radius + hotspot

[mktguaruja]

Boa tarde pessoal, estou com uma dificuldade de fazer o usuario criado no radius autenticar no mikrotik.

Eu segui esse tutorial porém não instalei o chillspot.

Linux: Hotspot com Ubuntu Server 11.04 32-Bits [Artigo]

E no mikrotik segui o tutorial
Radius com HOTSPOT - MK-AUTH

Porém eu nao consigo autenticar, alguem pode da uma força?

[caicarabruno]

Boa TArde!

Você configurou o Radius do mikrotik ??

Aqui MK-AUTH - MANUAL REDE E RADIUS

Abraços

[Danusio]

antes de prosseguir, você testou a autenticação do usuario no linux usando o comando

radtest usuário03 user03 127.0.0.1:1812 0 testing123 (ou a senha criada no radius)


Sending Access-Request of id 74 to 127.0.01:1812
User-Name = "usuário03"
User-Password = "user03"
NAS-IP-Address = 192.168.1.20
NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=74, length=20

?

[mktguaruja]

sim sim Danusio, da certinho...

[Danusio]

Vá em radius e configure conforme a figura abaixo, a senha é á do radius testing123 ou a que você configurou nele.







Depois vá em Server profiles do hotspot, click 2 vezes no profile e configure como está na figura abaixo.

[mktguaruja]

Cara ta configurado assim mesmo, porém ele da o seguinte log.

hotspot,info,debug net (10.5.50.253): login failed: no chap for http-chap login method
hotspot,info,debug net (10.5.50.253): trying to log in by http-chap
hotspot,info,debug net (10.5.50.253): login failed: RADIUS server is not responding

[mktguaruja]

Minhas outra duvida seria no NAS do daloradius,

A NAS eu tenho que colocar o IP do servidor mikrotik certo, no caso eu coloquei meu ip publico da interface da internet, ou tenho que colocar o ip do hotspot?

Abs.

[Danusio]

você tem que colocar o ip do mikrotik, se não, não estará autorizado no radius.
Então vai ser este seu problema, altere para o ip do mikrotik e teste.

[mktguaruja]

No caso o ip do mikrotik que você diz é o que está ligado a minha interface internet certo?

Pois estou usando ip diferente, tipo o do radius é publico vamos usar como exemplo 187.21.100.100

E do mikrotik é 189.4.125.125 ...

No caso eu declaro esse da interface internet no NAS do daloradius?

[Danusio]

você vai colocar então o ip 189.4.125.125 que é o que está configurado no mikrotik.

Quando o mikrotik solicitar permissão ao radius, ele vai chegar no radius com o ip configurado na ether dele

[mktguaruja]

tbm tentei e continua dando o mesmo erro, será que o problema seria que estou usando link diferente....preciso redirecionar alguma porta ?

Tipo o freeradius ta ligado direto a um router de ip fixo com um segmento de ip diferente do mikrotik...


Da mesma maneira que ta conectado o mikrotik, a outro router com outro segmento distinto de ip....

Os ambiente hj que temos em producao hj é o webmikrotik que é hospedado no uol, sera que tenho que fazer algo para redirecionar porta ? Alguma NAT?

[Danusio]

Radius é: 187.21.100.100
mikrotik é: 189.4.125.125

então vá no linux e pinga para o microtik e veja se tem respostas
ping 189.4.125.125

caso não tenha respostas, este não é o ip que está configurado no mikrotik

Lembrando que o cabo de rede do Radius tem que está ligado na porta lan do mikrotik onde está configurado o ip 189.4.125.125.

[mktguaruja]

Então esse que é problema Danusio, o meu freeradius não pode ficar ligado diretamente ao mikrotik. No caso eu queria autentincar o freeradius a distancia.

O cenario que queria montar é o seguinte. Vou deixa um rb em um assinante onde ele tem um serviço de banda larga qualquer, e ele vai autenticar no meu freeradius localizado aqui na empresa.

[Danusio]

se é para autenticação externa, você terá que redirecionar as portas 1812 e 1813 para o server do radius.

[mktguaruja]

Cara obrigado pela força mais no caso eu terei que redicionar essa porta no mikrotik ?

[mktguaruja]

No caso para redirecionar a porta, eu vi no site do Pedro Filho essa regra.
Ta correta?

/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"REDIRECIONAMENTO DE PORTA 1812 PARA MK-AUTH" disabled=no \
dst-address=IP VÁLIDO DO MK dst-port=1812 protocol=tcp to-addresses=\
172.31.255.2 to-ports=1812
add action=dst-nat chain=dstnat comment=\
"REDIRECIONAMENTO DE PORTA 1813 PARA MK-AUTH" disabled=no \
dst-address=IP VÁLIDO DO MK dst-port=1813 protocol=tcp to-addresses=\
172.31.255.2 to-ports=1813

[Danusio]

Sim, se sua internet entra no Mikrotik e o mikrotik libera para o servidor radius
terá que liberar a porta para ele.
Segue regra abaixo.


add action=dst-nat chain=dstnat comment="" disabled=yes dst-port=1812 \
in-interface=ether1 protocol=tcp to-addresses=187.21.100.100 to-ports=1812

add action=dst-nat chain=dstnat comment="" disabled=yes dst-port=1813 \
in-interface=ether1 protocol=tcp to-addresses=187.21.100.100 to-ports=1813

in-interface=ether1 é a porta por onde você recebe a internet, se for outra você altera na regra.

[Danusio]

sim a regra do pedro filho está correta, basta colocar o ip do server radius.

[mktguaruja]

Danusio muito obrigado pela força, porém mudei totalmente o projeto. Tirei o freeradius, e coloquei somente o mysql e php. Rodei no servidor o php e mysql, e na routerboard somente as telas de hotspot no modo trial. Depois eu fiz os arquivos de conexao, e validaçao e uma especie de malling, para a empresa. Depois eu faço uma verificao em php tbm no banco para ver se o mesmo foi cadastrado, assim que o cara insere todos os dados na pagina principal ele gera uma senha randomica, que é enviado para o celular, depois entra na tela do hotspot trial, onde eu comparo a senha que ele digito recebida no celular com a senha do banco, ai libero o acesso dele por 30 minutos.

Vlw pela força abs.

[damon]

Cara esquece hotspot - Veja o link abaixo

Discador com Certificado de Seguran