О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

WEP-12AC Radius

WEP-12ac, WOP-12ac, WOP-12ac-LR, WB-1P-LR, SoftWLC
Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

WEP-12AC Radius

Сообщение Tamahome » 10 мар 2016 15:37

Настроил wpa-enterprise, работает, но заинтересовали атрибуты:
Attr-26.35265.13 = 0x6f6666696365
и
Attr-26.35265.17 = 0x30
Attr-26.35265.18 = 0x30
Attr-26.35265.19 = 0x30
Attr-26.35265.20 = 0x30
Attr-26.35265.21 = 0x30

Есть ли в них смысловая нагрузка?

Код: Выделить всё

Thu Mar 10 10:00:56 2016
   Acct-Session-Id = "DHWGDYW82HD43D"
   Acct-Status-Type = Start
   Acct-Authentic = RADIUS
   User-Name = "mytestusername"
   Attr-26.35265.13 = 0x6f6666696365
   NAS-IP-Address = 192.168.10.6
   NAS-Port = 0
   Called-Station-Id = "#bmac#:#ssid#"
   Calling-Station-Id = "#mac#"
   NAS-Port-Type = Wireless-802.11
   Connect-Info = "CONNECT 0Mbps 802.11g"
   Event-Timestamp = "Mar 10 2016 10:00:56 MSK"
   Acct-Unique-Session-Id = "788c597c79ef63596958dd63819a7844"
   Timestamp = 1457593256

viktoriya
Сообщения: 71
Зарегистрирован: 29 июл 2015 16:28
Reputation: 0
Откуда: Элтекс

Re: WEP-12AC Radius

Сообщение viktoriya » 10 мар 2016 16:28

Attr-26.35265.13 - ATTRIBUTE Eltex-Domain
Attr-26.35265.17 - ATTRIBUTE Eltex-Acct-Input-Packets-Drop
Attr-26.35265.18 - ATTRIBUTE Eltex-Acct-Output-Packets-Drop
Attr-26.35265.19 - ATTRIBUTE Eltex-Acct-Input-Bytes-Drop
Attr-26.35265.20 - ATTRIBUTE Eltex-Acct-Output-Bytes-Drop
Attr-26.35265.21 - ATTRIBUTE Eltex-Acct-Output-Packet-Lost
Кравчук Виктория / Элтекс / Сервисный центр БШПД / techsupp@eltex.nsk.ru

Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

Re: WEP-12AC Radius

Сообщение Tamahome » 10 мар 2016 16:59

Спасибо.
А можно получить полный Словарь RADIUS-атрибутов для eltex ?

Ну и хотелось бы выдеть уровень сигнала в accounting
А то сейчас там ходит только Connect-Info = "CONNECT 0Mbps 802.11g", который не соответствует действительности.



И еще вопрос, почему в Accounting, для пользователей вида DOMAIN\user.name в атрибуте User-Name точка шлет мак клиента?

Код: Выделить всё

(565) Received Access-Request Id 175 from 192.168.10.7:45252 to 10.5.0.5:1812 length 236
(565)   User-Name = "DOMAIN\\user.name"
(565)   NAS-IP-Address = 192.168.10.7
(565)   NAS-Port = 0
(565)   Called-Station-Id = "A8-F9-4B-B0-56-02:KTK-OFFICE"
(565)   Calling-Station-Id = "34-02-86-E2-B5-D5"
(565)   Framed-MTU = 1400
(565)   NAS-Port-Type = Wireless-802.11
(565)   Connect-Info = "CONNECT 0Mbps 802.11g"
(565)   EAP-Message = 0x0[#cut]
(565)   Attr-26.35265.13 = 0x6f6666696365
(565)   State = 0x2[#cut]
(565)   Message-Authenticator = 0x[#cut]
(565) Login OK: [DOMAIN\user.name/<via Auth-Type = EAP>] (from client wifiap port 0 cli 34-02-86-E2-B5-D5)
(565) Sent Access-Accept Id 175 from 10.5.0.5:1812 to 192.168.10.7:45252 length 0
(565)   MS-MPPE-Recv-Key = 0x[#cut]
(565)   MS-MPPE-Send-Key = 0x[#cut]
(565)   EAP-Message = 0x03040004
(565)   Message-Authenticator = 0x00000000000000000000000000000000
(565) Finished request
Waking up in 4.9 seconds.



