Fórum Root.cz
Hlavní témata => Server => Téma založeno: ZAJDAN 31. 10. 2018, 12:29:46
-
Ahoj,
dá se nastavit aby FreeRadius odkázal stanici na konkrétní DHCP server?
Chtěl bych vytvořit profil, který by zajistil, že všichni kdo se do něj přihlásí dostanou IP z určeného subnetu.
-
Takhle se to opravdu nedělá. Zkus Google: 802.1x, RADIUS, VLAN assignment.
-
Takhle se to opravdu nedělá. Zkus Google: 802.1x, RADIUS, VLAN assignment.
děkuji,
btw: mým cílem je zanášet informace do českého fóra, tedy v češtině, proto to dávam sem
-
mým cílem je zanášet informace do českého fóra, tedy v češtině, proto to dávam sem
Vasim cilem by spis melo byt ziskani nejakych zakladnich znalosti nez zacnete psat do for.
Posledni dobou mi pripada ze kazdy kdo vcera objevil pocitac ma potrebu nastavovat neco cemu vubec nerozumi.
-
blablabla..
Fóra jsou právě od toho aby si lidi poradili když někdo něčemu nerozumí, nebo se sem lidi chodí jen vytahovat?!
Já FreeRadius používám 2 roky a funguje mi to a je mi jedno, že mi nějakej louda jako Ty tvrdí, že tomu nerozumím.
Já se jen opět ptám, zda někdo ví, jak šikovně nastavit attribut DHCP-relay, zdali vůbec existuje.
Pokud to nevíš a nebo nechceš poradit "lůze" jen pro své ego...vyfič a drž mordu!
-
Radius je autentikační databáze, "back end". Jeho se ptá nějaký "access router" (nebo switch apod), co má dělat s nově příchozím. Takže se chci zeptat: co je to za "accessovou technologii" ? Nějaký dial-up asi ne, co takhle APN v mobilní síti, nebo ethernet, nebo wifi?
-
František Ryšánek:
Radius protokol naslouchá na WI-FI interface na routrech Ubnt a Mikrotik
-
Já FreeRadius používám 2 roky a funguje mi to a je mi jedno, že mi nějakej louda jako Ty tvrdí, že tomu nerozumím.
To je pěkné, že ho používáš. Bohužel bez pochopení základního principu fungování DHCP je to zcela k hovnu - jinak by ses na takovou pitomost ani neptal.
-
To je pěkné, že ho používáš. Bohužel bez pochopení základního principu fungování DHCP je to zcela k hovnu - jinak by ses na takovou pitomost ani neptal.
projednu Tě prosím, nesnaž se mít poslední slovo pokud nemáš zájem poradit!
Prosím nevšímej si mě a oba budeme mít klid.
-
projednu Tě prosím, nesnaž se mít poslední slovo pokud nemáš zájem poradit!
Radu jsi už dostal. Přečti si, jak funguje RADIUS a DHCP, a do té doby se do toho neser. A jestli se ti to nelíbí, tak si běž poklábosit třeba na Zpovědnici.
-
František Ryšánek:
Radius protokol naslouchá na WI-FI interface na routrech Ubnt a Mikrotik
tak urciteee...
-
Já se jen opět ptám, zda někdo ví, jak šikovně nastavit attribut DHCP-relay, zdali vůbec existuje.
Pokud to nevíš a nebo nechceš poradit "lůze" jen pro své ego...vyfič a drž mordu!
Nu, DHCP relay je informace, kterou dostane RADIUS server, aby podle ni vymyslel parametry, co má vrátit dotazujícímu se DHCP klientu. DHCP relay agent sub info přidává do DHCP dotazu příslušný DHCP relay agent poslouchající někde na síti, který zachytil DHCP požadavek.
Rozhodně to není parametr v odpovědi od RADIUS serveru, ale informace pro DHCP nebo RADIUS server, aby podle toho něco vrátil. Přesněji máš někde běžící na switchích nebo něčem DHCP relay agenta, ten při příjmu DHCP požadavku jej přepošle na nastavneý DHCP server a případně přidá do dat DHCP relay agent informaci a toto pošle na DHCP server. Pokud je DHCP server nastaven, že to má poslat na nějaký RADIUS server, tak to tam pošle a čeká, co dostane zpět, a to vrací zpět klientovi.
Pokud mluvíš o Mikrotikách, tak v nich je to v /ip dhcp-relay set add-relay-info=yes relay-info-remote-id=XXX
Jinak, co se týče FreeRADIUSu, tak nevím aktuálně, ale dříve v requestech DHCP option 82, subopt 2 (DHCP-Relay-Remote-ID) ignoroval a neuměl zpracovat, ale snad už to tam opravili a jde podle toho selectovat.
-
Já se jen opět ptám, zda někdo ví, jak šikovně nastavit attribut DHCP-relay, zdali vůbec existuje.
Pokud to nevíš a nebo nechceš poradit "lůze" jen pro své ego...vyfič a drž mordu!
Nu, DHCP relay je informace, kterou dostane RADIUS server, aby podle ni vymyslel parametry, co má vrátit dotazujícímu se DHCP klientu. DHCP relay agent sub info přidává do DHCP dotazu příslušný DHCP relay agent poslouchající někde na síti, který zachytil DHCP požadavek.
Rozhodně to není parametr v odpovědi od RADIUS serveru, ale informace pro DHCP nebo RADIUS server, aby podle toho něco vrátil. Přesněji máš někde běžící na switchích nebo něčem DHCP relay agenta, ten při příjmu DHCP požadavku jej přepošle na nastavneý DHCP server a případně přidá do dat DHCP relay agent informaci a toto pošle na DHCP server. Pokud je DHCP server nastaven, že to má poslat na nějaký RADIUS server, tak to tam pošle a čeká, co dostane zpět, a to vrací zpět klientovi.
Pokud mluvíš o Mikrotikách, tak v nich je to v /ip dhcp-relay set add-relay-info=yes relay-info-remote-id=XXX
Jinak, co se týče FreeRADIUSu, tak nevím aktuálně, ale dříve v requestech DHCP option 82, subopt 2 (DHCP-Relay-Remote-ID) ignoroval a neuměl zpracovat, ale snad už to tam opravili a jde podle toho selectovat.
ale ved on to uz ma vsetko nastudovane...
-
Nu, DHCP relay je informace, kterou dostane RADIUS server, aby podle ni vymyslel parametry, co má vrátit dotazujícímu se DHCP klientu. DHCP relay agent sub info přidává do DHCP dotazu příslušný DHCP relay agent poslouchající někde na síti, který zachytil DHCP požadavek.
Rozhodně to není parametr v odpovědi od RADIUS serveru, ale informace pro DHCP nebo RADIUS server, aby podle toho něco vrátil. Přesněji máš někde běžící na switchích nebo něčem DHCP relay agenta, ten při příjmu DHCP požadavku jej přepošle na nastavneý DHCP server a případně přidá do dat DHCP relay agent informaci a toto pošle na DHCP server. Pokud je DHCP server nastaven, že to má poslat na nějaký RADIUS server, tak to tam pošle a čeká, co dostane zpět, a to vrací zpět klientovi.
Pokud mluvíš o Mikrotikách, tak v nich je to v /ip dhcp-relay set add-relay-info=yes relay-info-remote-id=XXX
Jinak, co se týče FreeRADIUSu, tak nevím aktuálně, ale dříve v requestech DHCP option 82, subopt 2 (DHCP-Relay-Remote-ID) ignoroval a neuměl zpracovat, ale snad už to tam opravili a jde podle toho selectovat.
díky..toto už mě směruje ke konrétním věcem
já to ale nakonec vyřeším tak, že vytvořím virtuální ESSID a to bude požadavky směrovat do extra DHCP poolu
A Vy dva kundihvízdi (lol pirae a samalama) neplýtvejte energii, Vy dva svou egoistickou arogancí jen potvrzujete jak jsou česká fóra marná. :]
-
A Vy dva kundihvízdi (lol pirae a samalama) neplýtvejte energii, Vy dva svou egoistickou arogancí jen potvrzujete jak jsou česká fóra marná. :]
Prosimtě, tak už sem hlavně nelez... Magora, který zřejmě nemá v síti ani manažovatelný switch a přidělování IP adres chce řešit tím, že mu v síti běhá několik DHCP serverů s různě nastavenými rozsahy, toho aby fakt pohledal. Jinak díky za "zanesenou informaci", že od tvých sítí se má soudný člověk držet hodně daleko.
-
A Vy dva kundihvízdi (lol pirae a samalama) neplýtvejte energii, Vy dva svou egoistickou arogancí jen potvrzujete jak jsou česká fóra marná. :]
Dovolím si kacířskou myšlenku: "kundihvízdi" jste všichni tři (tj. i Vy). Soudě nejen podle této diskuse...
-
DHCP server mám jeden, a ten má měkolik poolů, ne nadarmo to bylo vymyšleno
V síti několik subnetů?...ano, to je pro mne nejrozumější a inteligentní řešení, opět to někdo nevymyslel nadarmo...
Ty už ty hňupe zalez do kanaálu a raději nevylízej :_)
-
DHCP server mám jeden, a ten má měkolik poolů, ne nadarmo to bylo vymyšleno
Aha, a ten původní dotaz že chceš přes RADIUS směrovat klienty na konkrétní DHCP server (viz předmět "nasměrování klienta na konkrétní DHCP", to byl teda jen nástřel k exhibici vlastní blbosti, nebo jak si to máme vysvětlit?
Ti si ale vocas, viď? :o ::)
-
Hele přiznám se, že jsem ohledně Radiusu téměř čistý teoretik :-)
Ono přes Radius se dá řešit několik různých věcí pro různé accessové sítě:
Radius původně vznikl pro dial-up. PPPčko. Jednotlivému userovi se podle loginu+hesla přidělil subnet /30, nebo ještě spíš jediná koncová IP adresa (protější kus na access routeru byl unnumbered). Všimněte si: access *router*, ty klientské relace jsou L3 subnety (možná vyždímané až do rozměru 1 IP adresy). A ta IPčka nebo koncové subnety mohl dávat klientům Radius ze své databáze.
802.1x v rámci LAN dělá to, že konkrétní L2 port nejdřív autentikuje proti radiusovému serveru, a v případě úspěchu ho může ještě prohodit do konkrétní VLANy (kterou sdělí radiusový server). Tady bych rád zdůraznil, že se povoluje přístup na L2 portu a dokonce navíc pro jednu konkrétní MAC adresu (pokud se nepletu). Teprve poté, co se příchozí stroj (MAC adresa, jedna per port) dostane do LAN (do konkrétní VLAN), má šanci říct si o DHCP - a já se domnívám, že DHCP je servírováno celé této VLAN síti, nikoli jednotlivé MAC adrese, a DHCP server patrně neví nic o access switchi ani o radiusu, a jestli se toho schématu bude účastnit DHCP relay, tak to není přímo navázáno na autentikaci konkrétního klienta na konkrétním L2 portu (jinak než nepřímo skrz připojení do VLANy). DHCP relay je L3 funkce (vlastně svého druhu proxy služba), tzn. může běžet na routeru na L3 rozhraní (tzn. pro jednotlivou VLANu, do které to rozhraní kouká). Že by L2 switch per port kradl DHCP dotazy a relayoval je per user ať už Radiusu nebo DHCP serveru, ...to mi úplně pod nos nejde. Toto samozřejmě nijak nevylučuje, že DHCP server následně přiřadí pevnou IP adresu podle MAC adresy nebo GUIDu apod. - na základě konfigurace DHCP serveru (Radius už v tom roli nehraje).
No a pak je Wifi. Wifi ESSID je něco jako VLANa ve vzduchu. Taky jsou ESSIDy s oblibou na VLANy 1:1 bridgovány. První koncepční rozdíl oproti metalickému ethernetu je v tom, že "port na APčku" kouká směrem ven do vzduchu na L2 do bezdrátové logické multipoint sítě, ve které je větší počet klientů. Druhý koncepční rozdíl shledávám v tom, že na wifi si klient napřed vybere nějaký ESSID, a teprve pak se k němu pokusí přihlásit, autentikačním mechanismem, který si ten ESSID nadiktuje. Třeba WPA2 v kombinaci s EAP, kterážto kombinace je na APčku skrz WiFi variantu 802.1x navázaná na radiusový back-end (server někde kus dál v síti). Tzn. mám pocit, že ESSID (a potažmo pevně přibridgovanou VLAN) si klient vybere a priori, v rámci WPA2 se klient pobaví s AP také o 802.1x, a Radiusového serveru se AP jenom zeptá, jestli smí klienta do žádané L2 sítě vpustit (plus nějaká krypto omáčka). Prosím opravte mne, pokud kecám - domnívám se, že 802.1x na wifi nemá moc, přehodit klienta na jiný ESSID, a pokládám za nepravděpodobné, že by APčko v rámci jediného ESSIDu forwardovalo provoz různých WiFi klientů do různých páteřních VLAN. Letmým pohledem odhaduji, že by nebylo úplně triviální zařídit, aby na takovém forwardovacím schématu správně fungovaly všelijaké mechanismy mezi Ethernetem a IP (ačkoli vyloučit to nemohu). Přidělování IP adres na WiFi je opět v režii DHCP, server umístěný kdekoli v rámci VLANy... DHCP relay může jistě servírovat přímo AP (jeho L3 rozhraní do dané VLANy+ESSIDu, pokud je nakonfigurováno) ale nepočítám, že by to nějak spolupracovalo s Radiusem. A každopádně se DHCP děje opět až poté, co proběhla autentikace a rozběhlo se WPA2 šifrování payloadu.
Přidělovat DHCP server Radiusem mi přijde jako nedorozumění. DHCP server slouží celé VLANě, nikoli jednotlivému autentikovanému klientovi 802.1x. A jestli DHCP server slouží té VLANě skrz "directly connected" rozhraní, nebo skrz relay, to na věci mnoho nemění.
DHCP relay je proxy mechanismus, který Vám umožní servírovat DHCP více různým L2 broadcastovým segmentům v rozsáhlejší routované L3 síti - aniž by do každého L2 segmentu musel přímým rozhraním koukat DHCP server. DHCP server může být jediný kdekoli v síti (s jedinou síťovkou a IP adresou) a skrz lokální instance služby DHCP relay (na routerech) "distribuovaně" obsluhovat větší počet subnetů.
DHCP relay jsem tuším viděl použitý i pro GPRS APN, kde GGSN (access router operátora v GPRS síti) napřed přiřadil mobilního klienta do APN (VRF, MPLS VPN) podle "APN jména", následně ho autentikoval proti radiusu (odkaz na radius server u zákazníka už per APN), a následně GGSN v rámci APN přiděloval IP adresy DHCP relayem ze serveru na straně zákazníka, skrz nějaký VPN tunel nad pevnou infrastrukturou... Doufám že nekecám, "mobilních paketové sítě" jsou asi nejsložitější accessová technologie, co jsem viděl, a mezi generacemi se koncepce i názvosloví vyvíjejí. Distribuovaný Radius s použitím "realmů", mezinárodní roaming... to byl teprve začátek, někdy na přelomu století. Podrobnosti zdaleka neznám a do dalšího vývoje nevidím. Pravda je, že zrovna v těch mobilních sítích by mi přidělování IPček přímo Radiusem jednotlivým "mobilním terminálům" dávalo docela dobrý smysl. Když i na ten DHCP server se to musí roubovat přes UID, protože MTčka nemají MAC adresy. (Nebo dneska na L4 už mají?) Akorát že jestli má APN nějakou vnitřní routovanou strukturu, tak by z toho plynuly per-APN instance OSPF apod. - radši přestanu fantazírovat.
-
Docela pěkné shrnutí. Jen bych opravil, že v rámci jednoho ESSID lze právě pomocí 802.1x přiřadit různým klientům různé VLAN. Chová se to tedy naprosto stejně jako na drátu.
-
... MTčka nemají MAC adresy. (Nebo dneska na L4 už mají?) ...
Ehh tohle že prošlo autocenzurou? "L4" mělo být 4G/LTE. Ale já jsem vážně nic nepožil.
-
František Ryšánek
.
Opět moc diky, výstižné čtení a mě to opět pomohlo získat lepší pohled na věc.
Ja měl celou dobu namysli, zda by se dalo do dhcp relay požadavků zapsat radiusem nějaká option, která by definovala pool daného subnetu. Dhcp server by byl stále jeden. Ale taková options neexistuje.
Díky
-
ZAJDAN: mícháš tunu věcí dohromady a dost nejasně píšeš, čeho chceš dosáhnout. :-)
RADIUS server nic nemůže zapisovat do DHCP relay požadavků. DHCP relay požadavek přeposílá DHCP relay agent na DHCP server (a ještě situace závisí, zda je použit plnohodnotný relay agent s L3 podporou, je použit jen L2 light relay agent). DHCP server případně pošle Accept-Request na RADIUS server, který dle toho odpoví Access-Accept (případně včetně nějakých dalších parametrů) nebo Access-Reject a dle toho pak DHCP server něčím zpět odpoví DHCP klientovi (případně skrz DHCP relay agenta, pokud je v cestě použit).
Dle tvého popisu ale vůbec nemáš DHCP relay agenty použity, jen DHCP servery...
Ano, jde nastavit, že když DHCP server předá požadavek na RADIUS server, tak dle schopností/nastavení to funguje buď:
a) RADIUS server jen dle dat řekne pustit/nepustit (Accept/Reject) klienta (a všechny parametry si doplní DHCP server),
b) RADIUS server předá plnou/částečnou sadu parametrů, co má dostat klient (IP, maska, DNS, .... a DHCP server jen případně doplní nenastavené parametry od Radiusu dle své lokální konfigurace),
c) RADIUS server vrátí jméno IP poolu z kterého má DHCP server vybrat IP a dle kterého má i DHCP server doplnit další data.
Pokud máš DHCP server realizovaný na Mikrotiku, tak příslušně očekávaný parametr od RADIUS serveru je schován v Accept odpovědi v Framed-Pool, což je jméno poolu definovného pod /ip pool, z kterého má klient dostat přidělenou IP (Mikrotik nepodporuje Framed-IPv6-Pool, protože neumí stavové DHCPv6, umí jen DHCPv6-PD a pro něj podporuje Delegated-IPv6-Prefix-Pool).
Ryšánek:
Co považuješ za málo pravděpodobné, tak je zcela běžně používané. DHCP server řízený dle RADIUSu, na wifi rozhazování klientů do různých VLAN na základě odpovědi od RADIUS serveru a jejich vzájemnou ne/izolaci i když všichni používají jedno společné SSID. Požívání různých PSK klíčů pro různé klienty na jednom SSID (takže klient nemusí umět WPA/WPA2 business)....
-
@M. a @nemaproblema : děkuju za rozšíření obzorů :-) Konkrétně to rozhazování do různých VLAN: tyjo, oni to zřejmě fakt umí snad všichni: rychlý dotaz googlem ukázal zmínky "jak na to" v UBNT, RouterOS, Linux/Hostapd, Cisco, Meraki... A díky taky za rozbor DHCP->Radius.
-
Požívání různých PSK klíčů pro různé klienty na jednom SSID (takže klient nemusí umět WPA/WPA2 business)....
toto by ma zaujimalo. mozes to, pls, viac rozviest? diki.
-
Takže přesně to na co jsem ptal existuje ...SUPER!
Díky M. za přesné nasměrování, přesně tuto Options 'Framed Pool' jsem hledal.
definitivně někdo kdo pochopil že chybělo jen jedno slovo v dotazu:
FreeRadius - nasměrování klienta na konkrétní DHCP
FreeRadius - nasměrování klienta na konkrétní DHCP pool
čert aby vzal ty dva šuliny(lol phirae a samalama) a ještě mají tak hroší kůži, že se přiloudili škemrat o informace
-
Takže přesně to na co jsem ptal existuje ...SUPER!
Díky M. za přesné nasměrování, přesně tuto Options 'Framed Pool' jsem hledal.
definitivně někdo kdo pochopil že chybělo jen jedno slovo v dotazu:
FreeRadius - nasměrování klienta na konkrétní DHCP
FreeRadius - nasměrování klienta na konkrétní DHCP pool
tak pri 2-rocnom pouzivani radiusu sa tak nejak da ocakavat, ze tak zakladnu "vec" ako su "radius atributy", uz clovek bude ovladat...
čert aby vzal ty dva šuliny(lol phirae a samalama) a ještě mají tak hroší kůži, že se přiloudili škemrat o informace
neskemram, ale pytam sa, pretoze som sa tym este nikde nestretol...
-
tak pri 2-rocnom pouzivani radiusu sa tak nejak da ocakavat, ze tak zakladnu "vec" ako su "radius atributy", uz clovek bude ovladat...
stejně tak já mohu napsat, že při více než 10letém používání WIFI budeš o PSK něco vědět
už zavři tu svou špinavou mordu prolhanou! a respektuj, že jsi na českém foru a piš česky
-
tak pri 2-rocnom pouzivani radiusu sa tak nejak da ocakavat, ze tak zakladnu "vec" ako su "radius atributy", uz clovek bude ovladat...
stejně tak já mohu napsat, že při více než 10letém používání WIFI budeš o PSK něco vědět
už zavři tu svou špinavou mordu prolhanou! a respektuj, že jsi na českém foru a piš česky
aj citas, o com je diskusia, ci len tak bliakas? ja sa pytam na moznost nastavit rozne PSK pre jedno SSID. nikdy som sa tym nestretol a ani rychle guglenie mi nic take nenaslo, pre som sa pytal na detaily. zvysok bez komentara, necham to na tvojho psychiatra...
-
Ty chceš vykládat něco o diskuzi?!!! Ty vole ty jseš odpornej pokrytec. Pfujtajkl takovou paskudu jsem dlouho neviděl
-
už zavři tu svou špinavou mordu prolhanou! a respektuj, že jsi na českém foru a piš česky
Zkus večer omývat pravidelně přirození vlažnou vodou. :P
-
Nu, Marie Terezie byla moudrá panovnice, ale zákaz osobních soubojů se nepovedl. Pánové by se v klidu mohli někde popíchat kordy a byl by klid. :-)
Požívání různých PSK klíčů pro různé klienty na jednom SSID (takže klient nemusí umět WPA/WPA2 business)....
toto by ma zaujimalo. mozes to, pls, viac rozviest? diki.
Umí to některé wifi krámy. Používal jsem to kdysi na HPE, dneska třeba i zde zmiňované Mikrotiky. Udělám si sec profil, do něj nesmyslné heslo a pak mlátím seznam MAC adres a pro každou definuji jaké PSK má používat (samořejmě víc MAC může mít stejné PSK atd nebo někdo může používat i to defualt heslo z profilu, obvykle má kadý člověk svoje privátní PSK a používá ho pro X svých zaregistrovaných krámů):
/interface wireless access-list
add mac-address=02:03:04:05:06:07 private-pre-shared-key=MojeVlastniPSK
add mac-address=03:04:05:06:07:08 private-pre-shared-key=JineVlastniPSK
...
Pokud se v sec profilu zapne používání RADIUSu (MAC authentication), tak ty PSK můžu servírovat i z RADIUSu, protože APčko se při každém připojení přeptá. TXT like user list pro FReeRADIUS:
02:03:04:05:06:07 Cleartext-Password := ""
Mikrotik-Wireless-PSK := "MojeVlastniPSK",
Framed-IP-Address = 172.16.66.99
...
Takže tam, kde nemám klienty s náhodně se měnící MAC adresou, tak cesta, jak z jendoho radius cfg na X AP servírovat per MAC PSK a případně i IP pro DHCP.