Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/4: Рейтинг темы: голосов - 4, средняя оценка - 5.00
Dmitry
Эксперт по компьютерным сетямЭксперт NIX
10960 / 6240 / 501
Регистрация: 09.09.2009
Сообщений: 24,806
1

Проблемы с получением ответа RADIUS из локальной сети

15.04.2019, 19:27. Просмотров 822. Ответов 4
Метки нет (Все метки)

Мучаю микротиковский хотспот
сам тестовый микротик подключен как dhcp-клиент в другой микротик (установленный дома "стационарно")
есть два сервера, настроенных абсолютно одинаково, с абсолютно одинаковым ПО.
отличие серверов:
  • один установлен на VPS "далеко-далеко" (белый IP-адрес, виден со всего интернета).
  • второй сервер установлен дома, подключен как dhcp-клиентк все тому же "домашнему стационарному" микротику, т.е., и тестируемый микротик и сервер имеют адреса из одной подсети - 192.168.88.х)
по факту, затык в использовании авторизации через сервер FreeRADIUS. затык проявляется так:

при использовании сервера в интернете клиент хотспота может авторизоваться по учетке, хранящейся в базе радиуса. при перенастройке хотспота на локальный сервер хотспот не может авторизовать клиента, пишет, что "сервер радиус не отвечает".

доп уточнения:
  • тестовая учетка ОДНОЗНАЧНО есть в базах обоих серверов.
  • запись о хотспоте как "клиенте" радиуса принимается обоими серверами (в логах фрирадиусов обоих серверов запросы от тестируемого микротика ПРИНИМАЮТСЯ и ОБРАБАТЫВАЮТСЯ). ОБА ФРИРАДИУСА (согласно своих логов) ОДНОЗНАЧНО ОТВЕЧАЮТ на запрос положительно - Accept-Accept !!!! Но, ответы от сервера в интернете микротик "принимает" и по ним авторизует клиента, а ответы от локального сервера (соседа) он "в упор не видит" (что-ли), пишет, что "сервер радиус не отвечает"

может нужны какие-то костыли для "сервера-соседа" (в одной лан-сети)???

