здравствуйте, freeradius не выдает ip ни через ippool , ни через Framed-IP-Address. Пользователи подключаются к вафлям обычным(dir620) или к микротикам тоже по вафле.Подключаются но получают ip от DHCP сервера домена...настройка ippool в radiusd.conf
# ippool http://forum.nag.ru/forum/index.php?showtopic=55923
ippool main_pool {# range-start,range-stop: The start and end ip
# addresses for the ip pool
range-start = 192.168.1.115
range-stop = 192.168.1.125# netmask: The network mask used for the ip's
netmask = 255.255.252.0# cache-size: The gdbm cache size for the db
# files. Should be equal to the number of ip's
# available in the ip pool
cache-size = 1021# session-db: The main db file used to allocate ip's to clients
session-db = ${raddbdir}/db.ippool# ip-index: Helper db index file used in multilink
ip-index = ${raddbdir}/db.ipindex# override: Will this ippool override a Framed-IP-Address already set
override = no# maximum-timeout: If not zero specifies the maximum time in seconds an
# entry may be active. Default: 0
maximum-timeout = 0
}main_pool
post-auth {
# Get an address from the IP Pool.
main_pool
}
authorize{
files
preprocess
chap
mschap
eap
}
не выдаетчерез Framed-IP-Address тоже не выдает. Вот код из файла users.
test Cleartext-Password := "test123"
Service-Type = Framed-User,
Framed-Protocol == PPP,
Framed-IP-Address = 192.168.1.121,
Framed-IP-Netmask = 255.255.252.0,
Framed-Routing = Broadcast-Listen,
Framed-MTU = 1500,
Framed-Compression = Van-Jacobsen-TCP-IPв начале файла users так же есть
DEFAULT Pool-Name := main_pool
Fall-Through = Yes
В чем еще может проблема?
а кто тебе сказал что в 802.1x можно адрес выдавать с радиуса?
Там были огрызки чьего-то конфига с поскипаными блоками. Ты скопировал, не разобравшись.Начни сначала - http://www.netexpertise.eu/en/freeradius/ip-pools.html
Обрати внимание, что мужик пишет про криво работающий rlm_ippool. Проверь ещё раз - похоже, что он ставит lease timeout не в том конфиге.
да ну нах...
еще раз, для непонятливых - 802.1х не поддерживает выдачу IP-адресов.
> еще раз, для непонятливых - 802.1х не поддерживает выдачу IP-адресов.Для этого существует протокол DHCP. Который поддерживается FreeRADIUS.
Это да, но только нигде не указано, что его DHCP-сервер использует радиус.
Насколько понятно из топика, чел тупо пытается заставить получать адрес от 802.1x, не понимая что этот протокол для этого не предназначен.
> Это да, но только нигде не указано, что его DHCP-сервер использует радиус.
> Насколько понятно из топика, чел тупо пытается заставить получать адрес от 802.1x,
> не понимая что этот протокол для этого не предназначен.через Framed-IP-Address freeradius же заставляет выдать ip? я просто хочу чтобы клиенты цепляясь к вафлям получали ip в зависимости от логина-пароля. Средствами freeradius это можно реализовать
> через Framed-IP-Address freeradius же заставляет выдать ip? я просто хочу чтобы клиенты
> цепляясь к вафлям получали ip в зависимости от логина-пароля. Средствами freeradius
> это можно реализоватьНаписал ведь, ни один раз уже - НЕТ. еще раз повторяю - 802.1x не раздает ip-адреса. НЕ РАЗДАЕТ.
Перед тем как гнать хрень, которая пришла Вам в голову, по "чисто вашим" умозаключениям, неплохо бы почитать, что, собственно, вы собираетесь делать, уяснить, что можно а что нет, и почему.
Вот, вроде всё.ЗЫ: и да, freeradius вообще не выдает ничего, он не "выдавальщик", он "опознаватель". Ну, или, в вашем случае, было бы неплохо, выдать Вам по ушам :)
>> через Framed-IP-Address freeradius же заставляет выдать ip? я просто хочу чтобы клиенты
>> цепляясь к вафлям получали ip в зависимости от логина-пароля. Средствами freeradius
>> это можно реализовать
> Написал ведь, ни один раз уже - НЕТ. еще раз повторяю -
> 802.1x не раздает ip-адреса. НЕ РАЗДАЕТ.
> Перед тем как гнать хрень, которая пришла Вам в голову, по "чисто
> вашим" умозаключениям, неплохо бы почитать, что, собственно, вы собираетесь делать, уяснить,
> что можно а что нет, и почему.
> Вот, вроде всё.каким то же образом это реализуют, выдачу ip по логину паролю?есть же мануалы, люди это обсуждают. вот вырезка с этого же сайта по описанию про радиус...
если же данные пользователя верны, то сервер посылает NAS пакет "Доступ
разрешён", содержащий данные о сервисе(PPP, SLIP, login) и некоторые
специфические параметры сервиса, например, ip адрес, номер подсети, MTU для
PPP сервиса в виде пар параметр=значение(AV пар).
в файле users указывается через Framed-IP-Address какой ip будет у клиента. Каким то же образом это реализуется?
user1 Password = "testing", Expiration = "Dec 24 1995"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = *.*.*.*,
Framed-Routing = None,
Filter-Id = "std.ppp",
Framed-MTU = 1500,
Framed-Compression = Van-Jacobson-TCP-IP
В вашем случае это реализуется совершенно по другому, а то что вы прописали для юзера:
Framed-Protocol = PPP,
Framed-IP-Address = *.*.*.*,
ничего не дает.
То что вы видите, актуально, например, для pppoe или vpn.
Еще раз, для совсем обдолбанных - 802.1X не поддерживает выдачу IP-адресов.Вам что, сложно почитать документацию? Зачем приводить доводы не относящиеся к делу?
Разве с первого раза непонятно было?
> В вашем случае это реализуется совершенно по другому, а то что вы
> прописали для юзера:
> Framed-Protocol = PPP,
> Framed-IP-Address = *.*.*.*,
> ничего не дает.
> То что вы видите, актуально, например, для pppoe или vpn.
> Еще раз, для совсем обдолбанных - 802.1X не поддерживает выдачу IP-адресов.
> Вам что, сложно почитать документацию? Зачем приводить доводы не относящиеся к делу?
> Разве с первого раза непонятно было?хорошо, тогда каким образом реализовать выдачу ip адреса клиентам в зависимости от логина и пароля? подключающимся по вафле.
> хорошо, тогда каким образом реализовать выдачу ip адреса клиентам в зависимости от
> логина и пароля? подключающимся по вафле.Ну, тут, в Вашем случае, 2 варианта:
1. Начать наконец читать документацию, и через какое-то время, попытаться настроить самому.
2. Озвучить бюджет на всё это дело.
>> еще раз, для непонятливых - 802.1х не поддерживает выдачу IP-адресов.
> Для этого существует протокол DHCP. Который поддерживается FreeRADIUS.DHCP поддерживает только freeradius2
>[оверквотинг удален]
> Framed-Protocol == PPP,
> Framed-IP-Address = 192.168.1.121,
> Framed-IP-Netmask = 255.255.252.0,
> Framed-Routing = Broadcast-Listen,
> Framed-MTU = 1500,
> Framed-Compression = Van-Jacobsen-TCP-IP
> в начале файла users так же есть
> DEFAULT Pool-Name := main_pool
> Fall-Through = Yes
> В чем еще может проблема?как тут уже сказали, 802.1X никакого отношения к выдаче ip адреса не имеет. но зато, 802.1X вполне себе авторизует порт если это сети на коммутаторах или авторизует клиента wifi.
во втором случае для изоляции клиентов друг от друга используется назначение vlan'а по radius-ответу -- но оборудование wifi должно поддерживать dinamic vlan assgigment.
описано например сдесь
http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
https://wiki.openwrt.org/doc/howto/wireless.security.8021xесли задача сводится к тому, чтобы на определённый login/пароль назначался определённый ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот в свою очередь выдавал этому mac-адресу необходимый ip.
>[оверквотинг удален]
> на коммутаторах или авторизует клиента wifi.
> во втором случае для изоляции клиентов друг от друга используется назначение vlan'а
> по radius-ответу -- но оборудование wifi должно поддерживать dinamic vlan assgigment.
> описано например сдесь
> http://www.cisco.com/c/en/us/support/docs/wireless-mobility/...
> https://wiki.openwrt.org/doc/howto/wireless.security.8021x
> если задача сводится к тому, чтобы на определённый login/пароль назначался определённый
> ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать
> аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы,
> тот в свою очередь выдавал этому mac-адресу необходимый ip.благодарю, я хочу реализовать именно это(и в случае аутентификации передавать аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот в свою очередь выдавал этому mac-адресу необходимый ip).. У меня DHCP поднят на домене, ставил эти параметры в файле users, игнорирует. Есть какая нибудь статься где указанно что именно настроить для этого нужно?
>[оверквотинг удален]
>> https://wiki.openwrt.org/doc/howto/wireless.security.8021x
>> если задача сводится к тому, чтобы на определённый login/пароль назначался определённый
>> ip то можно воспользоваться услугами радиуса, и в случае аутентификации передавать
>> аттрибут Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы,
>> тот в свою очередь выдавал этому mac-адресу необходимый ip.
> благодарю, я хочу реализовать именно это(и в случае аутентификации передавать аттрибут
> Calling-Station-ID из access-request пакета на dhcp сервер, для того чтобы, тот
> в свою очередь выдавал этому mac-адресу необходимый ip).. У меня DHCP
> поднят на домене, ставил эти параметры в файле users, игнорирует. Есть
> какая нибудь статься где указанно что именно настроить для этого нужно?про файл users я уже читал, и множество раз было совершенно верно сказано что это тут совершенно не при чём.
мануал (если такое извращение кто-то и делал найдётся) в google, или google that for you?
в общем случае для невиндовозной сети делается простейший скрипт запускаемый radis'ом который апдейтит dhcp