Implementace autorizace CPE za routery Mikrotik pomocí Mango Radius

Autorizujeme CPE a přiřazujeme jim IP dle MAC adresy

Jde o autorizaci koncových zařízení připojených přímo nebo nepřímo k přistupovým routerům Mikrotik (AP) pomocí služby Mango Radius. Zařízení zde idnetifikujeme pomocí jejich MAC adresy. Dokumentace obsahuje konkrétní popis nastavení zařízení v Mango i přímo v zařízení MikroTik.

Pro porozumění je nutné se seznámit mimo jiné s popisem služby Mango Radius.

Pojmy

• CP - Mango partner - zákazník OG Soft s.r.o. využívající systém Mango
• CPE - customer-provided equipment - zařízení sloužící jako rozhraní mezi sítí CP a zařízením zákazníka, případně přímo zařízení zákazníka
• NAS - zařízení ověřující přístup CPE do sítě
• AP - zařízení, které slouží pro připojování CPE zařízení u zákazníků (přístupový switch, nebo přístupový Mikrotik router apod.)
• Hotspot - NAS pracující v režimu hotspot (např. Mikrotik s příslušným nastavením)
• Radius - protokol přenášející autorizaci, autentikaci a konfigurační údaje mezi NASem a autentikačním serverem (v tomto případě Mango Radius serverem)
• Radius server - jednak software, který přes Radius protokol přijímá požadavky na autorizaci od NASu a odpovídá na ně, jednak zařízení v síti s tímto softwarem
• Mango Radius - Radius server v Mango, s konfigurací generovanou systémem

Společné parametry pro režim AP i Hotspot

Společné parametry pro oba režimy jsou:

• Politika autorizace (AUTH_POLITICS) - [DROP/ALLOW_SLOWLY] - je-li hodnota ALLOW_SLOWLY, pak jsou při MAC autorizaci zařízení s neznámou MAC adresou povolena minimální rychlostí, v případě DROP jsou neznámá zařízení odmítnuta
• Pool lease time - doba zapůjčení IP pro neznámá zařízení (default: 120s)
• Default lease time - doba zapůjčení IP pro autorizovaná zařízení (default: 3600s)

Příklad nastavení parametrů:

Režim AP

MikroTik ověřuje CPE na základě jeho MAC adresy s využitím Radiusu. CPE je přiřazena IP adresa z Mango, která je v Mango u něho uvedená. Při ověřování se kontroluje i to, zda je v Mango příslušný NAS nadřazeným zařízením a zda je CPE připojeno za správným rozhraním . Pokud je pro Mango MAC adresa neznámá, Mango Radius vrátí IP z poolu pro neznámá zařízení a při pokusu přístupu na internet přes hlavní router (např. Mango RM) může být podle toho požadavek přesměrován např. na Mango Selfcare, kde si pak zákazník může po přihlášení svým jménem a heslem MAC adresu i sám změnit, pak jě přesměrován zpět na požadované url.

Funkcionalita změny MAC adresy zákazníkem na selfcare je podmíněna dalším nastavením lokace.

Nastavení v Mango

Pro funkční AP s Mango Radius autorizací je třeba pro NAS resp. pro jeho interface v Mango nastavit (pro zobrazení sady parametrů klikněte v tabulce Parametry na konkrténí sadu):

• Sada Radius autorizace
  • Radius autorizace (NAS) - ano
  • MAC autentifikace (MAC_AUTH) - ano
  • DHCP z radiusu - ano
  • Id. jméno hotspotu (HS_LOC_ID) - musí být shodné s "REALM" v nastaveni Radiusu na MK

Příklad nastavení:

• Sada Radius servery
  • IP radius serveru (RADIUS_SERVER) - IP adresa Mango Radius (např. 10.255.245.1)
  • Radius heslo (SECRET) - heslo shodné s "Secret" v nastaveni Radiusu na MK
  • Priorita serveru (SRV_PRIORITY) - priorita Radius serveru

Příklad nastavení:

Dále je potřeba nadefinovat rozsah pro známá a neznámá zařízení tj. Druh rozsahu=Default resp. Druh rozsahu=POOL

• Sada Rozsah adres zařízení
  • Druh rozsahu (IPRANGE_TYPE) - POOL (rozsah pro neznámá zařízení), DEFAULT (rozsah pro autorizovaná zařízení)
  • IP adresa od (IPRANGE_START) - rozsah od
  • IP adresa do (IPRANGE_END) - rozsah do
  • Gateway (IPRANGE_GATEWAY) - IP gateway
  • Maska sítě (IPRANGE_MASK) - maska (formát xxx.xxx.xxx.xxx)
  • Druh zařízení (IPRANGE_NTYPE) - třída zařízení, pro kterou rozsah platí (WIFI, NIC, ...)

Příklad nastavení:

Nastavení v MikroTik

Uvedený příklad konfigurace MikroTik může být odlišný pro různé jeho verze, proto je potřeba vycházet z dokumentace k příslušné verzi.

• Interfaces->wlanX->general->Name - stejný jako název interface v  MANGO 
• Interfaces->wlanX->general->ARP - reply-only
• Interfaces->wlanX->Wireless->Default Authenticate - YES
• Interfaces->wlanX->Wireless->Default Forward - Yes
• IP->Addresses->+ - přidat adresu interface pro klientská zařízení a pro neznámá zařizení - pool v  MANGO 
• IP->DHCP Server->DHCP - přidat nový DHCP Server
• IP->DHCP Server->DHCP->Name - stejný jako název interface v  MANGO 
• IP->DHCP Server->DHCP->Address Pool - static-only
• IP->DHCP Server->DHCP->BootSupport - YES
• IP->DHCP Server->DHCP->Add ARP For Leases - YES
• IP->DHCP Server->DHCP->->Use Radius YES
• IP->DHCP Server->Networks->+ - přidat síť pro klientská zařízení a pro neznámá zařízení (tzn. na kterých podsítích bude DHCP přidělovat adresy
• Radius - přidat Radius Server->+ - přidat nový Radius
• Radius->General->dhcp - YES
• Radius->General->Address - adresa  MANGO  Radius (10.255.245.1)
• Radius->General->Secret - shodný s parametrem "Radius heslo" v sadě parametrů Radius servery v  MANGO 
• Radius->General->Authentication Port - 9812
• Radius->General->Accouting Port - 9813
• Radius->General->Timeout - 3000 - doporučujeme nastavit na tuto hodnotu. Pokud bude hodnota nižší, nemůžeme granatovat včasnou odpověď RADIUS serveru na požadovaný request.
• Radius->General->Realm - shodný s parametrem "Id. jméno hotspotu" v sadě parametrů Radius autorizace v  MANGO 

Režim hotspot

Režim, ve kterém jsou CPE autorizována na základě MAC nebo na základě jména a hesla zákazníka, který má v Mango aktivovanou hotspot službu, resp. na základě jména a hesla uvedeného jako parametr hotspotové služby.

Nastavení v Mango

Pro funkční hotspot s Mango Radius autorizací je třeba pro NAS resp. pro jeho interface v Mango nastavit:

* Sada Radius autorizace

• • Radius autorizace (NAS) - ano
  • Režim HOTSPOT - ano
  • Id. jméno hotspotu (HS_LOC_ID) - musí být shodné s "REALM" v nastaveni Radiusu na MK
  • DHCP z radiusu (NAS_DHCP) - pokud je nastaven,  MANGO  Radius NASu vrací id DHCP poolu (nevrací IP adresu)

Příklad nastavení:

• Sada Radius servery
  • IP radius serveru (RADIUS_SERVER)- IP adresa  MANGO  Radius
  • Radius heslo (SECRET) - heslo shodné s "Secret" v nastaveni Radiusu na MK
  • Priorita serveru (SRV_PRIORITY) - priorita Radius serveru

NAS musí být členem skupiny zařízení, která sdružuje hotspoty dostupné pro hotspotovou službu. Zákazník musí mít aktivní datovou službu s nastaveným parametrem hotspot na hodnotu NONE a nastavený parametr hotspot_group na skupinu zařízení.

Pro aktivní službu zákazníka může být nastavena i dvojice parametrů service_login a service_password. K ověření jména a hesla se potom použijí tyto paramtery.

Jestliže parametr hotspot v modulu Produkty a služby má hodnotu "FREE", nastaví se pro session klienta na NASu timeout 1 hodina, jestliže má nějakou jinou hodnotu, nastaví se na čtyři hodiny.

Příklad nastavení:

Nastavení v MikroTik

Uvedený příklad konfigurace MikroTik může být odlišný pro různé jeho verze, proto je potřeba vycházet z dokumentace k příslušné verzi.

• Interfaces->wlanX->General->
• Interfaces->wlanX->General->Name - stejný jako název interface v  MANGO 
• Interfaces->wlanX->General->ARP - reply-only
• Interfaces->wlanX->Wireless->Default Authenticate - YES
• Interfaces->wlanX->Wireless->Default Forward - YES
• IP->Addresses - přidat rozsahy adres a síť pro klientská zařízení na jednotlivých interfaces
• IP->Hotspot->Servers->Hotspot Setup->HotSpot Interface - název interface (např. wlan1)
• IP->Hotspot->Servers->Hotspot Setup->Local Address of Network - ip adresa interface
• IP->Hotspot->Servers->Hotspot Setup->Masquerade Network - No - je možné dělat maškarádu, ale pak je ale potřeba upravit nastaveni firewallu na RM
• IP->Hotspot->Servers->Hotspot Setup->Address Pool Of Network - adresní rozsah pro klientská zařízení
• IP->Hotspot->Servers->vytvořený hotspot->Name - stejný jako název interface v  MANGO 
• IP->Hotspot->Server Profiles - editovat profil vytvořený v předchozím kroku
• IP->Hotspot->Server Profiles->General->Hotspot Address - ip interface
• IP->Hotspot->Server Profiles->General->HTML Directory - umístění domovské stránky pro hotspot
• IP->Hotspot->Server Profiles->Login->HTTP CHAP - YES
• IP->Hotspot->Server Profiles->Login->MAC - pokud chceme autentizovat podle mac, pokud neautentizuje, lze použít jméno a heslo
• IP->Hotspot->Server Profiles->RADIUS->Use RADIUS - YES
• IP->Hotspot->Server Profiles->NAS Port Type - wireless-802.11
• IP->Hotspot->Users - odstranit defaultně vytvořeného uživatele admin
• IP->DHCP Server->DHCP - přidat nový DHCP Server
• IP->DHCP Server->DHCP->BootSupport - YES
• IP->DHCP Server->DHCP->Add ARP For Leases - YES
• IP->DHCP Server->DHCP->Address Pool - pool vytvořený hotspotem
• IP->DHCP Server->DHCP->Authorative - YES
• IP->DHCP Server->Networks - přidat novou síť pro klientská zařízení (tzn. na které podsíti bude DHCP přidělovat adresy)
• Radius - přidat Radius Server->+ - přidat nový Radius
• Radius->General->hotspot - YES
• Radius->General->Address - adresa radius serveru
• Radius->General->Secret - shodný s parametrem "Radius heslo" v sadě parametrů Radius servery v  MANGO 
• Radius->General->Authentication Port - 9812
• Radius->General->Accouting Port - 9813
• Radius->General->Timeout - 3000 - doporučujeme nastavit na tuto hodnotu. Pokud bude hodnota nižší, nemůžeme granatovat včasnou odpověď RADIUS serveru na požadovaný request.
• Radius->General->Realm - shodný s parametrem "Id. jméno hotspotu" v sadě parametrů Radius autorizace v  MANGO 

Při konfiguraci hotspotu je nutné mít funkční DNS na MikroTik!