зы:
экспорт настроек
Код
# apr/15/2019 17:11:05 by RouterOS 6.43.14
# software id = 
#
# model = 750
# serial number = 
/interface bridge
add admin-mac=D4:CA:ХХХХ:2D:D6 auto-mac=no comment=defconf name=bridge
add name=bridge2
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] login-by=http-chap use-radius=yes
/ip pool
add name=dhcp ranges=192.168.100.10-192.168.100.254
add name=secondary-pool ranges=192.168.123.2-192.168.123.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=secondary-pool disabled=no interface=bridge2 name=\
    secondary-dhcp-server
/ip hotspot
add address-pool=dhcp disabled=no interface=bridge name=hotspot1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge2 comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.100.1/24 comment=defconf interface=ether2 network=\
    192.168.100.0
add address=192.168.123.1/24 interface=bridge2 network=192.168.123.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf gateway=192.168.100.1 netmask=24
add address=192.168.123.0/24 gateway=192.168.123.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.100.1 name=router.lan
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    src-address=192.168.100.0/24
/ip hotspot user
add name=admin password=admin123
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=192.168.88.5 !dst-address-list \
    !dst-port !protocol !src-address !src-address-list
add action=accept disabled=no dst-address=91.204.72.65 !dst-address-list \
    !dst-port !protocol !src-address !src-address-list
/radius
add address=192.168.88.5 disabled=yes secret=testing123 service=hotspot \
    timeout=3s
add address=91.204.72.65 secret=14361535 service=hotspot timeout=3s
/system clock
set time-zone-name=Europe/Zaporozhye
/system package update
set channel=long-term
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Добавлено через 1 час 54 минуты
добавка" - лог процедуры авторизации сервера freeradius:
Кликните здесь для просмотра всего текста
Код
(0) Received Access-Request Id 2 from 192.168.88.1:53203 to 192.168.88.5:1812 length 193
(0)   NAS-Port-Type = Wireless-802.11
(0)   Calling-Station-Id = "54:EF:92:6B:01:FF"
(0)   Called-Station-Id = "server1"
(0)   NAS-Port-Id = "ether5"
(0)   User-Name = "test"
(0)   NAS-Port = 2150629381
(0)   Acct-Session-Id = "80300005"
(0)   Framed-IP-Address = 192.168.182.248
(0)   Mikrotik-Host-IP = 192.168.182.248
(0)   CHAP-Challenge = 0x43ae8c683d0a597bdcffc933be229ff8
(0)   CHAP-Password = 0x9ac30c6f79c5a9643050599302c1eeb40c
(0)   Service-Type = Login-User
(0)   WISPr-Logoff-URL = "http://0.0.0.0/logout"
(0)   NAS-Identifier = "dmitry_test"
(0)   NAS-IP-Address = 192.168.88.1
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
(0)       if (&User-Name)  -> TRUE
(0)       if (&User-Name)  {
(0)         if (&User-Name =~ / /) {
(0)         if (&User-Name =~ / /)  -> FALSE
(0)         if (&User-Name =~ /@[^@]*@/ ) {
(0)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(0)         if (&User-Name =~ /\.\./ ) {
(0)         if (&User-Name =~ /\.\./ )  -> FALSE
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(0)         if (&User-Name =~ /\.$/)  {
(0)         if (&User-Name =~ /\.$/)   -> FALSE
(0)         if (&User-Name =~ /@\./)  {
(0)         if (&User-Name =~ /@\./)   -> FALSE
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [preprocess] = ok
(0)     policy rewrite_calling_station_id {
(0)       if (&Calling-Station-Id && (&Calling-Station-Id =~ /^([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})$/i)) {
(0)       if (&Calling-Station-Id && (&Calling-Station-Id =~ /^([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})$/i))  -> TRUE
(0)       if (&Calling-Station-Id && (&Calling-Station-Id =~ /^([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})$/i))  {
(0)         update request {
(0)           EXPAND %{tolower:%{1}-%{2}-%{3}-%{4}-%{5}-%{6}}
(0)              --> 54-ef-92-6b-01-ff
(0)           &Calling-Station-Id := 54-ef-92-6b-01-ff
(0)         } # update request = noop
(0)         [updated] = updated
(0)       } # if (&Calling-Station-Id && (&Calling-Station-Id =~ /^([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})[^0-9a-f]?([0-9a-f]{2})$/i))  = updated
(0)       ... skipping else: Preceding "if" was taken
(0)     } # policy rewrite_calling_station_id = updated
(0) auth_log: EXPAND /var/log/freeradius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d
(0) auth_log:    --> /var/log/freeradius/radacct/192.168.88.1/auth-detail-20190415
(0) auth_log: /var/log/freeradius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/auth-detail-%Y%m%d expands to /var/log/freeradius/radacct/192.168.88.1/auth-detail-20190415
(0) auth_log: EXPAND %t
(0) auth_log:    --> Mon Apr 15 19:21:36 2019
(0)     [auth_log] = ok
(0) chap:   &control:Auth-Type := CHAP
(0)     [chap] = ok
(0)     [mschap] = noop
(0)     [digest] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "test", looking up realm NULL
(0) suffix: No such realm "NULL"
(0)     [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0)     [eap] = noop
(0) sql: EXPAND %{User-Name}
(0) sql:    --> test
(0) sql: SQL-User-Name set to 'test'
rlm_sql (sql): Reserved connection (1)
(0) sql: EXPAND SELECT id, username, attribute, value, op FROM radcheck WHERE username = BINARY'%{SQL-User-Name}' ORDER BY id
(0) sql:    --> SELECT id, username, attribute, value, op FROM radcheck WHERE username = BINARY'test' ORDER BY id
(0) sql: Executing select query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = BINARY'test' ORDER BY id
(0) sql: User found in radcheck table
(0) sql: Conditional check items matched, merging assignment check items
(0) sql:   Cleartext-Password := "test"
(0) sql:   Simultaneous-Use := 3
(0) sql: EXPAND SELECT id, username, attribute, value, op FROM radreply WHERE username = BINARY'%{SQL-User-Name}' ORDER BY id
(0) sql:    --> SELECT id, username, attribute, value, op FROM radreply WHERE username = BINARY'test' ORDER BY id
(0) sql: Executing select query: SELECT id, username, attribute, value, op FROM radreply WHERE username = BINARY'test' ORDER BY id
(0) sql: User found in radreply table, merging reply items
(0) sql:   Acct-Interim-Interval := 120
(0) sql:   Idle-Timeout := 3600
(0) sql:   WISPr-Bandwidth-Max-Down := 0
(0) sql:   WISPr-Bandwidth-Max-Up := 0
(0) sql: EXPAND SELECT groupname FROM usergroup WHERE username = BINARY'%{SQL-User-Name}' ORDER BY priority
(0) sql:    --> SELECT groupname FROM usergroup WHERE username = BINARY'test' ORDER BY priority
(0) sql: Executing select query: SELECT groupname FROM usergroup WHERE username = BINARY'test' ORDER BY priority
(0) sql: User not found in any groups
rlm_sql (sql): Released connection (1)
rlm_sql (sql): Need 4 more connections to reach 10 spares
rlm_sql (sql): Opening additional connection (6), 1 of 26 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'easyhotspot' on Localhost via UNIX socket, server version 5.7.25, protocol version 10
(0)     [sql] = ok
(0) perl:   $RAD_REQUEST{'User-Name'} = &request:User-Name -> 'test'
(0) perl:   $RAD_REQUEST{'CHAP-Password'} = &request:CHAP-Password -> '0x9ac30c6f79c5a9643050599302c1eeb40c'
(0) perl:   $RAD_REQUEST{'NAS-IP-Address'} = &request:NAS-IP-Address -> '192.168.88.1'
(0) perl:   $RAD_REQUEST{'NAS-Port'} = &request:NAS-Port -> '2150629381'
(0) perl:   $RAD_REQUEST{'Service-Type'} = &request:Service-Type -> 'Login-User'
(0) perl:   $RAD_REQUEST{'Framed-IP-Address'} = &request:Framed-IP-Address -> '192.168.182.248'
(0) perl:   $RAD_REQUEST{'Called-Station-Id'} = &request:Called-Station-Id -> 'server1'
(0) perl:   $RAD_REQUEST{'Calling-Station-Id'} = &request:Calling-Station-Id -> '54-ef-92-6b-01-ff'
(0) perl:   $RAD_REQUEST{'NAS-Identifier'} = &request:NAS-Identifier -> 'dmitry_test'
(0) perl:   $RAD_REQUEST{'CHAP-Challenge'} = &request:CHAP-Challenge -> '0x43ae8c683d0a597bdcffc933be229ff8'
(0) perl:   $RAD_REQUEST{'NAS-Port-Type'} = &request:NAS-Port-Type -> 'Wireless-802.11'
(0) perl:   $RAD_REQUEST{'Acct-Session-Id'} = &request:Acct-Session-Id -> '80300005'
(0) perl:   $RAD_REQUEST{'Event-Timestamp'} = &request:Event-Timestamp -> 'Apr 15 2019 19:21:36 EEST'
(0) perl:   $RAD_REQUEST{'NAS-Port-Id'} = &request:NAS-Port-Id -> 'ether5'
(0) perl:   $RAD_REQUEST{'Mikrotik-Host-IP'} = &request:Mikrotik-Host-IP -> '192.168.182.248'
(0) perl:   $RAD_REQUEST{'WISPr-Logoff-URL'} = &request:WISPr-Logoff-URL -> 'http://0.0.0.0/logout'
(0) perl:   $RAD_REPLY{'Idle-Timeout'} = &reply:Idle-Timeout -> '3600'
(0) perl:   $RAD_REPLY{'Acct-Interim-Interval'} = &reply:Acct-Interim-Interval -> '120'
(0) perl:   $RAD_REPLY{'WISPr-Bandwidth-Max-Up'} = &reply:WISPr-Bandwidth-Max-Up -> '0'
(0) perl:   $RAD_REPLY{'WISPr-Bandwidth-Max-Down'} = &reply:WISPr-Bandwidth-Max-Down -> '0'
(0) perl:   $RAD_CHECK{'Auth-Type'} = &control:Auth-Type -> 'CHAP'
(0) perl:   $RAD_CHECK{'Simultaneous-Use'} = &control:Simultaneous-Use -> '3'
(0) perl:   $RAD_CHECK{'Cleartext-Password'} = &control:Cleartext-Password -> 'test'
(0) perl:   $RAD_CONFIG{'Auth-Type'} = &control:Auth-Type -> 'CHAP'
(0) perl:   $RAD_CONFIG{'Simultaneous-Use'} = &control:Simultaneous-Use -> '3'
(0) perl:   $RAD_CONFIG{'Cleartext-Password'} = &control:Cleartext-Password -> 'test'
SOFT ASSERT FAILED src/modules/rlm_perl/rlm_perl.c[703]: *vps
(0) perl: &request:CHAP-Challenge = $RAD_REQUEST{'CHAP-Challenge'} -> '0x43ae8c683d0a597bdcffc933be229ff8'
(0) perl: &request:Framed-IP-Address = $RAD_REQUEST{'Framed-IP-Address'} -> '192.168.182.248'
(0) perl: &request:Service-Type = $RAD_REQUEST{'Service-Type'} -> 'Login-User'
(0) perl: &request:Mikrotik-Host-IP = $RAD_REQUEST{'Mikrotik-Host-IP'} -> '192.168.182.248'
(0) perl: &request:Calling-Station-Id = $RAD_REQUEST{'Calling-Station-Id'} -> '54-ef-92-6b-01-ff'
(0) perl: &request:NAS-Identifier = $RAD_REQUEST{'NAS-Identifier'} -> 'dmitry_test'
(0) perl: &request:User-Name = $RAD_REQUEST{'User-Name'} -> 'test'
(0) perl: &request:Event-Timestamp = $RAD_REQUEST{'Event-Timestamp'} -> 'Apr 15 2019 19:21:36 EEST'
(0) perl: &request:NAS-IP-Address = $RAD_REQUEST{'NAS-IP-Address'} -> '192.168.88.1'
(0) perl: &request:NAS-Port = $RAD_REQUEST{'NAS-Port'} -> '2150629381'
(0) perl: &request:NAS-Port-Id = $RAD_REQUEST{'NAS-Port-Id'} -> 'ether5'
(0) perl: &request:CHAP-Password = $RAD_REQUEST{'CHAP-Password'} -> '0x9ac30c6f79c5a9643050599302c1eeb40c'
(0) perl: &request:WISPr-Logoff-URL = $RAD_REQUEST{'WISPr-Logoff-URL'} -> 'http://0.0.0.0/logout'
(0) perl: &request:NAS-Port-Type = $RAD_REQUEST{'NAS-Port-Type'} -> 'Wireless-802.11'
(0) perl: &request:Acct-Session-Id = $RAD_REQUEST{'Acct-Session-Id'} -> '80300005'
(0) perl: &request:Called-Station-Id = $RAD_REQUEST{'Called-Station-Id'} -> 'server1'
SOFT ASSERT FAILED src/modules/rlm_perl/rlm_perl.c[703]: *vps
(0) perl: &reply:Acct-Interim-Interval = $RAD_REPLY{'Acct-Interim-Interval'} -> '120'
(0) perl: &reply:WISPr-Bandwidth-Max-Down = $RAD_REPLY{'WISPr-Bandwidth-Max-Down'} -> '0'
(0) perl: &reply:WISPr-Bandwidth-Max-Up = $RAD_REPLY{'WISPr-Bandwidth-Max-Up'} -> '0'
(0) perl: &reply:Idle-Timeout = $RAD_REPLY{'Idle-Timeout'} -> '3600'
SOFT ASSERT FAILED src/modules/rlm_perl/rlm_perl.c[703]: *vps
(0) perl: &control:Cleartext-Password = $RAD_CHECK{'Cleartext-Password'} -> 'test'
(0) perl: &control:Simultaneous-Use = $RAD_CHECK{'Simultaneous-Use'} -> '3'
(0) perl: &control:Auth-Type = $RAD_CHECK{'Auth-Type'} -> 'CHAP'
(0)     [perl] = ok
(0) expire_on_login: WARNING: Couldn't find check attribute, control:Expire-After, doing nothing...
(0)     [expire_on_login] = noop
(0) noresetcounter: WARNING: Couldn't find check attribute, control:Max-All-Session, doing nothing...
(0)     [noresetcounter] = noop
(0)     policy expiration_my {
(0)       if (control:Expiration) {
(0)       if (control:Expiration)  -> FALSE
(0)     } # policy expiration_my = updated
(0)     [expiration] = noop
(0)     [logintime] = noop
(0)     policy macaddress {
(0)       if ((control:Calling-Station-Id)&&(control:Calling-Station-Id!=&Calling-Station-Id)) {
(0)       if ((control:Calling-Station-Id)&&(control:Calling-Station-Id!=&Calling-Station-Id))  -> FALSE
(0)     } # policy macaddress = updated
(0)     policy nasidentifier {
(0)       if ((control:NAS-Identifier)&&(control:NAS-Identifier!=&NAS-Identifier)) {
(0)       if ((control:NAS-Identifier)&&(control:NAS-Identifier!=&NAS-Identifier))  -> FALSE
(0)     } # policy nasidentifier = updated
(0) pap: WARNING: Auth-Type already set.  Not setting to PAP
(0)     [pap] = noop
(0)   } # authorize = updated
(0) Found Auth-Type = CHAP
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0)   Auth-Type CHAP {
(0) chap: Comparing with "known good" Cleartext-Password
(0) chap: CHAP user "test" authenticated successfully
(0)     [chap] = ok
(0)   } # Auth-Type CHAP = ok
(0) # Executing section post-auth from file /etc/freeradius/3.0/sites-enabled/default
(0)   post-auth {
(0)     update {
(0)       No attributes updated
(0)     } # update = noop
(0) reply_log: EXPAND /var/log/freeradius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/reply-detail-%Y%m%d
(0) reply_log:    --> /var/log/freeradius/radacct/192.168.88.1/reply-detail-20190415
(0) reply_log: /var/log/freeradius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/reply-detail-%Y%m%d expands to /var/log/freeradius/radacct/192.168.88.1/reply-detail-20190415
(0) reply_log: EXPAND %t
(0) reply_log:    --> Mon Apr 15 19:21:36 2019
(0)     [reply_log] = ok
(0) sql: EXPAND .query
(0) sql:    --> .query
(0) sql: Using query template 'query'
rlm_sql (sql): Reserved connection (2)
(0) sql: EXPAND %{User-Name}
(0) sql:    --> test
(0) sql: SQL-User-Name set to 'test'
(0) sql: EXPAND INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( '%{SQL-User-Name}', '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S')
(0) sql:    --> INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( 'test', '0x9ac30c6f79c5a9643050599302c1eeb40c', 'Access-Accept', '2019-04-15 19:21:36')
(0) sql: Executing query: INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( 'test', '0x9ac30c6f79c5a9643050599302c1eeb40c', 'Access-Accept', '2019-04-15 19:21:36')
(0) sql: SQL query returned: success
(0) sql: 1 record(s) updated
rlm_sql (sql): Released connection (2)
(0)     [sql] = ok
(0)     [exec] = noop
(0) perl:   $RAD_REQUEST{'User-Name'} = &request:User-Name -> 'test'
(0) perl:   $RAD_REQUEST{'CHAP-Password'} = &request:CHAP-Password -> '0x9ac30c6f79c5a9643050599302c1eeb40c'
(0) perl:   $RAD_REQUEST{'NAS-IP-Address'} = &request:NAS-IP-Address -> '192.168.88.1'
(0) perl:   $RAD_REQUEST{'NAS-Port'} = &request:NAS-Port -> '2150629381'
(0) perl:   $RAD_REQUEST{'Service-Type'} = &request:Service-Type -> 'Login-User'
(0) perl:   $RAD_REQUEST{'Framed-IP-Address'} = &request:Framed-IP-Address -> '192.168.182.248'
(0) perl:   $RAD_REQUEST{'Called-Station-Id'} = &request:Called-Station-Id -> 'server1'
(0) perl:   $RAD_REQUEST{'Calling-Station-Id'} = &request:Calling-Station-Id -> '54-ef-92-6b-01-ff'
(0) perl:   $RAD_REQUEST{'NAS-Identifier'} = &request:NAS-Identifier -> 'dmitry_test'
(0) perl:   $RAD_REQUEST{'CHAP-Challenge'} = &request:CHAP-Challenge -> '0x43ae8c683d0a597bdcffc933be229ff8'
(0) perl:   $RAD_REQUEST{'NAS-Port-Type'} = &request:NAS-Port-Type -> 'Wireless-802.11'
(0) perl:   $RAD_REQUEST{'Acct-Session-Id'} = &request:Acct-Session-Id -> '80300005'
(0) perl:   $RAD_REQUEST{'Event-Timestamp'} = &request:Event-Timestamp -> 'Apr 15 2019 19:21:36 EEST'
(0) perl:   $RAD_REQUEST{'NAS-Port-Id'} = &request:NAS-Port-Id -> 'ether5'
(0) perl:   $RAD_REQUEST{'Mikrotik-Host-IP'} = &request:Mikrotik-Host-IP -> '192.168.182.248'
(0) perl:   $RAD_REQUEST{'WISPr-Logoff-URL'} = &request:WISPr-Logoff-URL -> 'http://0.0.0.0/logout'
(0) perl:   $RAD_REPLY{'Idle-Timeout'} = &reply:Idle-Timeout -> '3600'
(0) perl:   $RAD_REPLY{'Acct-Interim-Interval'} = &reply:Acct-Interim-Interval -> '120'
(0) perl:   $RAD_REPLY{'WISPr-Bandwidth-Max-Up'} = &reply:WISPr-Bandwidth-Max-Up -> '0'
(0) perl:   $RAD_REPLY{'WISPr-Bandwidth-Max-Down'} = &reply:WISPr-Bandwidth-Max-Down -> '0'
(0) perl:   $RAD_CHECK{'Auth-Type'} = &control:Auth-Type -> 'CHAP'
(0) perl:   $RAD_CHECK{'Simultaneous-Use'} = &control:Simultaneous-Use -> '3'
(0) perl:   $RAD_CHECK{'Cleartext-Password'} = &control:Cleartext-Password -> 'test'
(0) perl:   $RAD_CONFIG{'Auth-Type'} = &control:Auth-Type -> 'CHAP'
(0) perl:   $RAD_CONFIG{'Simultaneous-Use'} = &control:Simultaneous-Use -> '3'
(0) perl:   $RAD_CONFIG{'Cleartext-Password'} = &control:Cleartext-Password -> 'test'
SOFT ASSERT FAILED src/modules/rlm_perl/rlm_perl.c[703]: *vps
(0) perl: &request:CHAP-Challenge = $RAD_REQUEST{'CHAP-Challenge'} -> '0x43ae8c683d0a597bdcffc933be229ff8'
(0) perl: &request:Framed-IP-Address = $RAD_REQUEST{'Framed-IP-Address'} -> '192.168.182.248'
(0) perl: &request:Service-Type = $RAD_REQUEST{'Service-Type'} -> 'Login-User'
(0) perl: &request:Mikrotik-Host-IP = $RAD_REQUEST{'Mikrotik-Host-IP'} -> '192.168.182.248'
(0) perl: &request:Calling-Station-Id = $RAD_REQUEST{'Calling-Station-Id'} -> '54-ef-92-6b-01-ff'
(0) perl: &request:NAS-Identifier = $RAD_REQUEST{'NAS-Identifier'} -> 'dmitry_test'
(0) perl: &request:User-Name = $RAD_REQUEST{'User-Name'} -> 'test'
(0) perl: &request:Event-Timestamp = $RAD_REQUEST{'Event-Timestamp'} -> 'Apr 15 2019 19:21:36 EEST'
(0) perl: &request:NAS-IP-Address = $RAD_REQUEST{'NAS-IP-Address'} -> '192.168.88.1'
(0) perl: &request:NAS-Port = $RAD_REQUEST{'NAS-Port'} -> '2150629381'
(0) perl: &request:NAS-Port-Id = $RAD_REQUEST{'NAS-Port-Id'} -> 'ether5'
(0) perl: &request:CHAP-Password = $RAD_REQUEST{'CHAP-Password'} -> '0x9ac30c6f79c5a9643050599302c1eeb40c'
(0) perl: &request:WISPr-Logoff-URL = $RAD_REQUEST{'WISPr-Logoff-URL'} -> 'http://0.0.0.0/logout'
(0) perl: &request:NAS-Port-Type = $RAD_REQUEST{'NAS-Port-Type'} -> 'Wireless-802.11'
(0) perl: &request:Acct-Session-Id = $RAD_REQUEST{'Acct-Session-Id'} -> '80300005'
(0) perl: &request:Called-Station-Id = $RAD_REQUEST{'Called-Station-Id'} -> 'server1'
SOFT ASSERT FAILED src/modules/rlm_perl/rlm_perl.c[703]: *vps
(0) perl: &reply:Acct-Interim-Interval = $RAD_REPLY{'Acct-Interim-Interval'} -> '120'
(0) perl: &reply:WISPr-Bandwidth-Max-Down = $RAD_REPLY{'WISPr-Bandwidth-Max-Down'} -> '0'
(0) perl: &reply:WISPr-Bandwidth-Max-Up = $RAD_REPLY{'WISPr-Bandwidth-Max-Up'} -> '0'
(0) perl: &reply:Idle-Timeout = $RAD_REPLY{'Idle-Timeout'} -> '3600'
SOFT ASSERT FAILED src/modules/rlm_perl/rlm_perl.c[703]: *vps
(0) perl: &control:Cleartext-Password = $RAD_CHECK{'Cleartext-Password'} -> 'test'
(0) perl: &control:Simultaneous-Use = $RAD_CHECK{'Simultaneous-Use'} -> '3'
(0) perl: &control:Auth-Type = $RAD_CHECK{'Auth-Type'} -> 'CHAP'
(0)     [perl] = ok
(0)     policy remove_reply_message_if_eap {
(0)       if (&reply:EAP-Message && &reply:Reply-Message) {
(0)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(0)       else {
(0)         [noop] = noop
(0)       } # else = noop
(0)     } # policy remove_reply_message_if_eap = noop
(0)   } # post-auth = ok
(0) Login OK: [test] (from client test_hotspot port 2150629381 cli 54-ef-92-6b-01-ff)
(0) Sent Access-Accept Id 2 from 192.168.88.5:1812 to 192.168.88.1:53203 length 0
(0)   Acct-Interim-Interval = 120
(0)   WISPr-Bandwidth-Max-Down = 0
(0)   WISPr-Bandwidth-Max-Up = 0
(0)   Idle-Timeout = 3600
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 2 with timestamp +16
Ready to process requests

то есть, в самом конце строки:
Код
(0) Login OK: [test] (from client test_hotspot port 2150629381 cli 54-ef-92-6b-01-ff)
(0) Sent Access-Accept Id 2 from 192.168.88.5:1812 to 192.168.88.1:53203 length 0
...показывают, что радиус дает хотспоту "добро" на авторизацию клиента....
0
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
15.04.2019, 19:27
Ответы с готовыми решениями:

Проблемы,при раздаче интернета по локальной сети
Всем привет. Помогите пожалуйста разобраться в чем дело.. Есть сервер ос win 2003 server , две...

Отправить POST с последующим получением ответа
Смотрите ка <?php $myCurl = curl_init(); curl_setopt_array($myCurl, array( CURLOPT_URL =>...

Отправка переменной с JS в php с последующем получением ответа (Ajax?)
Всем привет. Нужно реализовать вот такую схему: Запрос с айди в JS > php файл с функцией...

Как сделать отправку формы без перезагрузки страницы с получением ответа
Добрый день, уважаемые форумчане. В javascript и ajax разбираюсь крайне плохо и прошу помочь. Нужно...

Проблемы с получением подстроки
Здравствуйте, что-то странная проблема возникла, даже уже не знаю что и делать: вот код:...

4
NoNaMe
Эксперт по компьютерным сетям
717 / 340 / 55
Регистрация: 10.06.2009
Сообщений: 1,531
Завершенные тесты: 1
16.04.2019, 13:21 2
Есть ли в локальной сети ipv6 "allow-dual-stack-queue=yes" ?
0
Dmitry
Эксперт по компьютерным сетямЭксперт NIX
10960 / 6240 / 501
Регистрация: 09.09.2009
Сообщений: 24,806
16.04.2019, 16:45  [ТС] 3
Цитата Сообщение от NoNaMe Посмотреть сообщение
Есть ли в локальной сети ipv6
нет. только ipv4

Добавлено через 1 час 44 минуты
Цитата Сообщение от NoNaMe Посмотреть сообщение
"allow-dual-stack-queue=yes"
убрал птички (и в домашнем микротике и в тестируемом). не поменялось ничего. с сервером в интернете авторизация происходит на раз-два-три, с сервером в локалке - длинное ожидание и потом "сервер радиус не отвечает"
при том, что в логах самого сервера все ок (включено протоколирование ответов, и вот ответ):
Код
Tue Apr 16 16:30:25 2019
	Packet-Type = Access-Accept
	Acct-Interim-Interval = 120
	WISPr-Bandwidth-Max-Up = 0
	Idle-Timeout = 86400
	WISPr-Bandwidth-Max-Down = 0
	Timestamp = 1555421425
Добавлено через 6 минут
проверка статуса радиуса (в микротике) дает вот такое
Код
[admin@MikroTik] /radius> monitor 0
           pending: 1
          requests: 1
           accepts: 0
           rejects: 0
           resends: 0
          timeouts: 0
       bad-replies: 1
  last-request-rtt: 0ms
0
NoNaMe
Эксперт по компьютерным сетям
717 / 340 / 55
Регистрация: 10.06.2009
Сообщений: 1,531
Завершенные тесты: 1
16.04.2019, 21:44 4
Что-то не вижу конфига самого FreeRADIUS:
А его параметры включены?
Код
$INCLUDE        /usr/share/freeradius/dictionary.mikrotik
0
Dmitry
Эксперт по компьютерным сетямЭксперт NIX
10960 / 6240 / 501
Регистрация: 09.09.2009
Сообщений: 24,806
16.04.2019, 22:09  [ТС] 5
Лучший ответ Сообщение было отмечено NoNaMe как решение

Решение

Цитата Сообщение от NoNaMe Посмотреть сообщение
А его параметры включены?
да, включены. в первом посте писал - серверы (домашний и впс) настроены как близнецы, и при работе с впс все происходит отлично
----------------------------------------
в итоге, эксперименты завершил.
дело в том, что реально нужно было настроить немного иначе, чем в п.1 - в микротике на паре портов поднять хотспот, и к этому же микротику в "отдельный" порт ("соседний" с хотспотом) подключить сервер радиус, и настроить,чтобы хотспот управлялся от этого радиуса. в таком раскладе все запустилось и работает.
----------------------------------------
а вот почему не получалось настроить как описано в п.1, так и не понял

Добавлено через 8 минут
зы:
экспорт рабочей конфигурации
Код
# apr/16/2019 18:15:54 by RouterOS 6.44.2
# software id = 
#
# model = 750
# serial number = 
/interface bridge
add admin-mac=D4:CA:11:F4:11:D6 auto-mac=no comment=defconf name=bridge
add name=bridge1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
add hotspot-address=192.168.188.1 login-by=http-chap name=hsprof1 use-radius=\
    yes
/ip pool
add name=dhcp ranges=192.168.188.10-192.168.188.254
add name=dhcp2 ranges=10.10.0.10-10.10.0.100
/ip dhcp-server
add address-pool=dhcp allow-dual-stack-queue=no disabled=no interface=bridge \
    name=defconf
add address-pool=dhcp2 allow-dual-stack-queue=no disabled=no interface=\
    bridge1 name=server1
/ip hotspot
add address-pool=dhcp disabled=no interface=bridge name=hotspot1 profile=\
    hsprof1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge1 comment=defconf interface=ether4
add bridge=bridge1 comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.188.1/24 comment=defconf interface=ether2 network=\
    192.168.188.0
add address=10.10.0.1/24 interface=ether5 network=10.10.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=10.10.0.0/24 gateway=10.10.0.1
add address=192.168.188.0/24 comment=defconf gateway=192.168.188.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.188.1
/ip dns static
add address=192.168.188.1 name=router.lan
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
    src-address=192.168.188.0/24
/ip hotspot user
add name=admin password=admin123
/ip ssh
set allow-none-crypto=yes
/radius
add address=10.10.0.100 secret=testing123 service=hotspot timeout=3s
add address=91.204.72.65 disabled=yes secret=14351535 service=hotspot \
    timeout=3s
/system clock
set time-zone-name=Europe/Zaporozhye
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
1
16.04.2019, 22:09
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.04.2019, 22:09

Проблемы с получением SID
Народ, в чем ошибка? Пытаюсь получить SID пользователя, имеющего логин 'hello', под...

проблемы с получением html в C#
IPHostEntry hostEntry = Dns.GetHostEntry("сайт"); IPAddress address = hostEntry.AddressList;...

Проблемы с получением значения из метода, исправить код
Только начинаю программировать. Придумал себе задачку. Да не понимаю почему не работает (если...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru