Version: >=2.9.13

radius/etc/raddb/dictionary

$INCLUDE        /usr/local/share/freeradius/dictionary.mikrotik

В /usr/local/share/freeradius/dictionary.mikrotik добавляем такой атрибут

ATTRIBUTE       Mikrotik-Address-List                   19   string
ATTRIBUTE       Mikrotik-Total-Limit                    17   integer
ATTRIBUTE       Mikrotik-Total-Limit-Gigawords          18   integer

Добавляем сервер доступа в RADIUS

raddb/clients.conf

client xx.xx.xx.xx {
  secret     = radsecret
} 

После внесения всех изменений перезагрузите радиус

Удалённое выполнение команд на Mikrotik через ssh, используется для управления правилами шейпера и фаервола. Для выполнения команд нужно создать ssh сертификат с пустым паролем и залить его на микротик по ftp. Перед созданием сертификата убедитесь включён ли на микротике ftp.

Создание сертификата
Сделайте сертификат пустым паролем(для дальнейшего управления микротиком)

# /usr/abills/misc/certs_create.sh ssh abills_admin -UPLOAD_FTP admin@10.20.1.1

Не используйте пользователя 'admin'. Для удалённого доступа создайте отдельного пользователя.
Создание пользователя

[admin@mikrotik]> user add name=abills_admin group=write

Подключите SSH ключ пользователю

[admin@mikrotik]> user ssh-keys import public-key-file=id_dsa.abills_admin.pub user=abills_admin

Проверяем:

% ssh -l abills_admin  -i /usr/abills/Certs/id_dsa.abills_admin  10.20.1.1 "/system identity print"

если все правильно сделано результат

name: "MikroTik"

Настройка через консоль

тут вводим адрес Radius сервера

/radius add address=192.168.1.50 secret=radsecret service=ppp
/radius incoming set accept=yes port=1700 

Настройка через WinBox

авторизация на RADIUS сервере

Открытие RADIUS PoD для сброса с линии

Через консоль

/ppp aaa set accounting=yes use-radius=yes interim-update=300
/ppp profile set default local-address=192.168.101.10

Через WinBox

Через консоль

/interface pppoe-server server add interface=ether1 \
\... service-name=pppoe-in authentication=chap

Через WinBox

Через консоль

/interface pptp-server server set enabled=yes authentication=chap

Через WinBox

/ System configuration/ NAS/

/ System configuration/ NAS/ IP POOLs/ Нужно внести пул адресов, с которых можно авторизоваться. Тарифные планы

Модуль использует тарифную логику модуля Dv (Internet). Заводим классы трафика / System configuration/ Internet/ Traffic Classes. Глобальный класс трафика должен иметь номер 0. Заводим тарифные планы в / System configuration/ Internet/ Tarif plans/ . В тарифном плане в Intervals обязательно указывать сети в противном случае модуль не будет вести подсчёт трафика.

Слушать и отправлять flow пакеты на сервер для их подальшей обработки с помощью колектора (flow-tools)

Через консоль

/ip traffic-flow set enabled=yes
/ip traffic-flow target add address=10.0.0.10:9996 version=5
/ip traffic-flow set interfaces=ether3 active-flow-timeout=30m inactive-flow-timeout=15s cache-entries=4k enabled=yes ;

ether3 интерфейс на котором слушать 10.0.0.10 - адрес сервера обработки flow пакетов

Также добавить правила для перенаправления на клиентский кабинет для подключения к IPN

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=80 protocol=tcp
 src-address=192.168.6.0/24 dst-address=0.0.0.0/0 dst-port=80

Инициализация и контроль правил шейпера

# /usr/abills/libexec/billd checkspeed mikrotik RECONFIGURE=1 NAS_IDS=1 

Дополнительные параметры

config.pl

$conf{IPN_FW_START_RULE}="/usr/bin/sudo /usr/abills/libexec/linkupdown mikrotik up - %LOGIN %IP NAS_HOST=10.0.0.1 NAS_ADMIN=abills_admin". ' > /dev/null 2>&1';
$conf{IPN_FW_STOP_RULE}="/usr/bin/sudo /usr/abills/libexec/linkupdown mikrotik down - %LOGIN %IP NAS_HOST=10.0.0.1 NAS_ADMIN=abills_admin". ' > /dev/null 2>&1';

Для управления данным функционалом нужен модуль Freeradius DHCP.
При данной схеме работы DHCP запросы клиентов приходят на Mikrotik DHCP, затем Mikrotik их трансформирует в radius запрос и отправляет на RADIUS сервер где происходит авторизация пакета и отправка результата на Mikrotik. После получения результата от RADIUS сервера Mikrotik формирует пакет DHCP для клиента.

Возможности

• Динамическая и статическая раздача IP адресов
• Option 82 (Удобная система интеграции с любым нестандартным оборудованием)
• Нарезка скорости абонентам
• Гостевой доступ

Настройка
config.pl

$AUTH{mikrotik_dhcp}='Mac_auth';

Так как DNS, маска сети и шлюз прописываются на Mikrotik и их нельзя изменить через radius вы можете для гостевых сетей только отправлять параметры длительности для ип адреса и как гостевые адреса использовать часть сети dhcp.
Пример параметров для гостевого пула

$conf{DHCPHOSTS_GUEST_POOLS}='0:16:Session-Timeout=300';

Если все правильно настроено на RADIUS сервер приходят следующие пары.

NAS-Port-Type = Ethernet
NAS-Port = 2205156610
Called-Station-Id = "DHCP-server"
User-Name = "00:1B:FC:3A:B7:AA"
User-Password = ""
Agent-Remote-Id = 0x00067072cf5c8f82
Agent-Circuit-Id = 0x0004000b0101
NAS-Identifier = "MikroTik"
NAS-IP-Address = 10.10.0.1

Если используете авторизацию по порту и маку коммутатора в запросе обязательно должны быть параметры Option 82

Agent-Remote-Id = 0x00067072cf5c8f82
Agent-Circuit-Id = 0x0004000b0101

Ответ RADIUS для микротика (Access-Accept/Access-Deny)

Sending Access-Accept of id 19 to 193.106.59.230 port 55118
        Mikrotik-Address-List = "CLIENTS_12"
        Session-Timeout = 300
        Framed-IP-Address = 10.10.1.200

Инициализация и контроль правил шейпера. При использовании разных скоростей в разные промежутки времени нужно через крон вызывать данную команду на границе интервалов. Данную команду нужно делать для любого типа подключения PPPoE, PPTP или IPoE.

Программа инициализации правил шейпера и загрузки их на mikrotik сервера

# /usr/abills/libexec/billd checkspeed mikrotik RECONFIGURE=1

Параметры

После инициализации правил шейпера при подключении абонента на Mikrotik передаётся только IP адрес абонента с указанием в какой список его внести.
При использовании PPoE, PPTP адрес передаётся системой через RADIUS пары:

Mikrotik-Address-List=CLIENTS_[TP_ID]

При использовании IPN используется стандарnный IPN механизм $conf{IPN_START_RULES} $conf{IPN_STOP_RULES}

Проверка правил шейпера:

Если всё настроено правильно и команда «builld RECONFIGURE=1» сделала свое дело ,- вы должны получить приблизительно такие ответы по соответствующих запросах в консоли MikroTik:

/ip firewall mangle print 
 0   chain=forward action=mark-packet new-packet-mark=ALLOW_TRAFFIC_CLASS_2_out passthrough=yes
   dst-address=0.0.0.0/0 src-address-list=CLIENTS_2
1   chain=forward action=mark-packet new-packet-mark=ALLOW_TRAFFIC_CLASS_2_in passthrough=yes
   src-address=0.0.0.0/0 dst-address-list=CLIENTS_2

/queue tree print 
0   name="TP_2_in_global" parent=global-out packet-mark=ALLOW_TRAFFIC_CLASS_2_in limit-at=0
   queue=TP_2_in_global_speed priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
1   name="TP_2_out_global" parent=global-out packet-mark=ALLOW_TRAFFIC_CLASS_2_out limit-at=0
   queue=TP_2_out_global_speed priority=5 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s 

/ System configuration/ NAS/

ip firewall nat add chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=80 protocol=tcp
src-address=192.168.6.0/24 dst-address=0.0.0.0/0 dst-port=80

Инструкция по настройке hotspot на Mikrtoik RouterBoard через интерфейс WinBox: Рекомендуем обнулить систему RouterOS перед настройкой ,- в терминале делаем :

>system reset-configuration 

1. Создаем новый bridge : bridge → «+» → «OK»
2. Добавляем туда wlan порт : ports → «+» → interface: wlan1
3. Добавляем DHCP клиент : IP → DHCP Client → «+» → interface: bridge1
4. Добавляем новый пул адресов для хотспота : IP → Adresses → «+» → interface: bridge1 , adress: свободный пул адресов , например 192.168.111.0/24
5. Переключаем wifi модуль в режим bridge : Wireless → intefaces → wlan1 → Wireless - mode: bridge , band: 2GHz-B/G , protocol 802.11 , enable , OK
6. Настраиваем хотспот : IP → Hotspot → Hotspot setup → Hotspot interface: bridge1 → Local Adress of Network:(пул который мы создали) → Adress pool of network:(оставляем как есть) → SSL-sertificate: none → SMTP server: 0.0.0.0 → DNS servers :(8.8.8.8 ,-гугловский DNS , можно свой) → DNS name: можно оставить пустым → готово

если нам нужно чтобы хотспот использовал для авторизации внешний Radius сервер , - в терминале пишем :

> ip hotspot profile set hsprof1 use-radius=yes
> radius add service=hotspot address=y.y.y.y secret=123456

где y.y.y.y - адрес радиуса и secret - пароль к радиусу.

Для того чтобы hotspot работал с Abills ,- нужно cоздать в биллинге сервер доступа : Настройки → Сервер доступа → «+» → IP:(IP Mikrotik) ,тип:MikroTik

ABillS: настройка Mikrotik+HotSpot+ABillS

Программа авто настройки mikrotik дает возможность настроить микротик удалённо, а также после настройки сохранить конфигурацию для последующей заливки в однотипные сервера (доступна в коммерческой версии системы)

• Выставление скорости с возможностью быстрого серфинга

Для это используем RADIUS параметр Mikrotik-Rate-Limit. Для примера скорость 1 мегабит. Данный параметр стоит занести в радиус пары тарифного плана (/ Система/ Internet/ Тарифные планы/ Добавить/) :

Mikrotik-Rate-Limit=1M 1536k 768k 8 8 1M

rx-rate – 1 Mbps
rx-burst-rate – 1536 kbps
rx-burst-threshold – 768 kbps
rx-burst-time – 8 секунд
priority – 8
rx-rate-min – 1 Mbps

Т.е. я ограничиваю полосу пропускания канала в 1 мегабит (как гарантированную, так и максимальную), но если пользователь за 8 секунд не превышает 768 кбит, то ему может быть отдано 1.5 мегабита.

При использовании данного скорость интервалов не будет учитиватсья и соответственно нельзя будет построить скоростя с учётом времени суток (Например день/ночь)

Программа проверяет активные сессии на микротике и сравнивает их с билингом. Не зарегистрированные в биллинге сессии программа отключает. Также есть возможность просмотр активных сессий микротика.

/usr/abills/libexec/billd checkmikro

ABillS: Установка и настройка коммерческой версии

• Обсуждение