Mikrotik + IPoE

Обмен накопленными знаниями и опытом использования АСР LANBilling
megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Mikrotik + IPoE

Сообщение megahertz » 21 ноя 2018, 20:06

Всем Привет форумчане
Пытаюсь поднять IPoE с lanbilling на Mikrotik. Пользуюсь документацией https://www.lanbilling.ru/mikrotik_ipoe_mac пользователю(судя по активным хостам на MikroTik) выдаются адерса, но не те, что описаны в настройках сети абонента на биллинге т.е скорее всего адреса выдаются из пула созданного на MikroTik(в примере на сайте также выбран локальный пул микротика), и lanbilling тут совсем не причем, а нужно наоборот.
Схема: ПК - mikrotik - lanbilling
MikroTik настроен согласно документации, за исключением выставленных pool в servers hotspot и user profile т.к абонентам хочу выдавать адреса через "настройки сети" у абонента в биллинге
экспорт конфигурации:

Код: Выделить всё

/ip hotspot profile
add html-directory=hotspotmacwithoutpass login-by=mac name=IPoE radius-interim-update=5m use-radius=yes
/ip hotspot
add disabled=no idle-timeout=1d interface=ether12 keepalive-timeout=5m name=IPoE-hotspot profile=IPoE
/ip hotspot user profile
set [ find default=yes ] add-mac-cookie=no transparent-proxy=yes
add add-mac-cookie=no !mac-cookie-timeout name=IPoE_proff session-timeout=1d transparent-proxy=yes


на биллинге создан агент, настроен по примерам из вложения и согласно документации с lanbilling. Конфигурация сети для абонента также во вложении.


Что делаю не так? если кто-то сталкивался с подобной реализацией, то прошу натолкнуть на решение вопроса
Вложения
4.png
2.png
1.png

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 21 ноя 2018, 20:33

аха, все таки если указать внутренний пул то абонент авторизуется при установленной связке мак+ип в биллинге, но адрес почему то получает не тот, что установлен в учетке биллинга, а тот что в пуле на микротике. Если мак-адрес в биллинге поменять на отличный, то пользователь авторизоваться не может.
Плюс если делать по документации тариф, то queues создается с unlimited а не с установленным скоростным ограничением.

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 22 ноя 2018, 07:17

двигаюсь дальше...queues на mikrotik для авторизованного пользователя создаются согласно ограничению в тарифу, но как заставить биллинг давать абоненту адреса которые присвоены в настройках сети учетной записи...
ап..кто-то сталкивался? если да, то подскажите в какую сторону копать

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 22 ноя 2018, 18:59

продолжу эпопею, оказалось что адрес на ПК который я использовал в качестве клиента использовал статический адрес, и как следствие микротик и биллинг показывали какую то фигню, устранил этот косяк и теперь в логе lbarcd вижу следующее

Код: Выделить всё

22.11.2018 18:59:31.432828 VERBOSE  LWP2169 [src/radius_base.cpp:57] ============== UDP packet #1 received from 10.0.0.1, size: 116 ==============
22.11.2018 18:59:31.433044 VERBOSE  LWP2169 [src/radius_record.cpp:109] Access-Request (1), id: 0x15, length: 116
22.11.2018 18:59:31.433062 VERBOSE  LWP2169 [src/radius_record.cpp:127] Authenticator: ec892254181be96ddb7f43385ca44476
22.11.2018 18:59:31.433072 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "NAS-Port-Type", value: "15"
22.11.2018 18:59:31.433091 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "NAS-Port", value: "2199912469"
22.11.2018 18:59:31.433101 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "Calling-Station-Id", value: "1:34:ee:0:0:45:6"
22.11.2018 18:59:31.433114 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "Called-Station-Id", value: "dhcp1"
22.11.2018 18:59:31.433120 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "User-Name", value: "34:EE:00:00:45:06"
22.11.2018 18:59:31.433128 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "Password", value: "09d9a20a43f89bd3f01983a34e89de3d"
22.11.2018 18:59:31.433202 VERBOSE  LWP2169 [src/radius_record.cpp:205] User-Password = ""
22.11.2018 18:59:31.433207 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "NAS-Identifier", value: "bras"
22.11.2018 18:59:31.433213 VERBOSE  LWP2169 [src/radius_record.cpp:132] Attribute "NAS-IP-Address", value: "10.0.0.1"
22.11.2018 18:59:31.433222 VERBOSE  LWP2169 [src/radius_packet.cpp:75] NAS IP replaced to 10.0.0.1 from NAS-Ip-Address


