Freeradius accounting

Neznam da li postavljam pitanje na pravo mesto ali evo:
Digao sam Freeradius na Suse 10.0 , u zelji da ga podesim da radi sa MT-om v3.1 . E sad , podesio sam ga na nacin opisan u jednom od sveprisutnih tutorijala za Freeradius+MySQL+mikrotik . Rezultat koji sam dobio je da MT vidi radius server tj. na MT-u vide se zahtevi i odgovori. MT proverava da li je user koji se loguje ima podatke kao u tabeli radcheck i na kon logovanja vrsi se unos u tabelu radpostauth . E sad problem je accounting tj nemam nikakav unos u tabelu radacct . Gledao sam gomilu tutorijala za ovo i radi prema njih 10 ak i dobijam uvijek isti rezultat.

Da li je neko ima ovakav problem? Zna li ko gde resim?????

Sta ti pokazuje ?

---

trebas da skines komentare ispred linije sql u radiusd.conf fajlu (dio vezan za accounting). Nakon toga restart radius-a i pokretanje u debug modu da vidis da li NAS uopste salje accounting pakete... Naravno na MT-u moras ukljuciti Account.

---

Ovako , prvo da probam objasniti sta mi ustvari radi Mikrotik. MT mi ustvari sada radi kao wireless hotspot a naravno Radius bi trebao da odradi stvar oko autorizacije i accounting-a .

Posto nemogu do veceras imati pristup celom MT-u , napisti cu ono sto mogu, tj da odgovorim na pitanja na koja mogu.

Moji izvori po kojima sam postavio MT:

1. http://wiki.mikrotik.com/wiki/RouterOs_MySql_Freeradius
2. http://wiki.mikrotik.com/wiki/..._use_with_MikroTik_-_By_Ramona

- U radius.conf omogucio sam sql tj skinuo koment , to sam vidio na stranici br.1 , definitivno da radius saradjuje sa MT-om
- Na MT-u, tacnije u Hotspot server profilu, postavio sam Accounting i postavio sam Interim update na 10 sekundi, dok sam NAS Port Type stavio na ethernet (probavao sam stavljati i wireless) ali rezultat je bio isti.
- Inace jos uvek radim na "manualnom" nacinu pokretanja Radiusa sa komandom radiusd -x dok ga ne podesim kako treba. Prilikom pokretana ide sve ok. Ispise i provjeru radiusd.conf i sql.conf fajla itd. Prikaze, kako sam napisao, unos podataka u radpostauth ali samo to i to prilikom logovanja .Mogu reci da je mrtav nakon toga, sve do novog logovanja. Ne reaguje na logout ni na nista drugo.
Veceras cu postaviti i sta "vrati" u konzoli nakon pokretanja, logovanja klijenta, i ako treba i radiusd.conf

Evo "odgovor" u konzoli nakon logina preko hotspota



rad_recv: Access-Request packet from host 192.168.0.10:32939, id=16, length=192
NAS-Port-Type = Wireless-802.11
Calling-Station-Id = "00:30:4F:3C:7E:B6"
Called-Station-Id = "hotspot1"
NAS-Port-Id = "wlan1"
User-Name = "ja"
NAS-Port = 2154823705
Acct-Session-Id = "80700019"
Framed-IP-Address = 192.168.10.254
Mikrotik-Attr-10 = 0xc0a8c813
CHAP-Challenge = 0x7cc468fa3064d7619eef6e2731f2638a
CHAP-Password = 0x50dd6ca6e3c95730adda2de0e30dfc0978
Service-Type = Login-User
WISPr-Logoff-URL = "http://192.168.10.1/logout"
NAS-Identifier = "SkyGate"
NAS-IP-Address = 192.168.0.10
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
modcall[authorize]: module "preprocess" returns ok for request 0
rlm_chap: Setting 'Auth-Type := CHAP'
modcall[authorize]: module "chap" returns ok for request 0
modcall[authorize]: module "mschap" returns noop for request 0
radius_xlat: 'ja'
rlm_sql (sql): sql_set_user escaped user --> 'ja'
radius_xlat: 'SELECT id,UserName,Attribute,Value,op FROM radcheck WHERE Username = 'ja' ORDER BY id'
rlm_sql (sql): Reserving sql socket id: 4
rlm_sql_mysql: query: SELECT id,UserName,Attribute,Value,op FROM radcheck WHERE Username = 'ja' ORDER BY id
radius_xlat: 'SELECT radgroupcheck.id,radgroupcheck.GroupName,radgroupcheck.Attribute,radgroupcheck.Value,radgroupcheck.op FROM radgroupcheck,usergroup WHERE usergroup.Username = 'ja' AND usergroup.GroupName = radgroupcheck.GroupName ORDER BY radgroupcheck.id'
rlm_sql_mysql: query: SELECT radgroupcheck.id,radgroupcheck.GroupName,radgroupcheck.Attribute,radgroupcheck.Value,radgroupcheck.op FROM radgroupcheck,usergroup WHERE usergroup.Username = 'ja' AND usergroup.GroupName = radgroupcheck.GroupName ORDER BY radgroupcheck.id
radius_xlat: 'SELECT id,UserName,Attribute,Value,op FROM radreply WHERE Username = 'ja' ORDER BY id'
rlm_sql_mysql: query: SELECT id,UserName,Attribute,Value,op FROM radreply WHERE Username = 'ja' ORDER BY id
radius_xlat: 'SELECT radgroupreply.id,radgroupreply.GroupName,radgroupreply.Attribute,radgroupreply.Value,radgroupreply.op FROM radgroupreply,usergroup WHERE usergroup.Username = 'ja' AND usergroup.GroupName = radgroupreply.GroupName ORDER BY radgroupreply.id'
rlm_sql_mysql: query: SELECT radgroupreply.id,radgroupreply.GroupName,radgroupreply.Attribute,radgroupreply.Value,radgroupreply.op FROM radgroupreply,usergroup WHERE usergroup.Username = 'ja' AND usergroup.GroupName = radgroupreply.GroupName ORDER BY radgroupreply.id
rlm_sql (sql): Released sql socket id: 4
modcall[authorize]: module "sql" returns ok for request 0
modcall: group authorize returns ok for request 0
rad_check_password: Found Auth-Type CHAP
auth: type "CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group Auth-Type for request 0
rlm_chap: login attempt by "ja" with CHAP password
rlm_chap: Using clear text password ti for user ja authentication.
rlm_chap: chap user ja authenticated succesfully
modcall[authenticate]: module "chap" returns ok for request 0
modcall: group Auth-Type returns ok for request 0
Processing the post-auth section of radiusd.conf
modcall: entering group post-auth for request 0
rlm_sql (sql): Processing sql_postauth
radius_xlat: 'ja'
rlm_sql (sql): sql_set_user escaped user --> 'ja'
radius_xlat: 'INSERT into radpostauth (id, user, pass, reply, date)
values ('', 'ja', 'Chap-Password', 'Access-Accept', NOW())'
radius_xlat: '/var/log/radius/sqltrace.sql'
rlm_sql (sql) in sql_postauth: query is INSERT into radpostauth (id, user, pass, reply, date)
values ('', 'ja', 'Chap-Password', 'Access-Accept', NOW())
rlm_sql (sql): Reserving sql socket id: 3
rlm_sql_mysql: query: INSERT into radpostauth (id, user, pass, reply, date)
values ('', 'ja', 'Chap-Password', 'Access-Accept', NOW())
rlm_sql (sql): Released sql socket id: 3
modcall[post-auth]: module "sql" returns ok for request 0
modcall: group post-auth returns ok for request 0
Sending Access-Accept of id 16 to 192.168.0.10:32939
Framed-Compression == Van-Jacobson-TCP-IP
Framed-Protocol == PPP
Framed-MTU == 1500
Service-Type == Framed-User
Framed-Pool == "hs-pool-5"
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 16 with timestamp 47dc1474
Nothing to do. Sleeping until we see a request.


Evo pa pomozite!!!!




_{[Ovu poruku je menjao codeb.s dana 15.03.2008. u 19:57 GMT+1]}

Problem resen, problem je bio o Radius serveru. Nesto sam izgleda bio zeznuo u instalaciji tj reinstalaciji sve u svemu sada radi

Prvi problem resen a sada drugi ......
Da li radius moze odrediti profile korisnika po pitanju brzina download-a i upload-a , ako moze u koju se to tabelu unosi da li u radheckgroup ili neku drugu i sta trebam unijeti.....

Probaj da u radgroupreply tabelu uneses grupe korisnika, npr:

id:"16" (ovo je bezveze, verovatno je autoincrement)
GroupName:"home128" (npr. naziv grupe)
Attribute:Mikrotik-Rate-Limit
op:":="
Value:"64000/128000" (zavisi kako ih ogranicavas)
prio:"0"

pa onda u usergroup tabelu:

id:"230" (isto kao i gore)
UserName:"perica"
GroupName:"home128"

Sto se tice prvog problema, imao sam slucaj da je sve u conf fajlovima bilo ok podeseno, ali radacct tabela je bila prazna, uglavnom NAS za accounting komunicira sa radius serverom preko portova 1813 (udp/tcp) koji su bili filtrirani, da podsetim 1812 je za autentifikaciju.

pozd

Kao prvo, hvala simor!!!!

Ovo sto si napisao funkcionise, to sam saznao sa oficijalnog sajta nesto posle nego sto sam napisao temu, ali ima jos nepoznanica.
Nasao sam cakice oko Max-All-Session i vremenskog ogranicenja, ali nisam uspeo da pronadjem na koji nacin nakon "kick-a" usera moze se uraditi da se on vise ne moze ulogovati, tj da se izbrise iz radcheck tabele ili na bilo koji nacin "zaustavi" novi njegov login . Nasao sam i neki backcounter modul koji bi trebao omoguciti takve stvari , ali je u source-u i nisam ga uspeo kompajlirati evo i link : http://projects.asn.pl/freemods/wiki/rlm_backcounter pa ako neso uspe neka postavi. Isto me "muci" i total limit koji postoji u novijim MT verzijama, s kojim radim MT v3.1 i v3.3 , tj da kickujem usera nakon sto predje total limit.

Procitaj malo o rlm_sqlcounter modulu, ukljuci --with-experimental-modules (valjda je tako) prilikom kompajliranja freeradius-a. I kreiraj sqlcounter.conf fajl. Pocev od verzije 1.0.3 mozes da definises svoje dodatne atribute koje ce radius da prosledjuje NAS-u prilikom autentifikacije.

Nema potrebe da se brise korisnik iz radcheck tabele, vec samo da mu se SessionTime ogranici na onoliko koliko je potrebno, ili da bude negativna vrednost (tj. neuspela autentifikacija).

pozd

Ovako ,
Koristim Suse 10.1 i njen radius znaci 1.1.x (ne znam tacno). Napravio sam sqlcounter.conf , dodao sam u radiusd.conf $INCLUDE ${confdir}/sqlcounter.conf , potom
i dodao nekoliko stvarcica u pomenuti sqlcounter kao npr

sqlcounter totallimit {

counter-name = User-Total-Limit
check-name = Total-Limit
sqlmod-inst = sql
key = User-Name
reset = monthly
query = “SELECT SUM(AcctInputOctets)+ SUM(AcctOutputOctets) FROM radacct where UserName=’%{%k}’”

}

u radcheck dodao sam (user,Total-Limit,>,1000000000) -> to bi trebalo biti 1G

"totallimit" postavim na autorize , ali sta god uradim ne dozvoljava login dok to ne izbrisem iz tabele .... ali ako hocu da ga postavim na accounting nedozvoljava.
Kaze nepoznat modul sqlcounter.... e sad stvarno.... tamo moze naci ovamo ne?

Meni samo treba da kada prodje Total-Limit da momentalno izbaci klijenta i nedozvoli mu novi login. Postoji li neko resenje ili sta ?????





_{[Ovu poruku je menjao codeb.s dana 18.03.2008. u 15:54 GMT+1]}

Probaj da ubacis counter 'totallimit' u radiusd.conf u authorize blok. Sve ovo pod uslovom da ti je radius iskompajliran sa experimental opcijom.

Ubacivao sam i prije totallimit u u autorize ali problem je u tome sto to provjerava samo nakon logina. Teoretski ako se neko nakaci moze skinuti koliko hoce ako se vise nebude logovao. Zato sam htio ubaciti u acoounting koji provjerava , bar kod mene na svakih 10min.
Sto se tice kompajliranja, na Suse nisam nikad uspio napraviti Freeradius da radi kako treba izuzev kada sam instalirao onaj koji dodje sa Suse.

Probacu sve , svaka pomoc je dobro dosla ......