Код: Выделить всё

(566) Received Accounting-Request Id 176 from 192.168.10.7:53675 to 10.5.0.5:1813 length 169
(566)   Acct-Session-Id = "03588852-00050117"
(566)   Acct-Status-Type = Start
(566)   Acct-Authentic = RADIUS
(566)   User-Name = "340286e2b5d5"
(566)   Attr-26.35265.13 = 0x6f6666696365
(566)   NAS-IP-Address = 192.168.10.7
(566)   NAS-Port = 0
(566)   Called-Station-Id = "A8-F9-4B-B0-56-02:KTK-OFFICE"
(566)   Calling-Station-Id = "34-02-86-E2-B5-D5"
(566)   NAS-Port-Type = Wireless-802.11
(566)   Connect-Info = "CONNECT 0Mbps 802.11g"
(566) # Executing section preacct from file /etc/raddb/sites-enabled/default

viktoriya
Сообщения: 71
Зарегистрирован: 29 июл 2015 16:28
Reputation: 0
Откуда: Элтекс

Re: WEP-12AC Radius

Сообщение viktoriya » 11 мар 2016 15:55

RADIUS-атрибуты, используемые в точках доступа:

User-Name - имя пользователя
Cleartext-Password - пароль пользователя в открытом виде, оператор :=, тип check
Eltex-User-Deactivated - используется для деактивации пользователя. Точка его никогда не присылает, потому добавление этого атрибута пользователю блокирует его, оператор ==, тип check
Simultaneous-Use Максимальное число одновременных подключений с этой учетной записи. От 1 , оператор :=, тип check
Calling-Station-Id MAC-адрес устройства пользователя.
Должно соответствовать формату MAC-адреса (6 двухзначных hex-чисел, разделенных дефисами - или двоеточиями :).
С помощью этого атрибута можно ограничиваться список клиентских устройств, которые могут подключаться с этой учетной записью.
Разрешенные/запрещенные SSID (регулярное выражение; оператор =~ для белого списка или !~ для черного). Оператор:
== для одного значения.
=~ для белого списка (регулярное выражение)
!~ для черного
Тип check
Called-Station-Id Разрешенные/запрещенные SSID. Оператор аналогично предыдущему. Тип check
WISPr-Bandwidth-Max-Down Max Bandwidth Down: [0..1363148800] bps
Максимальная скорость полосы пропускания входящего трафика в битах в секунду, оператор =, тип reply
WISPr-Bandwidth-Max-Up Max Bandwidth Up: [0..1363148800] bps
Максимальная скорость полосы пропускания исходящего трафика в битах в секунду, оператор =, тип reply
LVL7-Wireless-Client-Policy-Down Profile Policy Down
Policy профиль для приема данных для абонента, не более 253 символов оператор =, тип reply
LVL7-Wireless-Client-Policy-Up Profile Policy Up
Policy профиль для приема данных для абонента, не более 253 символов оператор =, тип reply
Session-Timeout Session timeout, seconds оператор =, тип reply
Tunnel-Type Протокол туннелирования
Используется значение 13 оператор =, тип reply
Tunnel-Medium-Type Транспорт при создании туннеля для тех протоколов, которые могут работать на нескольких транспортах
Используется значение 6 оператор =, тип reply
Tunnel-Private-Group-Id Идентификатор VLAN [0..253], оператор =, тип reply
Eltex-Additional-Vlans Дополнительные VLAN [0..253]
Идентификаторы указываются через запятую (,). Разрешено до 9-ти идентификаторов для пользователя , оператор =, тип reply
Кравчук Виктория / Элтекс / Сервисный центр БШПД / techsupp@eltex.nsk.ru

Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

Re: WEP-12AC Radius

Сообщение Tamahome » 11 мар 2016 16:02

Спасибо, так намного интереснее.

А для ограничения полосы по "WISPr-Bandwidth-Max-Down Max Bandwidth Down/Up" точка использует полисер или шейпер?

Ну и вопрос, "почему в Accounting, для пользователей вида DOMAIN\user.name в атрибуте User-Name точка шлет мак клиента?" актуален.

viktoriya
Сообщения: 71
Зарегистрирован: 29 июл 2015 16:28
Reputation: 0
Откуда: Элтекс

Re: WEP-12AC Radius

Сообщение viktoriya » 11 мар 2016 16:13

Tamahome писал(а):Ну и вопрос, "почему в Accounting, для пользователей вида DOMAIN\user.name в атрибуте User-Name точка шлет мак клиента?" актуален.

На ТД случайно не настроен Mac auth Radius?
Кравчук Виктория / Элтекс / Сервисный центр БШПД / techsupp@eltex.nsk.ru

viktoriya
Сообщения: 71
Зарегистрирован: 29 июл 2015 16:28
Reputation: 0
Откуда: Элтекс

Re: WEP-12AC Radius

Сообщение viktoriya » 11 мар 2016 16:19

Tamahome писал(а):А для ограничения полосы по "WISPr-Bandwidth-Max-Down Max Bandwidth Down/Up" точка использует полисер или шейпер?


ТД использует шейпер
Кравчук Виктория / Элтекс / Сервисный центр БШПД / techsupp@eltex.nsk.ru

Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

Re: WEP-12AC Radius

Сообщение Tamahome » 11 мар 2016 16:57

viktoriya писал(а):На ТД случайно не настроен Mac auth Radius?


Нет, "MAC Auth Type" отключен.
К этому же SSID подключается пользователь без домена, у него User-Name нормальный.

Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

Re: WEP-12AC Radius

Сообщение Tamahome » 30 мар 2016 19:53

Добрый день?
Как там насчет решения проблемы?

Если логин вида Domain\user.name в аккаунтинге точка шлет mac адрес в атрибуте User-Name
Если логин без домена просто user.name то в аккаунтинге все ок.

viktoriya
Сообщения: 71
Зарегистрирован: 29 июл 2015 16:28
Reputation: 0
Откуда: Элтекс

Re: WEP-12AC Radius

Сообщение viktoriya » 31 мар 2016 09:05

Tamahome писал(а):Добрый день?
Как там насчет решения проблемы?

Если логин вида Domain\user.name в аккаунтинге точка шлет mac адрес в атрибуте User-Name
Если логин без домена просто user.name то в аккаунтинге все ок.


Добрый день!
Проблемой занимаемся.
Для более полного анализа ситуации снимите дамп с ТД в момент авторизации на Radius-сервере, а также при отправке аккаунтигна для пользователя DOMAIN\\user.name
Кравчук Виктория / Элтекс / Сервисный центр БШПД / techsupp@eltex.nsk.ru

Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

Re: WEP-12AC Radius

Сообщение Tamahome » 31 мар 2016 12:20

Пример: (имя пользователя заменено, на такое-же по кол-ву символов)