затем чуть ниже:

Код: Выделить всё

2.11.2018 18:59:31.434248 ERROR    LWP2166 [src/radius.cpp:522] Missing attribute Acct-Session-Id
22.11.2018 18:59:31.434293 DEBUG    LWP2166 [src/radius_packet.cpp:883] Starting authentication
22.11.2018 18:59:31.434299 DEBUG    LWP2166 [src/radius_packet.cpp:895] NAS authenticate method 'mac'
22.11.2018 18:59:31.434307 VERBOSE  LWP2166 [src/radius_packet.cpp:624] Trying to authorize user by MAC username='34:EE:00:00:45:06' mac=1:34:ee:0:0:45:6


почему в поле mac биллинг видит читает мак в таком виде когда в username он читает его верно? не исключаю что винда(это клиент) может отправлять что-то от себя в таком формате, но...как это лечить?

пробую авторизовать в гостевой сети:

Код: Выделить всё

LWP2418 [src/radius.cpp:2226] Client IP/Netmask: 9.9.9.254/255.255.255.255, ANI: "1:34:ee:0:0:45:6"
LWP2418 [src/radius.cpp:558] Blocked user '34:EE:00:00:45:06' accepted within guest network
LWP2418 [src/radius.cpp:637] Access-Accept, <34:EE:00:00:45:06>, {bind mac '1:34:ee:0:0:45:6' not found}
LWP2418 [src/radius.cpp:641] =============== Output attributes dump: ===============
LWP2418 [src/radius.cpp:735] Attribute "Session-Timeout", value: "86400"
LWP2418 [src/radius.cpp:740] Attribute "Service-Type", value: "2"
LWP2418 [src/radius.cpp:744] Attribute "Framed-Protocol", value: "1"
LWP2418 [src/radius.cpp:755] Attribute "Framed-IP-Address", value: "9.9.9.254"
LWP2418 [src/radius.cpp:775] Attribute "Framed-IP-Netmask", value: "255.255.255.255"
VERBOSE  LWP2418 [src/radius.cpp:785] Attribute "Class", value: "d346801c-185a-40cf-b531-cdd285685f1c/0"
LWP2418 [src/radius.cpp:828] Attribute "Acct-Interim-Interval", value: "60"
LWP2418 [src/radius.cpp:835] SessionId is empty. Auth session created based on attribute 'Class'.

как видим юзер авторизовался

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 22 ноя 2018, 20:48

в общем да...похоже lanbilling при авторизации по мак пытается авторизоваться по связке username + mac где в username - получает мак адрес клиента, а в mac - получает client id вида 1:34:ee:0:0:45:6 и как следствие биллинг говорит что ничего не знает про такой мак, и соответственно не авторизует юзера.
Коллеги, возможно это как то исправить или обойти?

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 25 ноя 2018, 16:39

вариантов нет? никто не сталкивался с подобным поведением?

Аватара пользователя
dereiff
Сообщения: 11
Зарегистрирован: 18 окт 2012, 09:56
Откуда: Ярославль

Re: Mikrotik + IPoE

Сообщение dereiff » 28 ноя 2018, 09:43

megahertz писал(а):в общем да...похоже lanbilling при авторизации по мак пытается авторизоваться по связке username + mac где в username - получает мак адрес клиента, а в mac - получает client id вида 1:34:ee:0:0:45:6 и как следствие биллинг говорит что ничего не знает про такой мак, и соответственно не авторизует юзера.
Коллеги, возможно это как то исправить или обойти?


Вы скажите лучше, вы читали статью которую указали в самом первом сообщении? Там явно нарисовано, что в схеме должен использоваться DHCP сервер. А судя по вашим скриншотам настроек и логам, Вы DHCP запросы транслируете в RADIUS.
Что касается того как биллинг пытается авторизовать - в руководстве по эксплуатации ясно написано следующее
MAC-адрес - стандартный атрибут Calling-Station-Id или нестандартный (VSA) Mac-Addr;

У вас в этом атрибуте значится "1:34:ee:0:0:45:6", согласитесь, мало похоже на MAC адрес. И это не винда что-то от себя отправляет, это DHCP процесс на mikrotik так записывает идентификатор.
Полагаю стоит перечитать статью, сделать всё как там написано, с LBinet и DHCP-Relay на mikrotik и будет Вам счастье.

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 28 ноя 2018, 19:26

не совсем так, адрес сейчас выдается billing'ом, а именно не через штатный dhcp-сервер, а ручной установкой в учетной записи пользователя. Т.е я создал две сети, одну 11.11.11.0/24 и 9.9.9.0/24 (все для теста), первый должен выдаться при успешной авторизации, а второй при блокировке. Сейчас же пользователь авторизуется под вторым пулом, этого пула нет на MikroTik.

>MAC-адрес - стандартный атрибут Calling-Station-Id или нестандартный (VSA) Mac-Addr;
как правильно заменить calling-station-id на VSA? потому что именно в нем передается нужный мне мак-адрес?

Попробую повторно по статье...

megahertz
Сообщения: 25
Зарегистрирован: 13 окт 2015, 14:36

Re: Mikrotik + IPoE

Сообщение megahertz » 29 ноя 2018, 19:57

>как правильно заменить calling-station-id на VSA?
так и не понял как использовать Mac-Addr вместо Calling-Station-Id, в документации тоже не нашел. Лайфхак со сменой позиции в "номер/Vsa" и перезапуск lbarcd результата никакого не дал, биллинг по прежнему хочет Calling-Station-Id.
Я догадываюсь что пользователи не работали с подобной связкой, но представители биллинга же писали статью, и как то она у них заработала(правда?), они бывают в этом разделе форума?
кстати тест строго по описанной статье также не завелся. Если таки саппорт зайдет в эту ветку, прошу проверить статью на работоспособность.

Аватара пользователя
dereiff
Сообщения: 11
Зарегистрирован: 18 окт 2012, 09:56
Откуда: Ярославль

Re: Mikrotik + IPoE

Сообщение dereiff » 30 ноя 2018, 10:51

megahertz писал(а):не совсем так, адрес сейчас выдается billing'ом, а именно не через штатный dhcp-сервер, а ручной установкой в учетной записи пользователя. Т.е я создал две сети, одну 11.11.11.0/24 и 9.9.9.0/24 (все для теста), первый должен выдаться при успешной авторизации, а второй при блокировке. Сейчас же пользователь авторизуется под вторым пулом, этого пула нет на MikroTik.

>MAC-адрес - стандартный атрибут Calling-Station-Id или нестандартный (VSA) Mac-Addr;
как правильно заменить calling-station-id на VSA? потому что именно в нем передается нужный мне мак-адрес?

Попробую повторно по статье...


Вот именно, что в вашем случае вы пытаетесь выдать IP адрес через RADIUS, это четко видно по логам. Но hotspot в mikrotik так не работает. У абонента уже должен быть сформированный IP транспорт, т.е. он либо должен получить IP по DHCP (от LBinet, что и описано в статье), либо этот IP адрес должен быть настроен на его устройстве вручную статически. RADIUS лишь разрешает hotspot выпустить такого абонента в интернет

Для чего вам замена calling-station-id на VSA? А тем более на какой из VSA? судя по вашим логам, никаких VSA содержащих MAC не приходит.


Вернуться в «LANBilling: обмен опытом»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя