Userman Radius usuários Simultaneos em Torres Diferentes

Pessoal,

Estou com uma bronca daquelas.
Primeiro vou mostrar a topologia da Rede para que fique fácil entendimento.

Anexo 19615

Então o Servidor lá, o Gateway, tem toda Base do Radius e os usuarios vão buscar seus
parametros la. ''HOTSPOT, Login, USE RADIUS"

Dai vem pro problema.... Se o Cliente ''joao'' senha ''123'' esta em CRONOS e conecta. OK ele autentica e navega. O hotspot so deixa 1 usuario por vez no perfil Default.

Mas... Se ele der a senha pra outra pessoa que nao conecte em CRONOS mas em APOLO, o HOTSPOT é outro já, e o RADIUS não entende que já tem 1 CONECTADO ele so entrega os parametros dos usuários.

Resumindo, pessoal esta conectando com mesmo usuário em Torres diferentes.

Quem tiver uma sugestão eu agradeço.

Não tenho experiencia em Radius.

Mais ele não checa pra ver se o usuario ja esta autenticado, para que nao tenha duplicidade?

Então o USERMAN so checa os parametros dos usuarios e entrega (rate limite, uptime limite, transf limit)

Quem percebe se existe usuarios simultaneos é o HOTSPOT.

Ai esta o problemas, eu tenho 3 TORRES = 3 HOTSPOTs

E apenas 1 Banco de Dados.

Para resolver isso eu teria q ter um RADIUS para cada torre. Mas assim o meu Servidor CORE ficaria sem utilidade.

Ja que ele RODA, Radius, NTP Server, DNS Server, entre outros...

Esperimenta amarrar o mac ao usuario e senha.
Qual radius vc usa?
User manager mikrotik?

user manager do mikrotik, mas como amarra mac ao usuario e senha ?

eu nao achei essa opcao.

Seria ideal que deixasse que o Radius verificasse a quantidade de logins simultâneos.

Outras opções seriam usar os atributos:
NAS-Port-Id
Simultaneous-Use

Não vi a opcao q vc citou amigo.

Citação:

---

Postado originalmente por pitagoras

Seria ideal que deixasse que o Radius verificasse a quantidade de logins simultâneos.

Outras opções seriam usar os atributos:
NAS-Port-Id
Simultaneous-Use

---

teria como eu fazer isso usando o USERMAN (Radius do proprio mikrotik)

No arquivo ../raddb/sql.conf existem as duas consultas SQL que verificam a quantidade de logins simultâneos, que são:

simul_count_query =
simul_verify_query =

E para habilitar essa checagem se faz necessário que habilite no ../raddb/radius.conf
a verificação via SQL, deixando conforme linha abaixo:

session {
# radutmp
# See "Simultaneous Use Checking Querie" in sql.conf
sql
}


Após esses passos use na tabela radcheck a checagem por login:
id UserName Attribute op Value
1 fulano Simultaneous-Use := 1
1 fulano Password == 123

Caso queira fazer por grupo use as tabelas radgroupcheck e usergroup.

Espero que tenha entendido.

Já que a idéia e centralizar o controle de usuários através de cadastros via banco de dados integrado com o radius, não vejo porque se fazer controle nos routeros (mikrotiks), quando todo gerenciamento pode ser feito através do radius.

Outras formas de utilizar o radius para melhorar a segurança de acesso na sua rede seria usandoo radius para checagem dos parâmetros para autenticação via:
WPA-PSK, NasPortId, Simultaneous-Use.

Vou tentar criar um PDF ilustrando os passos e postarei aqui.

ok, obrigado, estou aguardando.

Lembrando amigo q o USERMAN é o Radius do Mikrotik

Suporta essas funções ?

Citação:

---

Postado originalmente por pitagoras

Já que a idéia e centralizar o controle de usuários através de cadastros via banco de dados integrado com o radius, não vejo porque se fazer controle nos routeros (mikrotiks), quando todo gerenciamento pode ser feito através do radius.

Outras formas de utilizar o radius para melhorar a segurança de acesso na sua rede seria usandoo radius para checagem dos parâmetros para autenticação via:
WPA-PSK, NasPortId, Simultaneous-Use.

Vou tentar criar um PDF ilustrando os passos e postarei aqui.

---

Bacana amigo....tenho curiosidade em trabalhar com o radius em paralelo mais ainda não tive tempo de entender como ele funciona.

Se puder fazer este materia, com certeza sera de grande ajuda a todos aqui do forum.
Se for o caso, crie um novo tópico.
abraços

aguardando sugestao do amigo

Estou correndo para concluir alguns serviços... semana que vem estarei disponibilizando um material mostrando como implantar concentrador pppoe usando o FreeBSD + FreeRADIUS + Apache + Mysql + djbdns + Lusca-Head + RouterOS(mikrotik), incluindo um gerenciador com cadastro de planos com e sem burst, cadastro de clientes, cadastro de contratos e lançamentos automatizados das mensalidades nas contas a receber a partir do prazo estabelecido no contrato. Mas só na próxima semana.

Citação:

---

Postado originalmente por pitagoras

Estou correndo para concluir alguns serviços... semana que vem estarei disponibilizando um material mostrando como implantar concentrador pppoe usando o FreeBSD + FreeRADIUS + Apache + Mysql + djbdns + Lusca-Head + RouterOS(mikrotik), incluindo um gerenciador com cadastro de planos com e sem burst, cadastro de clientes, cadastro de contratos e lançamentos automatizados das mensalidades nas contas a receber a partir do prazo estabelecido no contrato. Mas só na próxima semana.

---

Bacana....mais o Radius que você diz ja é integrado em um sistema de gestao de clientes ou é apenas o server com o FreeRadius?

abraços

Será um server com o freeradius, a criação dos planos com e sem burts, o controle de usuários simultanâeos, serão controlados pelo FreeRadius. Já o sistema de gestão que faz toda manipulação dos dados é de minha autoria e estarei disponibilizando gratuitamente.

Quem já possuir o ambiente: PHP + MYSQL + FreeRadius instalado, enviarei o schema do banco de dados para funcionamento correto do sistema de gestão, que funciona junto com as tabelas do radius (radcheck, usergroup e etc).

então esse Radius do MikrotikOS o ''Userman'' não serve para o que eu desejo fazer?

LeoAlmeida, eu posso até estar enganado, mas não conheço no routeros como fazer esse controle.

Basta você deixar Radius (concentrador) assuma o seu papel, controlando a quantidade de logins simultâneos.

Dê uma verficada nos arquivos sql.conf, radiusd.conf

Opa amigo... não sei se vc conhece o userman (radius) proprietario do Mikrotik
Mas ele é totalmente WEB. No RouterOS vc so configura para o HOTSPOT pegar o banco de dados de la.

Vc conhece o Userman ?

Pelo menos no userman, nao existe como ''editar arquivos'' ate onde eu conheco. E não vi nenhuma opcao de usuario simultaneos.

Pelo que sei do Usermanager, aparentemente ele seria ideal para controle de ambientes publicos.....como hoteis onde você faz controle e cria contas em batch process.

Acho que a solução pro Leo seria melhor usar o freeradius mesmo.

pois é... o USERMAN não tem controle sobre usuários simultaneos

e tem cliente conectando em mais de uma torre... com mesma senha.

Tava meio ocupado esses dias,mas vamos lá.
No userman do mikrotik tem sim como amarrar o mac dos usuarios, se vc estiver usando a versão 3.xx ou 4.xx
Vá em terminal e lá vc digita >>>
\tool user-manager user set usuario caller-id="aqui vc coloca o mac do cliente sem aspas"
E se vc quizer amarrar o seu usuario em uma torre é simples coloque um nome na pool da torre que ele conecta e no user manager onde vc adiciona usuario lá em POOL NAME vc coloca o nome do pool que vc colocou na torre de onde ele conecta assim ele só conectará naquela torre.

amigo, muito boa sua sugestao, vou testa-la... mas o pool q vc diz.. é o pool de ip q o hotspot usa ?

Sim amigo é ele mesmo.

Citação:

---

Postado originalmente por LeoAlmeida

amigo, muito boa sua sugestao, vou testa-la... mas o pool q vc diz.. é o pool de ip q o hotspot usa ?

---

a solucao do MAC acho q nao resolve para mim pois o userman fica em outro servidor e nao na propria RB q os clientes conectam, estou errado ? seria interessante amarrar pelo MAC

vou tentar o POOL

Amigo, testei o POOL, funcionou do jeito que eu queria !!! Muito bom, se encaixou perfeitamente a minha topologia. O MAC creio que nao se encaixe mas ainda vou pensar.

Citação:

---

Postado originalmente por pitagoras

No arquivo ../raddb/sql.conf existem as duas consultas SQL que verificam a quantidade de logins simultâneos, que são:

simul_count_query =
simul_verify_query =

E para habilitar essa checagem se faz necessário que habilite no ../raddb/radius.conf
a verificação via SQL, deixando conforme linha abaixo:

session {
# radutmp
# See "Simultaneous Use Checking Querie" in sql.conf
sql
}


Após esses passos use na tabela radcheck a checagem por login:
id UserName Attribute op Value
1 fulano Simultaneous-Use := 1
1 fulano Password == 123

Caso queira fazer por grupo use as tabelas radgroupcheck e usergroup.

Espero que tenha entendido.

---

Caro Pitagoras.

Quando coloca fulano Simultaneous-Use := 1 na tabela radcheck o cliente não consegue autenticar nenhuma vez. segue o log
Tue Apr 10 23:05:36 2012 : Auth: Multiple logins (max 1) [MPP attempt]:
Olha o meu freeradius2 esta com o dialup.conf

# Uncomment simul_count_query to enable simultaneous use checking
simul_count_query = "SELECT COUNT(*) \
FROM ${acct_table1} \
WHERE username = '%{SQL-User-Name}' \
AND acctstoptime IS NULL"


simul_verify_query = "SELECT radacctid, acctsessionid, username, \
nasipaddress, nasportid, framedipaddress, \
callingstationid, framedprotocol \
FROM ${acct_table1} \
WHERE username = '%{SQL-User-Name}' \
AND acctstoptime IS NULL"

Seria mais ou menos esta opção que vc procura,
esta é da versão 4.17
Anexo 34724

Citação:

---

Postado originalmente por charles_aracati

Seria mais ou menos esta opção que vc procura,
esta é da versão 4.17
Anexo 34724

---

Sim.
Mais de que sistema e essa dela?

flon,

Executa a limpeza da tabela radacct e tente novamente, pois, segundo o log o login já está conectado por isso a mensagem: Auth: Multiple logins (max 1) [MPP attempt]:

Caso queira se certificar que esse é realmente o problema, altere o valor 1 para 5 por exemplo.
Ex. Simultaneous-Use := 5

Espero que dê certo!

Citação:

---

Postado originalmente por pitagoras

flon,

Executa a limpeza da tabela radacct e tente novamente, pois, segundo o log o login já está conectado por isso a mensagem: Auth: Multiple logins (max 1) [MPP attempt]:

Caso queira se certificar que esse é realmente o problema, altere o valor 1 para 5 por exemplo.
Ex. Simultaneous-Use := 5

Espero que dê certo!

---

Já coloquei :=2 e outros valores, tambem deu o mesmo erro.
Outra sugestão?