Radius
V rámci zajištění univerzálního využití software pro správu internetové sítě je v systému ISPadmin plně integrována podpora ověřování klientů přes samostatný modul RADIUS.
O modulu
Modul Radius zajišťuje zejména:
- Ověřování jménem a heslem nebo přes MAC adresu
- Podpora HotSpot systému MikroTik / Podpora PPPoE
- Statistiky ověřovaných klientů
- Grafy přenosů na klienty
- Autorizace do WINbox nebo SSH
- Ověřování přístupů techniků do routerů MikroTik
Více informací naleznete na:
Pořízení
Jedná se o samostatný modul, který není součástí základní licence k systému, a pro jeho aktivaci je nezbytné zakoupení odpovídající licence. Pro bližší informace o možnostech aktivace či vyzkoušení modulu Radius kontaktujte obchodní oddělení na Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript..
Instalace modulu
Instalaci provádí technická podpora NET service solution, s.r.o. Nahrátí nové licence obsahující modul Radius provede na Vaši žádost technická podpora NET service solution, s.r.o. při instalaci modulu.
Pokud jste již Radius používali a potřebujete jej zprovoznit po migraci (reinstalaci) systému, pročtěte si tento návod.
Pokud instalujete Radius poprvé, je zapotřebí provést následující úkony pro zapnutí Radiusu:
Zjistit aktuální heslo do databáze příkazem:
cat /data/support/ispadmin/config/config.php |grep DBPASS
Zapsat zjištěné heslo do mysql do /etc/freeradius/sql.conf místo defaultního hesla isp123.
nano /etc/freeradius/sql.conf
# Connection info:
server = "localhost"
login = "ispadmin"
password = "isp123"
Editovat soubor /usr/share/freeradius/dictionary a podivat se, zda je tam řádek $INCLUDE dictionary.mikrotik. Pokud není, je třeba jej doplnit.
nano /usr/share/freeradius/dictionary
Restartovat Radius
/etc/init.d/freeradius restart
Nastavení ISPadmin pro ověřování klientů přes Radius
Přidání nového tarifu pro Radius
V Nastavení Tarify Internet vyberte typ klienta Radius, doplňte popis tarifu, zkratku a cenu. Rychlost u klienta bude nastavena podle hodnot v Download, Upload, Burst limit, Burst threshold, Burst time a Priority. Tarif přiřadíte klientovi při přidávání služby.
Atribut pro omezení rychlosti bude vytvořen automaticky podle nastavení rychlosti tarifu, máte však možnost si jeho parametry nastavit ručně přidáním atributu Mikrotik-Rate-Limit. Další atributy si můžete k tarifu přidat ručně, buď všem Radius klientům (v přehledu tarifů v Nastavení Tarify Internet klikněte na ) nebo konkrétnímu klientovi.
Pokud použijete u klienta tarif Neuveden, nastavené rychlosti se do konfigurace nepromítnou a je nutné si ručně u klienta přidat Radius parametr s požadovanou rychlostí. Proto doporučujeme tarif Neuveden používat pouze vyjímečně.
Konfigurace routeru pro práci s Radiusem
Nastavení routeru v ISPadmin
Při editaci routeru zaškrtněte Aktivovat Radius a vyplňte pole Heslo pro komunikaci s radiusem. Pokud je Radius na routeru již aktivován, je v hlavičce routeru zobrazeno hnědé tlačítko Radius. Po kliknutí na něj můžete zjistit dodatečné informace o Radiusu na tomto routeru (viz Popis routeru > Základní informace o routeru > RADIUS) jako počet aktivních a neaktivních klientů či klientů s neuvedeným routerem. Také můžete hromadně odemknout klienty zamknuté jen na vybraný router. Tatáž možnost existuje v Hardware Routery Radius Statistika účtů.
Nastavení na Mikrotiku
- Kliknutím na + vytvořte New Radius Server v menu Radius.
- Vyplňte následující parametry:
| Service | wireless (zaškrtněte i ppp, pokud je potřeba ověřovat služby PPPoE) * |
| Address | IP adresa systému ISPadmin |
| Secret | Heslo, které se uvádí v editaci konkrétního routeru jako Heslo pro komunikaci s radiusem. |
| Authentication Port | 1812 |
| Accounting Port | 1813 |
| Accounting Backup | no |
* U služby ppp na MikroTiku zaškrtněte Use Radius a Accounting v menu PPP > PPP Authentication & Accounting.
/ppp aaa print
use-radius: yes
accounting: yes
interim-update: 10s
Pak stačí mít u každého klienta služby typu Radius s patřičným tarifem. Službu PPPoE na Mikrotiku je třeba dále individuálně ladit podle profilu apod.
Ověřování techniků do routerů MikroTik přes Radius
Pokud máte v licenci povolen rozšiřující modul RADIUS (máte ho zakoupen) a máte ho správně nainstalován na serveru, můžete využívat funkcionalitu Mikrotik login - Ověřování techniků do routerů MikroTik přes RADIUS. To, jestli máte v licenci RADIUS povolený, si můžete snadno ověřit v Klienti Úvod, kde je uvedeno, zda je modul aktivní, či ne.
V praxi to znamená, že pro techniky není nutné na každém routeru vytvářet speciální účet pro přístup s příslušnými oprávněními. Také v případě, že například technik ukončí pracovní poměr, není nutné na všech routerech opět tento přístup rušit. Nyní se provede automatická konfigurace přístupu na RADIUS server, čímž se zpřístupní login pro techniky (přes WinBox, SSH atd. dle oprávnění). Odpadá tedy ruční konfigurace všech routerů a celý proces se výrazně urychlí.
Pro aktivaci managementu přístupu techniků do routerů je nutné nastavit v Nastavení Syst. nastavení Mikrotik klíč service_mikrotik_login na hodnotu 1. Tímto se aktivuje na všech routerech v systému přihlášení techniků přes RADIUS.
Pokud vytvoříte přístup na routery, tak příslušný administrátor má defaultně přístup na všechny routery.
V případě, že si nepřejeme, aby měl kdokoliv přístup na určitý router (například hlavní gateway nebo CORE router), tak je možné v Hardware Routery Všechny v nastavení tohoto routeru vypnout checkbox přihlášení techniků do routeru Mikrotik přes RADIUS. Pokud není tento checkbox zaškrtnut, tak na tento router není možné se přihlásit přes žádný účet definovaný v Nastavení Administrátoři Mikrotik login.
Pokud je vše nastaveno správně a na serveru je spuštěn RADIUS, tak systém automaticky na všech routerech aktivuje komunikaci s RADIUS serverem, nastaví příslušné skupiny pro přístup, protože oprávnění jednotlivých skupin musí být zapsána přímo v routerech a umožní přihlášení technikům dle oprávnění.
POZOR
Při použití ověřování techniků přes RADIUS je NUTNÉ zkontrolovat nastavení klíče server_ip v Nastavení Syst. nastavení Obecné. Zde musí být uvedena IP adresa serveru ISPadmin, která je dostupná ze všech routerů. Tato IP se nastaví do všech routerů jako IP adresa RADIUS serveru, takže pokud by byla nastavena chybně, tak přihlášení do routerů přes RADIUS nebude možné, protože přihlašovací proces se bude dotazovat neexistujícího RADIUS serveru.
Celý systém přihlašování techniků do routerů MikroTik je možný pouze v případě aktivovaného modulu RADIUS v systému ISPadmin. V opačném případě přihlášení NEBUDE funkční!
Funkčnost si můžete snadno ověřit přihlášením některého technika na jeden z routerů nebo prostřednictvím WinBoxu v menu Radius a v menu System / Users / Groups.
Skupiny
Na této stránce si můžete detailně definovat oprávnění jednotlivých skupin, které budete využívat pro management přístupu techniků k routerům. Do těchto skupin poté přiřadíte samotné uživatelé (techniky). Je možné si vytvořit neomezený počet skupin s rozdílnými oprávněními.
Novou skupinu můžete přidat kliknutím na + Přidat skupinu. Na stránce, která se objeví, si zadáte název skupiny a zvolíte oprávnění, která chcete dané skupině udělit. Tato oprávnění můžete následně měnit i v přehledu existujících skupin. U každé skupiny tam máte seznam oprávnění a jejich nastavení (
/ 
). Kliknutím na příslušnou ikonku toto nastavení změníte na opačné.
Na výběr máte následující oprávnění:
| local | Umožní přihlášení přes lokální konzoli |
|---|---|
| telnet | Umožní přihlášení přes telnet |
| ssh | Umožní přihlášení přes SSH |
| ftp | Umožní přihlášení přes FTP. Uživatel s tímto oprávněním může soubory číst, zapisovat i mazat. |
| reboot | Umožní provést reboot routeru |
| read | Oprávnění pouze pro čtení. Není možné provádět jakékoliv změny konfigurace. |
| write | Oprávnění pro modifikaci konfigurace mimo nastavení oprávnění pro user management (vytváření dalších uživatelských účtů pro přístup na router). Toto oprávnění neumožní čtení, takže je potřeba povolit i oprávnění read. |
| policy | Umožní nastavení dalších administrátorských účtů pro přístup k routeru |
| test | Umožní provádět ping, traceroute, bandwidth-test, wireless scan, sniffer a snooper |
| web | Umožní přihlášení přes web interface |
| winbox | Umožní přihlášení přes WinBox |
| password | Umožní změnu hesla u jednotlivých uživatelských účtů |
| sensitive | Umožní zobrazení "citlivých" informací, jako jsou hesla, wireless klíče atd. |
| api | Umožní přístup přes API |
| sniff | Umožní spouštět sniffer utility |
Kliknutím na 
můžete editovat již existující skupinu.
Kliknutím na 
můžete skupinu smazat.
Uživatelé
Přidat nového uživatele (technika) můžete kliknutím na + Přidat uživatele. Na stránce, která se objeví, zadáte přihlašovací jméno a heslo pro daného technika. Jelikož každý uživatel musí patřit do nějaké skupiny (prostřednictvím které jsou definována jeho oprávnění), tak ho do určité skupiny přiřadíte. Dále k němu můžete vložit libovolnou poznámku. Přidávání nového uživatele dokončíte kliknutím na Uložit.
Přehled již vložených uživatelů obsahuje následující informace: uživatel, skupina a poznámka.
Kliknutím na ikonu můžete editovat již existujícího uživatele.
Kliknutím na ikonu můžete uživatele smazat.
Příklady nastavení
PPPoE Server
| Nastavení IP adresy na eth1 - 192.168.1.112/24 | Nastavení defaultní brány- 192.168.1.1 | Vytvoření PPPoE profilu | Přidání bridge pro PPPoE |
 |
 |
 |
 |
| Přidání portů do bridge. PPPoE server bude poslouchat na bridge (eth2-5) nebo může poslouchat pouze na jednom portu a za něj můžete umístit switch pro připojení více klientů. | PPP / PPPoE Server - zapnutí PPPoE serveru na bridge_PPPoE s PPPoE profilem | Nastavení IP adresy a sítě na bridge | Nastavte NAT podle svých potřeb. Zde je použito 10.0.0.0/24. |
 |
 |
 |
 |
| V menu Action vyberte Masquerade. | V menu PPP > Secrets zaškrtněte Use Radius a nastavte 00:00:10 v Interim Update. | Menu Radius - 192.168.1.200 je IP adresa ISPadmin, kde běží Radius server a secret je heslo pro Radius komunikaci mezi Mikrotikem (Radius clientem) a ISPadmin (Radius serverem). Stejné heslo je vyplněno v nastavení routeru v ISPadmin. | |
 |
 |
 |
PPPoE Client
PPPoE client je nějaký Mikrotik, který má koncový klient doma a který se připojuje jako PPPoE client k Mikrotiku, který je PPPoE serverem. Nebo může být PPPoE client přímo PC s Windows a přihlašovací údaje pro PPPoE jsou vyplněny přímo ve Windows.
| Zapněte PPPoE clienta například na portu eth2. | Vyplňte uživatelské jméno a heslo pro autentifikaci přes Radius. Uživatelské jméno a heslo pro ověření přes Radius je uvedeno u klienta v jeho aktivní službě Internet. | Kontrola, že klient dostal IP, která mu byla nastavena v ISPadmin při přidávání aktivní služby (10.0.0.50/24) a že má defaultní bránu IP PPPoE serveru (10.0.0.1). |
 |
 |
 |
Postup v ISPadmin
- Přidejte router: Důležité je fungující spojení SSH, API a SNMP na router a radius password!
- Přidejte routovanou síť na router: Z tohoto subnetu budou ISPadminem nabízeny volné IP adresy při přidávání služby Internet a vybraná IP bude nastavena PPPoE clientovi.
- Vytvořte Radius tarif
- Přidejte klientovi službu Internet, typ Radius (Uvidíte IP adresu z routovaných sítí na Mikrotik routeru, která je klientovi přidělena.)
- V Hardware Routery Radius Statistika účtů můžete vidět statistiky připojení Radiusem ověřovaných klientů
- V Hardware Routery Radius Aktivní klienti může vidět, zda je konkrétní klient online.
Problémy s Radiusem
V případě problémů je dobré si Radius spustit v ladicím módu přímo z konzole.
Nejdříve vypněte běžící Radius příkazem:
/etc/init.d/freeradius stop
Poté zapněte Radius s výpisem do konzole:
freeradius -X
Zde se potom zobrazuje podrobný výpis komunikace. Tzn. požadavky na ověření a odpovědi serveru + případná chybová hlášení. Informace o ověření a době připojení jsou také přehledně viditelné v Hardware Routery Radius Log ověření.
Po ukončení ladění opět spusťte Radius příkazem:
/etc/init.d/freeradius start