The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"freeradius выдача ip"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Авторизация и аутентификация / Linux)
Изначальное сообщение [ Отслеживать ]

"freeradius выдача ip"  +/
Сообщение от tiss42rus email(ok) on 26-Фев-16, 13:35 
здравствуйте, freeradius не выдает ip ни через ippool , ни через Framed-IP-Address. Пользователи подключаются к вафлям обычным(dir620) или к микротикам тоже по вафле.Подключаются но получают ip от DHCP сервера домена...

настройка ippool в radiusd.conf
# ippool http://forum.nag.ru/forum/index.php?showtopic=55923
ippool main_pool {

      #  range-start,range-stop: The start and end ip
      #  addresses for the ip pool
      range-start = 192.168.1.115
      range-stop = 192.168.1.125

      #  netmask: The network mask used for the ip's
      netmask = 255.255.252.0

      #  cache-size: The gdbm cache size for the db
      #  files. Should be equal to the number of ip's
      #  available in the ip pool
      cache-size = 1021

      # session-db: The main db file used to allocate ip's to clients
      session-db = ${raddbdir}/db.ippool

      # ip-index: Helper db index file used in multilink
      ip-index = ${raddbdir}/db.ipindex

      # override: Will this ippool override a Framed-IP-Address already set
      override = no

      # maximum-timeout: If not zero specifies the maximum time in seconds an
      # entry may be active. Default: 0
      maximum-timeout = 0
   }

main_pool

post-auth {
    #  Get an address from the IP Pool.
    main_pool
}
authorize{
files
preprocess
chap
mschap
eap
}


не выдает

через Framed-IP-Address тоже не выдает. Вот код из файла users.
test Cleartext-Password := "test123"
        Service-Type = Framed-User,
        Framed-Protocol == PPP,
        Framed-IP-Address = 192.168.1.121,
        Framed-IP-Netmask = 255.255.252.0,
        Framed-Routing = Broadcast-Listen,
        Framed-MTU = 1500,
        Framed-Compression = Van-Jacobsen-TCP-IP

в начале файла users так же есть
DEFAULT Pool-Name := main_pool
Fall-Through = Yes


В чем еще может проблема?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "freeradius выдача ip"  +/
Сообщение от shadow_alone (ok) on 27-Фев-16, 01:52 
а кто тебе сказал что в 802.1x можно адрес выдавать с радиуса?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "freeradius выдача ip"  –1 +/
Сообщение от ACCA (ok) on 28-Фев-16, 14:36 
Там были огрызки чьего-то конфига с поскипаными блоками. Ты скопировал, не разобравшись.

Начни сначала - http://www.netexpertise.eu/en/freeradius/ip-pools.html

Обрати внимание, что мужик пишет про криво работающий rlm_ippool. Проверь ещё раз - похоже, что он ставит lease timeout не в том конфиге.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "freeradius выдача ip"  +/
Сообщение от shadow_alone (ok) on 28-Фев-16, 14:38 
да ну нах...
еще раз, для непонятливых - 802.1х не поддерживает выдачу IP-адресов.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "freeradius выдача ip"  –1 +/
Сообщение от ACCA (ok) on 28-Фев-16, 14:53 
> еще раз, для непонятливых - 802.1х не поддерживает выдачу IP-адресов.

Для этого существует протокол DHCP. Который поддерживается FreeRADIUS.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "freeradius выдача ip"  +/
Сообщение от shadow_alone (ok) on 28-Фев-16, 14:55 
Это да, но только нигде не указано, что его DHCP-сервер использует радиус.
Насколько понятно из топика, чел тупо пытается заставить получать адрес от 802.1x, не понимая что этот протокол для этого не предназначен.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "freeradius выдача ip"  –1 +/
Сообщение от tiss42rus email(ok) on 29-Фев-16, 07:42 
> Это да, но только нигде не указано, что его DHCP-сервер использует радиус.
> Насколько понятно из топика, чел тупо пытается заставить получать адрес от 802.1x,
> не понимая что этот протокол для этого не предназначен.

через Framed-IP-Address freeradius же заставляет выдать ip? я просто хочу чтобы клиенты цепляясь к вафлям получали ip в зависимости от логина-пароля. Средствами freeradius это можно реализовать

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "freeradius выдача ip"  +/
Сообщение от shadow_alone (ok) on 29-Фев-16, 10:49 
> через Framed-IP-Address freeradius же заставляет выдать ip? я просто хочу чтобы клиенты
> цепляясь к вафлям получали ip в зависимости от логина-пароля. Средствами freeradius
> это можно реализовать

Написал ведь, ни один раз уже - НЕТ. еще раз повторяю - 802.1x не раздает ip-адреса. НЕ РАЗДАЕТ.
Перед тем как гнать хрень, которая пришла Вам в голову, по "чисто вашим" умозаключениям, неплохо бы почитать, что, собственно, вы собираетесь делать, уяснить, что можно а что нет, и почему.
Вот, вроде всё.

ЗЫ: и да, freeradius вообще не выдает ничего, он не "выдавальщик", он "опознаватель". Ну, или, в вашем случае, было бы неплохо, выдать Вам по ушам :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "freeradius выдача ip"  –2 +/
Сообщение от tiss42rus email(ok) on 29-Фев-16, 12:42 
>> через Framed-IP-Address freeradius же заставляет выдать ip? я просто хочу чтобы клиенты
>> цепляясь к вафлям получали ip в зависимости от логина-пароля. Средствами freeradius
>> это можно реализовать
> Написал ведь, ни один раз уже - НЕТ. еще раз повторяю -
> 802.1x не раздает ip-адреса. НЕ РАЗДАЕТ.
> Перед тем как гнать хрень, которая пришла Вам в голову, по "чисто
> вашим" умозаключениям, неплохо бы почитать, что, собственно, вы собираетесь делать, уяснить,
> что можно а что нет, и почему.
> Вот, вроде всё.

каким то же образом это реализуют, выдачу ip по логину паролю?есть же мануалы, люди это обсуждают. вот вырезка с этого же сайта по описанию про радиус...

если же данные пользователя верны, то сервер посылает NAS пакет "Доступ
  разрешён", содержащий данные о сервисе(PPP, SLIP, login) и некоторые
  специфические параметры сервиса, например, ip адрес, номер подсети, MTU для
  PPP сервиса в виде пар параметр=значение(AV пар).


в файле users указывается через  Framed-IP-Address какой ip будет у клиента. Каким то же образом это реализуется?
user1    Password = "testing", Expiration = "Dec 24 1995"
                Service-Type = Framed-User,
                Framed-Protocol = PPP,
                Framed-IP-Address = *.*.*.*,
                Framed-Routing = None,
                Filter-Id = "std.ppp",
                Framed-MTU = 1500,
                Framed-Compression = Van-Jacobson-TCP-IP

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "freeradius выдача ip"  +/
Сообщение от shadow_alone (ok) on 29-Фев-16, 14:31 
В вашем случае это реализуется совершенно по другому, а то что вы прописали для юзера:
Framed-Protocol = PPP,
Framed-IP-Address = *.*.*.*,
ничего не дает.
То что вы видите, актуально, например, для pppoe или vpn.
Еще раз, для совсем обдолбанных - 802.1X не поддерживает выдачу IP-адресов.

Вам что, сложно почитать документацию? Зачем приводить доводы не относящиеся к делу?
Разве с первого раза непонятно было?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "freeradius выдача ip"  +/
Сообщение от tiss42rus email(ok) on 02-Мрт-16, 06:24 
> В вашем случае это реализуется совершенно по другому, а то что вы
> прописали для юзера:
> Framed-Protocol = PPP,
> Framed-IP-Address = *.*.*.*,
> ничего не дает.
> То что вы видите, актуально, например, для pppoe или vpn.
> Еще раз, для совсем обдолбанных - 802.1X не поддерживает выдачу IP-адресов.
> Вам что, сложно почитать документацию? Зачем приводить доводы не относящиеся к делу?
> Разве с первого раза непонятно было?

хорошо, тогда каким образом реализовать выдачу ip адреса клиентам в зависимости от логина и пароля? подключающимся по вафле.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "freeradius выдача ip"  +/
Сообщение от shadow_alone (ok) on 02-Мрт-16, 14:26 

> хорошо, тогда каким образом реализовать выдачу ip адреса клиентам в зависимости от
> логина и пароля? подключающимся по вафле.

Ну, тут, в Вашем случае, 2 варианта:
1. Начать наконец читать документацию, и через какое-то время, попытаться настроить самому.
2. Озвучить бюджет на всё это дело.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

7. "freeradius выдача ip"  +/
Сообщение от tiss42rus email(ok) on 29-Фев-16, 07:43 
>> еще раз, для непонятливых - 802.1х не поддерживает выдачу IP-адресов.
> Для этого существует протокол DHCP. Который поддерживается FreeRADIUS.

DHCP поддерживает только freeradius2

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "freeradius выдача ip"  +/
Сообщение от тень_pavel_simple on 09-Мрт-16, 19:30 
>[оверквотинг удален]
>         Framed-Protocol == PPP,
>         Framed-IP-Address = 192.168.1.121,
>         Framed-IP-Netmask = 255.255.252.0,
>         Framed-Routing = Broadcast-Listen,
>         Framed-MTU = 1500,
>         Framed-Compression = Van-Jacobsen-TCP-IP
> в начале файла users так же есть
> DEFAULT Pool-Name := main_pool
> Fall-Through = Yes
> В чем еще может проблема?

как тут уже сказали, 802.1X никакого отношения к выдаче ip адреса не имеет. но зато, 802.1X вполне себе авторизует порт если это сети на коммутаторах или авторизует клиента wifi.

во втором случае для изоляции клиентов друг от друга используется назначение vlan'а по radius-ответу -- но оборудование wifi должно поддерживать dinamic vlan assgigment.
описано например сдесь
http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
https://wiki.openwrt.org/doc/howto/wireless.security.8021x

если задача сводится к тому, чтобы на определённый login/пароль назначался определённый ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот в свою очередь выдавал этому mac-адресу необходимый ip.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "freeradius выдача ip"  +/
Сообщение от tiss42rus email(ok) on 11-Мрт-16, 07:24 
>[оверквотинг удален]
> на коммутаторах или авторизует клиента wifi.
> во втором случае для изоляции клиентов друг от друга используется назначение vlan'а
> по radius-ответу -- но оборудование wifi должно поддерживать dinamic vlan assgigment.
> описано например сдесь
> http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
> https://wiki.openwrt.org/doc/howto/wireless.security.8021x
> если задача сводится к тому, чтобы на определённый login/пароль назначался определённый
> ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать
> аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы,
> тот в свою очередь выдавал этому mac-адресу необходимый ip.

благодарю, я хочу реализовать именно это(и в случае аутентификации передавать аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот в свою очередь выдавал этому mac-адресу необходимый ip).. У меня DHCP поднят на домене, ставил эти параметры в файле users, игнорирует. Есть какая нибудь статься где указанно что именно настроить для этого нужно?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "freeradius выдача ip"  +/
Сообщение от тень_pavel_simple on 11-Мрт-16, 12:42 
>[оверквотинг удален]
>> https://wiki.openwrt.org/doc/howto/wireless.security.8021x
>> если задача сводится к тому, чтобы на определённый login/пароль назначался определённый
>> ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать
>> аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы,
>> тот в свою очередь выдавал этому mac-адресу необходимый ip.
> благодарю, я хочу реализовать именно это(и в случае аутентификации передавать аттрибут
> Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот
> в свою очередь выдавал этому mac-адресу необходимый ip).. У меня DHCP
> поднят на домене, ставил эти параметры в файле users, игнорирует. Есть
> какая нибудь статься где указанно что именно настроить для этого нужно?

про файл users я уже читал, и множество раз было совершенно верно сказано что это тут совершенно не при чём.

мануал (если такое извращение кто-то и делал найдётся) в google, или google that for you?

в общем случае для невиндовозной сети делается простейший скрипт запускаемый radis'ом который апдейтит dhcp

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру