Comentários sobre: Entendendo o funcionamento do FreeRadius e fazendo autenticações PPPoE, Hotspot e Wireless PSK/EAP (Lab Mikrotik/Ubiquiti)

Por: Leosdc_

Leosdc_ — Tue, 09 Jul 2024 12:00:53 +0000

Opa, tudo bem?

Vi que usou apenas Cleartext-Password, que é inseguro. Conseguimos com MD5-Password realizar a mesma autenticação Wireless?

Por: Leandro

Leandro — Thu, 06 Apr 2023 06:33:45 +0000

Boa noite, eu vi no radiusnet se não me engano, uma função onde o radius deles aceita conexões com usuario/senha invalidos e jogam essas conexoes para uma address-list com nome por exemplo “usuarios_invalidos” nome só de exemplo, com isso não enxe o log no mikrotik por exemplo com falhas de conexões, é possivel fazer isso ?
Pensei em criar um script php pra buscar as conexoes no banco de dados com status de reject e inserir no mysql, mas se tiver como fazer isso direto pelo radius seria bem legal

Por: Pedro

Pedro — Tue, 30 Aug 2022 01:08:49 +0000

Boa noite Rumidar

Em primeiro lugar quero felicitar pelo exelente tutorial, segui os passos em um servidor ubuntu 20.04 e funcionou 100%, fiz umas pequenas alteracões, estou usando o NAS table pra conectar com o radius do mikrotik, pra isso tive que desabilitar o clients.conf dentro do radius.conf e setar o restante da config no arquivo default.conf

Consigo autenticar 100% e navegar tranquilo, porém só está armazenando os logs no radipool de entrada hora e data de conexão etc.. no radacct não está armazenando os dados na tabela radacct quando o usuário desconecta e autentica de novo, queria efetuar o armazenamento desses dados e estatisticas, sabe informar se tem que executar mais algum passo ? ou deveria efetuar os logs automáticamente?

na seccão accounting tenho salvo lá sql e detail como manda no manual do freeradius mas não está logando, no debug freeradius -X eu consigo ver o modulo carregando a inforamcão da tabela radacct

# Loading module “sql” from file /etc/freeradius/3.0/mods-enabled/sql.conf
sql {
driver = “rlm_sql_mysql”
server = “localhost”
port = 3306
login = “radius”
password = <<>>
radius_db = “radius”
read_groups = yes
read_profiles = yes
read_clients = yes
delete_stale_sessions = yes
sql_user_name = “%{User-Name}”
logfile = “/var/log/freeradius/radacct/sql.log”
default_user_profile = “”
client_query = “SELECT id, nasname, shortname, type, secret, server FROM nas”
authorize_check_query = “SELECT id, username, attribute, value, op FROM radcheck WHERE username = ‘%{SQL-User-Name}’ ORDER BY id”
authorize_reply_query = “SELECT id, username, attribute, value, op FROM radreply WHERE username = ‘%{SQL-User-Name}’ ORDER BY id”
authorize_group_check_query = “SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = ‘%{SQL-Group}’ ORDER BY id”
authorize_group_reply_query = “SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = ‘%{SQL-Group}’ ORDER BY id”
group_membership_query = “SELECT groupname FROM radusergroup WHERE username = ‘%{SQL-User-Name}’ ORDER BY priority”
simul_count_query = “SELECT COUNT(*) FROM radacct WHERE username = ‘%{SQL-User-Name}’ AND acctstoptime IS NULL”
simul_verify_query = “SELECT radacctid, acctsessionid, username, nasipaddress, nasportid, framedipaddress, callingstationid, framedprotocol FROM radacct WHERE username = ‘%{SQL-User-Name}’ AND acctstoptime IS NULL”
safe_characters = “@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-_: /”
auto_escape = no
accounting {
reference = “%{tolower:type.%{%{Acct-Status-Type}:-%{Request-Processing-Stage}}.query}”
type {
accounting-on {
query = “UPDATE radacct SET acctstoptime = FROM_UNIXTIME(%{integer:Event-Timestamp}), acctsessiontime = ‘%{integer:Event-Timestamp}’ – UNIX_TIMESTAMP(acctstarttime), acctterminatecause = ‘%{%{Acct-Terminate-Cause}:-NAS-Reboot}’ WHERE acctstoptime IS NULL AND nasipaddress = ‘%{NAS-IP-Address}’ AND acctstarttime <= FROM_UNIXTIME(%{integer:Event-Timestamp})"
}
accounting-off {
query = "UPDATE radacct SET acctstoptime = FROM_UNIXTIME(%{integer:Event-Timestamp}), acctsessiontime = '%{integer:Event-Timestamp}' – UNIX_TIMESTAMP(acctstarttime), acctterminatecause = '%{%{Acct-Terminate-Cause}:-NAS-Reboot}' WHERE acctstoptime IS NULL AND nasipaddress = '%{NAS-IP-Address}' AND acctstarttime <= FROM_UNIXTIME(%{integer:Event-Timestamp})"
}
start {
query = "INSERT INTO radacct (acctsessionid, acctuniqueid, username, realm, nasipaddress, nasportid, nasporttype, acctstarttime, acctupdatetime, acctstoptime,acctsessiontime, acctauthentic, connectinfo_start, connectinfo_stop, acctinputoctets, acctoutputoctets, calledstationid, callingstationid, acctterminatecause, servicetype, framedprotocol, framedipaddress, framedipv6address, framedipv6prefix, framedinterfaceid, delegatedipv6prefix) VALUES ('%{Acct-Session-Id}', '%{Acct-Unique-Session-Id}', '%{SQL-User-Name}', '%{Realm}', '%{NAS-IP-Address}', '%{%{NAS-Port-ID}:-%{NAS-Port}}', '%{NAS-Port-Type}', FROM_UNIXTIME(%{integer:Event-Timestamp}), FROM_UNIXTIME(%{integer:Event-Timestamp}), NULL, '0', '%{Acct-Authentic}', '%{Connect-Info}', '', '0', '0', '%{Called-Station-Id}', '%{Calling-Station-Id}', '', '%{Service-Type}', '%{Framed-Protocol}', '%{Framed-IP-Address}', '%{Framed-IPv6-Address}', '%{Framed-IPv6-Prefix}', '%{Framed-Interface-Id}', '%{Delegated-IPv6-Prefix}')"
}
interim-update {
query = "UPDATE radacct SET acctupdatetime = (@acctupdatetime_old:=acctupdatetime), acctupdatetime = FROM_UNIXTIME(%{integer:Event-Timestamp}), acctinterval = %{integer:Event-Timestamp} – UNIX_TIMESTAMP(@acctupdatetime_old), acctstoptime = NULL, framedipaddress = '%{Framed-IP-Address}', framedipv6address = '%{Framed-IPv6-Address}', framedipv6prefix = '%{Framed-IPv6-Prefix}', framedinterfaceid = '%{Framed-Interface-Id}', delegatedipv6prefix = '%{Delegated-IPv6-Prefix}', acctsessiontime = %{%{Acct-Session-Time}:-NULL}, acctinputoctets = '%{%{Acct-Input-Gigawords}:-0}' << 32 | '%{%{Acct-Input-Octets}:-0}', acctoutputoctets = '%{%{Acct-Output-Gigawords}:-0}' << 32 | '%{%{Acct-Output-Octets}:-0}' WHERE AcctUniqueId = '%{Acct-Unique-Session-Id}'"
}
stop {
query = "UPDATE radacct SET acctstoptime = FROM_UNIXTIME(%{integer:Event-Timestamp}), acctsessiontime = %{%{Acct-Session-Time}:-NULL}, acctinputoctets = '%{%{Acct-Input-Gigawords}:-0}' << 32 | '%{%{Acct-Input-Octets}:-0}', acctoutputoctets = '%{%{Acct-Output-Gigawords}:-0}' << 32 | '%{%{Acct-Output-Octets}:-0}', acctterminatecause = '%{Acct-Terminate-Cause}', connectinfo_stop = '%{Connect-Info}' WHERE AcctUniqueId = '%{Acct-Unique-Session-Id}'"
}
}
}
post-auth {
reference = ".query"
logfile = "/var/log/freeradius/post-auth.sql"
query = "INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( '%{SQL-User-Name}', '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S')"
}
}
rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked

porém não está logando os dados.. alguma dica a ser verificada nas configs?

Por: Ramon

Ramon — Tue, 19 Jul 2022 13:24:40 +0000

Qual comando para desconectar o PPPoE? Exemplo ele está online, e quero derrubar para que reconecte…

Por: Rui Bernardes Pereira

Rui Bernardes Pereira — Tue, 20 Jul 2021 12:33:29 +0000

Top mais uma vez os tutoriais. gostaria de saber, em caso de um problema na rede com o servidor radius da rede, gostaria de criar um que aceita todas as requisições que ele receber. Poderia me informar aonde configuro para ele aceitar todas as requisições que receber?

Por: Criando um servidor de autenticação com FreeRadius no Debian 10 Buster (Extra sqlippool) - Remontti

Wed, 19 May 2021 17:20:42 +0000

[…] seja um tempo menor, para não ter duplicidades de ips. Falo sobre isso no tutorial https://blog.remontti.com.br/4085 recomendo a […]

Por: Anderson

Anderson — Sun, 09 May 2021 14:26:59 +0000

Como sempre TOP seus artigos. Uma dúvida, como desconectar o usuário no concentrador automaticamente após exclui-lo da tabela radcheck. Sem fazer manualmente no concentrador?

Por: Eder Zavoli

Eder Zavoli — Sat, 27 Mar 2021 20:08:56 +0000

Primeiro ótimo artigo, muito didático!
Segundo, gostaria de contribuir, no meu caso adicionei o atributo Framed-IPv6-Pool, pois assim será possível enviar a pool para a WAN do cliente (roteador).

Algo como:
INSERT INTO `radreply` (`id`, `username`, `attribute`, `op`, `value`) VALUES
(NULL, ‘jose@provedor.com’, ‘Framed-IPv6-Pool’, ‘=’, ‘nome_da_pool6’);

Por: Rudimar Remontti

Rudimar Remontti — Thu, 18 Feb 2021 23:33:00 +0000

Em resposta a Paulo Roberto Tomasi. Sim, basta vc prender eles nos "grupos de permissões" que só deixa ele logar (não discar um pppoe por ex)

Por: Paulo Roberto Tomasi

Paulo Roberto Tomasi — Fri, 12 Feb 2021 14:52:51 +0000

Excelente artigo!

Estou começando os estudos aqui, utilizando daloRADIUS como frontend para gerenciar os inserts/removes/updates no MySQL, achei mais fácil que o terminal do Linux rss

Mas… conforme você disse, ao inserir um novo NAS é mandatório entrar no Linux no reiniciar o serviço do FreeRADIUS (se bem que já sugeriram um código PHP para reiniciar o serviço através do daloRADIUS, parece interessante)

Uma dúvida: é possível utilizar o mesmo servidor FreeRADIUS para controlar os acessos ao Winbox (usuários Read, Write, Full) e também para autenticar clientes PPPoE/Hotspot/Wireless?

Por: Rudimar Remontti

Rudimar Remontti — Tue, 20 Oct 2020 16:50:06 +0000

Em resposta a Wesley.

https://networkradius.com/doc/3.0.10/raddb/mods-available/logintime.html

Por: Wesley

Wesley — Tue, 20 Oct 2020 13:42:21 +0000

Em resposta a Thiago Lima. No meu caso gostaria de saber se e possivel determinar horarios para autenticacao ! Exemplo : Jose so pode logar das 08:00 as 17:00 Joao das 09:00 as 19:00'

Por: Thiago Lima

Thiago Lima — Wed, 19 Aug 2020 19:12:25 +0000

Olá, tudo bem? Queria agradecer pelo post, show de bola!! =D

E queria fazer uma pergunta, uma vez vi em algum lugar que é possível setar velocidades diferentes para os planos em horários específicos. Por exemplo: das 1-7hrs da manhã o PLANO_X terá 100m/200m e nos outros horários ele tem 50m/100m.

Isso é possível via Radius ou é necessário outra ferramenta?

Att

Por: Walisson Gois

Walisson Gois — Tue, 19 May 2020 14:04:41 +0000

Ola, bom dia meu amigo, Tudo na paz ? Queria lhe fazer uma pergunta e avaliar uma possibilidade. É possível o servidor radius autenticar o usuario em um router e em outro router fazer o controle de banda ?

Por: Rudimar Remontti

Rudimar Remontti — Mon, 06 Apr 2020 18:29:14 +0000

Em resposta a Sergio Souza. Obrigado Sergio. Sempre fiz o cálculos com essa tabelinha aqui. Testei em bancada e funciona 100%

INSERT INTO `radreply` (`id`, `username`, `attribute`, `op`, `value`) VALUES
(NULL, 'jose@provedor.com', 'Mikrotik-Rate-Limit', ':=', '10M/50M 20M/100M 10M/50M 120/120 0');

Por: Sergio Souza

Sergio Souza — Mon, 06 Apr 2020 12:57:26 +0000

Artigo excelente Remontti, como todos os outros. Só queria fazer um pequeno alerta sobre o comentário a respeito do Burst.

[quote]E se a velocidade utilizar Burst? Exemplo você quer mandar no seu plano de de 10Mb Up/50Mb Down, uma experiencia que por 1 minuto ele tenha o dobro da velocidade.[/quote]

Conceitualmente o Burst não funciona dessa forma por ser estatístico. ( ref.: https://wiki.mikrotik.com/wiki/Manual:Queues_-_Burst ).
Normalmente em todos sistemas ele segue esse padrão estatístico.

Desta forma o tempo de burst em si é um tempo T qualquer até que uma próxima rodada do algorítimo encontrar um valor de Burst Threshold igual ou maior que o Max Limit (CIR), onde o Burst Limit é cancelado e passa a vigorar apenas o Max Limit.
No Mikrotik RouterOS o tempo entre as rodadas do algorítimo é o 1/16 do Burst Time.