322e3136382e312e3130
<Vendor: 0; Attr: 32>[8]: 4d696b726f54696b
<Vendor: 0; Attr: 60>[16]: 356bfb8f927776c24d6a1922b22ee3ba
<Vendor: 0; Attr: 61>[4]: 00000005

Vot drugie logi radiusa pri avtorizacii cherez linux server

Size: 92; HDR.Size: 92
RPacket:
Code: 1; ID: 3
<Vendor: 0; Attr: 1>[3]: 6c766d
<Vendor: 0; Attr: 3>[17]: 01f0e15f0f9c5191e085053ed32e151e9d
<Vendor: 0; Attr: 4>[4]: 7f000001
<Vendor: 0; Attr: 5>[4]: 00000004
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 60>[22]: 73fc771bb9a5689e279699e10482b3a4faf552f01fa4

Reply:
RPacket:
Code: 3; ID: 3
<Vendor: 0; Attr: 18>[21]: 417574686f72697a6174696f6e206661696c65642e
Size send: 43
Next...

[aospan]

Это вопрос из ФАК - http://old.netup.ru/fom-serve/cache/13.html
У вас просто не заведен НАС MikroTik судя по строке Auth: Packet from <MikroTik> ERROR : Nov 29 19:24:57 RADIUS Auth: 2: No such file or directory из логов радиуса.

[Mr.Black]

и правда. я прописывал айпишник. оказывается нужно было слово микротик прописать. но теперь другая ошибка.

?Debug : Dec 02 22:42:21 RADIUS Auth: Packet from <MikroTik>
?Debug : Dec 02 22:42:21 RADIUS Auth: User <lvm> connecting
?Debug : Dec 02 22:42:21 RADIUS DBA: NAS found. Data size <0>
?Debug : Dec 02 22:42:21 RADIUS Auth: Auth scheme: CHAP
?Debug : Dec 02 22:42:21 RADIUS Auth: CHAP: Challenge size: 16
?Debug : Dec 02 22:42:21 RADIUS Auth: CHAP: Authorized user <lvm>
?Debug : Dec 02 22:42:21 RADIUS Auth: IP claimed: 0xd55090aa
?Debug : Dec 02 22:42:21 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
?Debug : Dec 02 22:42:21 RADIUS Auth: Packet from <MikroTik>
?Debug : Dec 02 22:42:21 RADIUS Auth: User <lvm> connecting
?Debug : Dec 02 22:42:21 RADIUS DBA: NAS found. Data size <0>
?Debug : Dec 02 22:42:21 RADIUS Auth: Auth scheme: CHAP
?Debug : Dec 02 22:42:21 RADIUS Auth: CHAP: Challenge size: 16
?Debug : Dec 02 22:42:21 RADIUS Auth: CHAP: Authorized user <lvm>
Warn : Dec 02 22:42:21 RADIUS Auth: Unable to claim IP: No such file or directory
Warn : Dec 02 22:42:21 RADIUS Auth: Unable to claim IP: No such file or directory
?Debug : Dec 02 22:42:21 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Dec 02 22:42:21 RADIUS Auth: Authorization failed for user <lvm>
Notice: Dec 02 22:42:21 RADIUS Auth: Authorization failed for user <lvm>

[spec]

Все логично
Идут два коннекта подряд одного и того же юзера.

В первый раз ему выдался IP, а второй раз - нет, так как этот IP уже занят.
Разбирайтесь, почему идет два коннекта.

[Mr.Black]

ну не знаю. с чего микротик шлет несколько раз. Что бы это могло быть?


?Debug : Dec 03 10:09:02 RADIUS Auth: Packet from <MikroTik>
?Debug : Dec 03 10:09:02 RADIUS Auth: User <lvm> connecting
?Debug : Dec 03 10:09:02 RADIUS DBA: NAS found. Data size <0>
?Debug : Dec 03 10:09:02 RADIUS Auth: Auth scheme: CHAP
?Debug : Dec 03 10:09:02 RADIUS Auth: CHAP: Challenge size: 16
?Debug : Dec 03 10:09:02 RADIUS Auth: CHAP: Authorized user <lvm>
?Debug : Dec 03 10:09:02 RADIUS Auth: IP claimed: 0xd55090aa
?Debug : Dec 03 10:09:02 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
?Debug : Dec 03 10:09:02 RADIUS Auth: Packet from <MikroTik>
?Debug : Dec 03 10:09:02 RADIUS Auth: User <lvm> connecting
?Debug : Dec 03 10:09:02 RADIUS DBA: NAS found. Data size <0>
?Debug : Dec 03 10:09:02 RADIUS Auth: Auth scheme: CHAP
?Debug : Dec 03 10:09:02 RADIUS Auth: CHAP: Challenge size: 16
?Debug : Dec 03 10:09:02 RADIUS Auth: CHAP: Authorized user <lvm>
Warn : Dec 03 10:09:02 RADIUS Auth: Unable to claim IP: No such file or directory
Warn : Dec 03 10:09:02 RADIUS Auth: Unable to claim IP: No such file or directory
?Debug : Dec 03 10:09:02 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Dec 03 10:09:02 RADIUS Auth: Authorization failed for user <lvm>
Notice: Dec 03 10:09:02 RADIUS Auth: Authorization failed for user <lvm>
?Debug : Dec 03 10:09:02 RADIUS Auth: Packet from <MikroTik>
?Debug : Dec 03 10:09:02 RADIUS Auth: User <lvm> connecting
?Debug : Dec 03 10:09:02 RADIUS DBA: NAS found. Data size <0>
?Debug : Dec 03 10:09:02 RADIUS Auth: Auth scheme: CHAP
?Debug : Dec 03 10:09:02 RADIUS Auth: CHAP: Challenge size: 16
?Debug : Dec 03 10:09:02 RADIUS Auth: CHAP: Authorized user <lvm>
Warn : Dec 03 10:09:02 RADIUS Auth: Unable to claim IP: No such file or directory
Warn : Dec 03 10:09:02 RADIUS Auth: Unable to claim IP: No such file or directory
?Debug : Dec 03 10:09:02 RADIUS Auth: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Dec 03 10:09:02 RADIUS Auth: Authorization failed for user <lvm>
Notice: Dec 03 10:09:02 RADIUS Auth: Authorization failed for user <lvm>

[aospan]

Посмотрите по tcpdump на порту 1812 какие ходят пакеты ?

[Mr.Black]

11:20:09.447424 10.5.5.5.1025 > 213.80.144.41.radius: rad-access-req 126 [id 9] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{46} NAS_port_type{Virtual} User{lvm} [|radius] (DF)
11:20:09.449501 10.10.2.1.radius > 10.5.5.5.1025: rad-access-accept 62 [id 9] Attr[ Service_type{Framed} Framed_proto{PPP} Framed_ipaddr{213.80.144.170} Framed_ipnet{255.255.255.255} Framed_routing{None} [|radius] (DF)
11:20:09.804704 10.5.5.5.1025 > 213.80.144.41.radius: rad-access-req 126 [id 9] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{46} NAS_port_type{Virtual} User{lvm} [|radius] (DF)
11:20:09.806293 10.10.2.1.radius > 10.5.5.5.1025: rad-access-reject 43 [id 9] Attr[ Reply{Authorization failed.} ] (DF)
11:20:10.062177 10.5.5.5.1025 > 213.80.144.41.radius: rad-access-req 126 [id 9] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{46} NAS_port_type{Virtual} User{lvm} [|radius] (DF)
11:20:10.063716 10.10.2.1.radius > 10.5.5.5.1025: rad-access-reject 43 [id 9] Attr[ Reply{Authorization failed.} ] (DF)

[aospan]

Судя по логу:
11:20:09.447424 10.5.5.5.1025 > 213.80.144.41.radius: rad-access-req 126 [id 9] Attr[ Service_type{Framed} Framed_proto{PPP} NAS_port{46} NAS_port_type{Virtual} User{lvm} [|radius] (DF)
11:20:09.449501 10.10.2.1.radius > 10.5.5.5.1025: rad-access-accept 62 [id 9] Attr[ Service_type{Framed} Framed_proto{PPP} Framed_ipaddr{213.80.144.170} Framed_ipnet{255.255.255.255} Framed_routing{None} [|radius] (DF)

запрос приходит на адрес 213.80.144.41, а ответ уходит с адреса 10.10.2.1. Из-за этого НАС не принимает такой Access-Accept gакет и шлет заново запрос. Поменяйте настройки на НАСе либо роутинг на машине с биллингом таким образом, что бы ответ от радиуса шел с того же IP-адреса, на который был первоначально запрос от НАСа.

[Mr.Black]

огромное спасибо. все заработало.

[CronAcronis]

А как rfw с RouterOS работает?

[taf]

А как rfw с RouterOS работает?

В разделе форума "Документация" было описание настройки связки UTM+MT