Код: Выделить всё

(467) Received Access-Request Id 142 from 192.168.10.7:49345 to 10.5.0.5:1812 length 203
(467)   User-Name = "KTKTelecom\\usern.familiazhko"
(467)   NAS-IP-Address = 192.168.10.7
(467)   NAS-Port = 0
(467)   Called-Station-Id = "A8-F9-4B-B0-56-02:KTK-OFFICE"
(467)   Calling-Station-Id = "60-57-18-9A-81-34"
(467)   Framed-MTU = 1400
(467)   NAS-Port-Type = Wireless-802.11
(467)   Connect-Info = "CONNECT 0Mbps 802.11g"
(467)   EAP-Message = 0x020400061900
(467)   Attr-26.35265.13 = 0x6f6666696365
(467)   State = 0x6157c76e6253dee528dd3b7223127221
(467)   Message-Authenticator = 0x760350041373834cc5fd23efc919f9ae
(467) session-state: No cached attributes
(467) # Executing section authorize from file /etc/raddb/sites-enabled/default
(467)   authorize {
(467)     policy filter_username {
(467)       if (!&User-Name) {
(467)       if (!&User-Name)  -> FALSE
(467)       if (&User-Name =~ / /) {
(467)       if (&User-Name =~ / /)  -> FALSE
(467)       if (&User-Name =~ /@.*@/ ) {
(467)       if (&User-Name =~ /@.*@/ )  -> FALSE
(467)       if (&User-Name =~ /\.\./ ) {
(467)       if (&User-Name =~ /\.\./ )  -> FALSE
(467)       if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(467)       if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(467)       if (&User-Name =~ /\.$/)  {
(467)       if (&User-Name =~ /\.$/)   -> FALSE
(467)       if (&User-Name =~ /@\./)  {
(467)       if (&User-Name =~ /@\./)   -> FALSE
(467)     } # policy filter_username = notfound
(467)     [preprocess] = ok
(467)     [chap] = noop
(467)     [mschap] = noop
(467)     [digest] = noop
(467) ntdomain: Checking for prefix before "\"
(467) ntdomain: Looking up realm "KTKTelecom" for User-Name = "KTKTelecom\usern.familiazhko"
(467) ntdomain: Found realm "KTKTelecom"
(467) ntdomain: Adding Stripped-User-Name = "usern.familiazhko"
(467) ntdomain: Adding Realm = "KTKTelecom"
(467) ntdomain: Authentication realm is LOCAL
(467)     [ntdomain] = ok
(467) eap: Peer sent EAP Response (code 2) ID 4 length 6
(467) eap: Continuing tunnel setup
(467)     [eap] = ok
(467)   } # authorize = ok
(467) Found Auth-Type = EAP
(467) # Executing group from file /etc/raddb/sites-enabled/default
(467)   authenticate {
(467) eap: Expiring EAP session with state 0xd036688cd1347129
(467) eap: Finished EAP session with state 0x6157c76e6253dee5
(467) eap: Previous EAP request found for state 0x6157c76e6253dee5, released from the list
(467) eap: Peer sent packet with method EAP PEAP (25)
(467) eap: Calling submodule eap_peap to process data
(467) eap_peap: Continuing EAP-TLS
(467) eap_peap: Peer ACKed our handshake fragment
(467) eap_peap: [eaptls verify] = request
(467) eap_peap: [eaptls process] = handled
(467) eap: Sending EAP Request (code 1) ID 5 length 633
(467) eap: EAP session adding &reply:State = 0x6157c76e6552dee5
(467)     [eap] = handled
(467)   } # authenticate = handled
(467) Using Post-Auth-Type Challenge
(467) Post-Auth-Type sub-section not found.  Ignoring.
(467) # Executing group from file /etc/raddb/sites-enabled/default
(467) Sent Access-Challenge Id 142 from 10.5.0.5:1812 to 192.168.10.7:49345 length 0
(467)   EAP-Message = 0x0105027919002e63726c300d06092a864886f70d01010b050003820101000cd543a5645371bb1bec63d67266a11f8cce372ca12b542ed183f83146208efb198fedd140fb7a5a7503ffbf8acbc8792673b25a72519a427294e51dcd1f4db194114cc2e9bc9fd92a2026cc9fc4a4e8c517f467068a379c23
(467)   Message-Authenticator = 0x00000000000000000000000000000000
(467)   State = 0x6157c76e6552dee528dd3b7223127221
(467) Finished request




