[ Kolins Balaban @ 12.06.2015. 18:02 ] @
Pozdrav radni narode. Molio bih malu pomoc. Naime, zanima me da li na Mikrotiku radi wireless authentication preko mikrotikovog RADIUSA? Patim se pola dana ne mogu to napraviti. U logu jednostavno dobijem poruku: reject MAC_ADRESA, banned (last failure - not allowed by RADIUS).
Konfig RADIUS-a na Tiku je:

Code:

/radius add address=127.0.0.1 secret=12345678 service=wireless
/radius incoming set accept=yes port=1700

Kreiran je customer. Na usermanageru je kreiran Router sa IP=127.0.0.1 i secret=127.0.0.1, aktiviran je CoA sa portom 1700.
Kreiran je profil, i kreiran je user kome je username=MAC_ADRESA i password=MAC_ADRESA.

U cemu je kvaka?
[ Kolins Balaban @ 17.06.2015. 20:39 ] @
Niko? :(
[ Sleepless_mind @ 17.06.2015. 21:02 ] @
Verovatno je problem format MAC adrese.
Osim toga stavi umesto 127.0.0.1 adresu rutera.
[ Kolins Balaban @ 18.06.2015. 07:37 ] @
HVala na odgovoru kolega. Vec sam probao sa 127.0.0.1 adresom (log kaze da autentifikacija nije dozvoljena od radiusa, sto znaci da vjerovatno nije problem u komunikaciji s radius serverom). Takodjer, mijenjao sam i format MAC adrese na kartici Security profile, ali se nista nije promjenilo. Probao sam bez dvotacki, sa dvotackama... ali uvijek je isti problem.
[ Sleepless_mind @ 18.06.2015. 09:52 ] @
Ovako to izgleda kod mene i radi:

Code:
/radius
add accounting-backup=no accounting-port=1813 address=10.11.244.250 \
    authentication-port=1812 called-id="" disabled=no domain="" realm="" \
    secret=Password service=wireless timeout=5s
/radius incoming
set accept=yes port=3799


Code:

/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
    aes-ccm group-key-update=5m interim-update=0s management-protection=\
    allowed management-protection-key="" mode=dynamic-keys name=profile1 \
    radius-eap-accounting=no radius-mac-accounting=no \
    radius-mac-authentication=yes radius-mac-caching=disabled \
    radius-mac-format=XX-XX-XX-XX-XX-XX radius-mac-mode=as-username \
    static-algo-0=none static-algo-1=none static-algo-2=none static-algo-3=\
    none static-key-0="" static-key-1="" static-key-2="" static-key-3="" \
    static-sta-private-algo=none static-sta-private-key="" \
    static-transmit-key=key-0 supplicant-identity="" tls-certificate=none \
    tls-mode=no-certificates unicast-ciphers=aes-ccm wpa-pre-shared-key=\
    password wpa2-pre-shared-key=password


Code:

/tool user-manager user
add customer=admin disabled=no [email protected] first-name=Ime last-name=Prezime location=Kuhinja name=\
    F8-A9-D0-09-3E-B8 password="" shared-users=unlimited wireless-enc-algo=none wireless-enc-key="" wireless-psk=""


Code:

/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password=Password paypal-accept-pending=no paypal-allowed=no \
    paypal-secure-response=no permissions=owner signup-allowed=no time-zone=+00:00
[ Kolins Balaban @ 21.06.2015. 15:09 ] @
HVala na odgovoru drug, ali ovo kod mene ne radi. Doslovno sam prekopirao tvoj setup u Tik i opet imam problem. Koja ti je verzija OS-a? Kod mene je posljednja, v6.29.1

Evo sta kaze log:

https://www.dropbox.com/s/rqq5mt6eqjnq5wk/RADIUSproblem.png?dl=0
[ npero @ 21.06.2015. 16:14 ] @
Log pokazuje da radius server uopste ne radi tj. ne dobija nikakve odgovore od njega.
[ Kolins Balaban @ 22.06.2015. 21:57 ] @
Pa dobro, u cemu je kvaka? Doslovno kopiram postavke od kolege Sleepless_mind (naravno promjenim IP adresu routera, MAC adresu usera...). Jedino vidim da on nije dodavao router u User Manager. Ja jesam dodao i router, uredno podesio IP, password...


Fakat ce me ovo cudo izluditi. Nabacim neki RADIUS tester i on mi kaze da je sve ok sa korisnikom (probao podvaljivati username, pass... tacno kaze u cemu je problem), sto znaci da User Manager kao RADIUS server funkcionise. Neki je problem u samoj komunikaciji izmedju mikrotika i User Manager servisa. Cak sam downgrade-ovo mikrotik na neku stariju verziju, ali problem je opet tu...
Evo postavki Mikrotika:

https://www.dropbox.com/s/sydd...2015-06-23%2000.23.55.png?dl=0

https://www.dropbox.com/s/6noo...2015-06-23%2000.25.37.png?dl=0

https://www.dropbox.com/s/t9px...2015-06-23%2000.31.20.png?dl=0

RADIUS TESTER


Kad je sve OK: https://www.dropbox.com/s/5ylf...2015-06-23%2000.28.32.png?dl=0

Kad mu podvalimo pogresan pass: https://www.dropbox.com/s/4zwf...2015-06-23%2000.29.39.png?dl=0

[Ovu poruku je menjao Kolins Balaban dana 23.06.2015. u 00:31 GMT+1]
[ Kolins Balaban @ 24.06.2015. 06:40 ] @
Evo mene opet. Prije nego router vratim na factory postavke i krenem sa konfiguracijom od nule, da priupitam i ovdje :) da li je moguce da problem pravi sto mi je wlan i ethernet u bridge-u?? znaci IP adresa nije ni na jednom fizickom interfejsu nego na bridge-u?
[ npero @ 24.06.2015. 06:59 ] @
Ne to ne bi trebao da bude problem. I ako stavis adresu na fizicki interfejs a on je u bridge radice isto kao da je adresa na bridge.
Treba to sve iskontorlisati ne ovako parcijalno podesavanja mozda nesto drugo pravi problem u podesavanjima.
Nedavno sam podesavao doduse radius je bio na drugoj masini nema tu nikakve mudrosti podesis tih par opcija i vozis.
[ gilopile @ 24.06.2015. 07:01 ] @
Citat:
Kolins Balaban:
Evo mene opet. Prije nego router vratim na factory postavke i krenem sa konfiguracijom od nule, da priupitam i ovdje :) da li je moguce da problem pravi sto mi je wlan i ethernet u bridge-u?? znaci IP adresa nije ni na jednom fizickom interfejsu nego na bridge-u?


Nema veze, bridge ce se ponasati kao zaseban interfejs, nebitno koliko si ih dodao. Znaci, ako dizes DHCP server, postavi ga na bridge...NAravno ako se na wlan i LAN kace klijenti....

Ovih dana cu i ja da podignem Radius. Pre godinu dana sam ga imao i sve je radilo skroz ok. Jedino sto mi je RB bio preslab...RB133

Radio sam po nekom uputstvu sa YT i sve je ok proslo iz prve.
[ Kolins Balaban @ 24.06.2015. 08:15 ] @
upravo tako, na bridge-u mi je dignut DHCP server. na LAN je zakacen moj PC, a na wlan par telefona, smart TV, i jedan AP...
[ gilopile @ 24.06.2015. 09:43 ] @
To je onda ok.
[ npero @ 24.06.2015. 14:01 ] @
Sta ce ti radius za tako mali broj uredjaja ?
Nakucaj u access listu mac adrese i zavrsi odma sve.

Nema svrhe radius za tako mali broj korisnika/uredjaja ne dobijas prakticno nista samo komplikujes odrzavanje, da se tu radi od par AP, par desetina korisnika onda da ovako gubis vreme.
[ Kolins Balaban @ 24.06.2015. 15:32 ] @
Prvo, hocu da to podesim da radi, da znam kako ide. Drugo, hocu da pratim potrosnju. Trece, zar je ovdje potrebno ikakvo odrzavanje? :) podesi jednom, i prst u uho
[ npero @ 24.06.2015. 16:05 ] @
Accounting radi bez PPP ili HotSpot sa radijusom ? Nisam siguran proveri ti to.

Pracenje potrosnje na WiFi mozes da radis tako sto skupljas podatke koristeci API ili SNMP samo treba sedeti napisati softver koji to radi. Ja na primer tako prikupljam podatke o potrosnji svake MAC adrese sa WiFi za statistike i interfejsa, pored toga prikupljam podatke jacina signala, kvalitet, napone na uredjajima radi statistike i pracenja. Vidis da li dolazi do promena u jacini signala radi detekcije kvarova, napone na uredjajima radi pracenja duzine trajanja rada na UPS, stanja baterija. Prikupljam i temprature sa uredjaja ali jos nisam nasao nek svrhu za njih :).
Iz ovih podataka racunas dnevni, nedeljni, mesecni... protok, srednje brzine vec sta ti padne na pamet, crtas grafike...

Svasta nesto moze i bez radijusa a sto nije autentifikacija nego statistika.


[ Kolins Balaban @ 24.06.2015. 19:18 ] @
Ovaj screenshoot kaze da bi to trebalo raditi :) samo sto sam ja testirao i checkirao sam samo authentifikaciju

https://www.dropbox.com/s/sydd...2015-06-23%2000.23.55.png?dl=0
[ Kolins Balaban @ 25.06.2015. 08:11 ] @
Pozdrav raji. Rijesio sam problem. Nanovo sam iskonfigurisao router. Iz konfiguracije je izbacen bridge i korisnici na LAN interfejsima i WLAN interfejsu su odvojeni u razlicite subnete. Authentifikacija preko MAC adrese radi korektno.