(470) Received Accounting-Request Id 225 from 192.168.10.6:59064 to 10.5.0.5:1813 length 264
(470)   Acct-Session-Id = "21BDA126-17B6BD85"
(470)   Framed-IP-Address = 192.168.13.19
(470)   Acct-Status-Type = Stop
(470)   Acct-Authentic = RADIUS
(470)   User-Name = "6057189a8134"
(470)   Attr-26.35265.13 = 0x6f6666696365
(470)   NAS-IP-Address = 192.168.10.6
(470)   NAS-Port = 0
(470)   Called-Station-Id = "A8-F9-4B-B0-76-E2:KTK-OFFICE"
(470)   Calling-Station-Id = "60-57-18-9A-81-34"
(470)   NAS-Port-Type = Wireless-802.11
(470)   Connect-Info = "CONNECT 0Mbps 802.11g"
(470)   Acct-Session-Time = 836
(470)   Acct-Input-Packets = 4603
(470)   Acct-Output-Packets = 6603
(470)   Acct-Input-Octets = 971453
(470)   Acct-Output-Octets = 5495953
(470)   Framed-IP-Address = 192.168.13.19
(470)   Attr-26.35265.17 = 0x30
(470)   Attr-26.35265.18 = 0x30
(470)   Attr-26.35265.19 = 0x30
(470)   Attr-26.35265.20 = 0x30
(470)   Attr-26.35265.21 = 0x313436
(470)   Acct-Terminate-Cause = User-Request
(470) # Executing section preacct from file /etc/raddb/sites-enabled/default
(470)   preacct {
(470)     [preprocess] = ok
(470)     policy acct_unique {
(470)       if ("%{string:Class}" =~ /ai:([0-9a-f]{32})/i) {
(470)       EXPAND %{string:Class}
(470)          -->
(470)       if ("%{string:Class}" =~ /ai:([0-9a-f]{32})/i)  -> FALSE
(470)       else {
(470)         update request {
(470)           EXPAND %{md5:%{User-Name},%{Acct-Session-ID},%{%{NAS-IPv6-Address}:-%{NAS-IP-Address}},%{NAS-Identifier},%{NAS-Port-ID},%{NAS-Port}}
(470)              --> 5d27dee10e51befe45150a6dadb103d3
(470)           &Acct-Unique-Session-Id := 5d27dee10e51befe45150a6dadb103d3
(470)         } # update request = noop
(470)       } # else = noop
(470)     } # policy acct_unique = noop
(470) ntdomain: Checking for prefix before "\"
(470) ntdomain: No '\' in User-Name = "6057189a8134", looking up realm NULL
(470) ntdomain: No such realm "NULL"
(470)     [ntdomain] = noop
(470)     [files] = noop
(470)   } # preacct = ok
(470) # Executing section accounting from file /etc/raddb/sites-enabled/default
(470)   accounting {
(470) detail: EXPAND /var/log/radius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/detail-%Y%m%d
(470) detail:    --> /var/log/radius/radacct/192.168.10.6/detail-20160331
(470) detail: /var/log/radius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/detail-%Y%m%d expands to /var/log/radius/radacct/192.168.10.6/detail-20160331
(470) detail: EXPAND %t
(470) detail:    --> Thu Mar 31 09:16:39 2016
(470)     [detail] = ok
(470)     [unix] = ok
(470) sql: EXPAND %{tolower:type.%{%{Acct-Status-Type}:-none}.query}
(470) sql:    --> type.stop.query
(470) sql: Using query template 'query'
rlm_sql (sql): Reserved connection (1)
(470) sql: EXPAND %{User-Name}
(470) sql:    --> 6057189a8134
(470) sql: SQL-User-Name set to '6057189a8134'
(470) sql: EXPAND UPDATE radacct SET AcctStopTime = TO_TIMESTAMP(%{integer:Event-Timestamp}), AcctUpdateTime = TO_TIMESTAMP(%{integer:Event-Timestamp}), AcctSessionTime = COALESCE(%{%{Acct-Session-Time}:-NULL}, (%{integer:Event-Timestamp} - EXTRACT(EPOCH FROM(AcctStartTime)))), AcctInputOctets = (('%{%{Acct-Input-Gigawords}:-0}'::bigint << 32) + '%{%{Acct-Input-Octets}:-0}'::bigint), AcctOutputOctets = (('%{%{Acct-Output-Gigawords}:-0}'::bigint << 32) + '%{%{Acct-Output-Octets}:-0}'::bigint), AcctTerminateCause = '%{Acct-Terminate-Cause}', FramedIPAddress = NULLIF('%{Framed-IP-Address}', '')::inet, ConnectInfo_stop = '%{Connect-Info}' WHERE AcctUniqueId = '%{Acct-Unique-Session-Id}' AND AcctStopTime IS NULL
(470) sql:    --> UPDATE radacct SET AcctStopTime = TO_TIMESTAMP(1459404999), AcctUpdateTime = TO_TIMESTAMP(1459404999), AcctSessionTime = COALESCE(836, (1459404999 - EXTRACT(EPOCH FROM(AcctStartTime)))), AcctInputOctets = (('0'::bigint << 32) + '971453'::bigint), AcctOutputOctets = (('0'::bigint << 32) + '5495953'::bigint), AcctTerminateCause = 'User-Request', FramedIPAddress = NULLIF('192.168.13.19', '')::inet, ConnectInfo_stop = 'CONNECT 0Mbps 802.11g' WHERE AcctUniqueId = '5d27dee10e51befe45150a6dadb103d3' AND AcctStopTime IS NULL
(470) sql: Executing query: UPDATE radacct SET AcctStopTime = TO_TIMESTAMP(1459404999), AcctUpdateTime = TO_TIMESTAMP(1459404999), AcctSessionTime = COALESCE(836, (1459404999 - EXTRACT(EPOCH FROM(AcctStartTime)))), AcctInputOctets = (('0'::bigint << 32) + '971453'::bigint), AcctOutputOctets = (('0'::bigint << 32) + '5495953'::bigint), AcctTerminateCause = 'User-Request', FramedIPAddress = NULLIF('192.168.13.19', '')::inet, ConnectInfo_stop = 'CONNECT 0Mbps 802.11g' WHERE AcctUniqueId = '5d27dee10e51befe45150a6dadb103d3' AND AcctStopTime IS NULL
rlm_sql_postgresql: Status: PGRES_COMMAND_OK
rlm_sql_postgresql: query affected rows = 1
(470) sql: SQL query returned: success
(470) sql: 1 record(s) updated
rlm_sql (sql): Released connection (1)
(470)     [sql] = ok
(470)     [exec] = noop
(470) attr_filter.accounting_response: EXPAND %{User-Name}
(470) attr_filter.accounting_response:    --> 6057189a8134
(470) attr_filter.accounting_response: Matched entry DEFAULT at line 12
(470)     [attr_filter.accounting_response] = updated
(470)   } # accounting = updated
(470) Sent Accounting-Response Id 225 from 10.5.0.5:1813 to 192.168.10.6:59064 length 0
(470) Finished request
(470) Cleaning up request packet ID 225 with timestamp +569
Waking up in 3.4 seconds.

Tamahome
Сообщения: 50
Зарегистрирован: 12 янв 2016 13:30
Reputation: 0

Re: WEP-12AC Radius

Сообщение Tamahome » 20 окт 2016 13:47

Проблема кстати была видимо решена в Firmware Version: 1.6.5.19, так как после обновления не проявляется.


Вернуться в «Оборудование беспроводного доступа»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей