Olá amigos do fórum, este post é sobre a implantação de um recurso ainda inexistente na maioria dos sistemas de autenticação que utiliza RADIUS, pra mim um recurso importante mas para a maioria insignificante. A configuração é simples e pode ser executada com um pouco de conhecimento utilizando o phpmysql, não vou entrar em detalhes como instalar e acessar tendo em vista que se você não tiver esse conhecimento não deve tentar executar os passos abaixo sob o risco de danificar o banco de dados do sistema.
Na versão atual do MK-AUTH, os endereços IPs para todas as conexões vem da configuração do profile utilizado no pppoe, que normalmente leva o nome de Remoto-1, com a configuração que iremos executar, cada plano disponível passa a contar com uma pool de IPs exclusiva, possíbilitando novas políticas de aceleração de conteúdo ou liberação de banda extra conforme o plano, diferenciando dessa forma os clientes dos planos simplesmente pela classe de IP que o cliente se encontra e isso tem inúmeras vantagens, a principal delas é poder construir um QoS mais avançado com uso mínimo de recursos do seu MikroTik.
Aqui na empresa e nos parceiros que atendemos com nossos serviços a eficiência energética e a economia gerada com a virtualização de recursos sempre que possível é levada a um nível extremo.
Entendemos que se ao invez de utilizar 3 servidores para gerenciar um provedor pudermos utilizar apenas 1 e 1 RB não estaremos apenase conomizando reais mas também estaremos fazendo a nossa parte no que diz respeito à consciência ecológica em evidência nos dias de hoje, escolher e dimensionar bem os equipamentos faz toda a diferença para nós e para a sociedade em que vivemos, pode acreditar.
Dito isso, sempre que possível temos indicado o uso de sistemas de controle e autenticação MK-AUTH em VM (Maquina Virtual), pois o mesmo já esta comprovadamente compatível e suficientemente leve e robusto para essa tarefa, mérito do Pedro Filho que vem a cada dia melhorando o MK-AUTH ouvindo os seus usuários, hoje o MK-AUTH já é o sistema que mais evolui ouvindo as necessidades dos usuários, parabéns por essa façanha.
O inicio:
Partimos do ponto que você já deve ter instalado e acessado o phpmysql em seu servidor MK-AUTH 4.88 (funciona em outras versões).
Atributo Framed-Pool:
Acesse o banco de dados mkradius e abra a tabela radgroupreply, nesta tabela vamos encontrar os planos de acesso cadastrados no seu sistema e as respectivas velocidades de acesso, vamos precisar inserir o atributo "Framed-Pool" para cada plano cadastrado, este atributo é responsável por conectar os clientes de cada plano a uma Pool de IPs especifica abrindo um leque de novas possibilidades como já dito antes.
Na tabela acima já preenchida com cada plano (Id 1 a 7) e seus respectivos "Framed-Pool" (Id 8 a 13). Segue o código para quem quiser adicionar via linha de comando SQL.
INSERT INTO radgroupreply VALUES (8, 'PCR1-Acesso', 'Framed-Pool', '=', 'pool_acesso');
Note que será necessário alterar o Id, nome do plano e da pool conforme o seu banco de dados.
Feito isso passamos ao MikroTik, o procedimento é o mesmo pra quem autentica em servidor central nas bordas em RBs.
Adicione cada uma das pools no MikroTik com o mesmo nome que utilizou no banco de dados, ex:
/ip pool
add name=pool_turbo ranges=10.3.3.128-10.3.3.190
add name=pool_nitro ranges=10.4.4.128-10.4.4.190
add name=pool_acesso ranges=10.1.1.128-10.1.1.190
Siga na configuração do PPOE server e troque no profile default ao invez de utilizar o pool Local-1 (em Local Address), informe o IP da WAN do servidor ou RB (ip que se conecta a internet).
Por conveniência eu prefiro utilizar este ip o que me libera para utilizá-lo também como único DNS do profile, sendo assim posso via DNS do MikroTik alterar os DNS e dessa forma o cliente passa a utilizar novos servidores apesar de não ter sido necessária nenhuma mudança no cliente ou em seu profile.
Note que o profile default utiliza a pool_default, que sequer citei até agora, esta pool só será utilizada quando o plano que o cliente estiver cadastrado não contiver seu relacionamento na tabela radgroupreply.
Feito isso esta completo, agora já pode imaginar todo tipo de uso para este complemento, a dica que dou é a aceleração de conteúdo web e níveis adicionais de QoS por plano, em uso em quase todos os provedores que atendemos.
Considerações finais:
A alteração funciona em qualquer sistema que utilize RADIUS, o que deve-se levar em consideração é que toda vez que houver a inserção de um novo plano ou a alteração nos existentes deve-se efetuar manualmente as alterações na tabela para manter a compatibilidade.
Grande abraço a todos e bom uso.
Luciano Rampanelli / M4D3
“Como bons administradores da multiforme graça de Deus, cada um coloque à disposição dos outros o dom que recebeu” (1 Pedro 4, 10)
Respostas
O tx sim, o rx funciona apenas com mikrotik.
Os links acima fazem referencia ao repasse de IP pool via freeradius, descobri que o mikrotik não faz algo que o linux faz que é gerenciar os ips em uso na rede, na verdade quem controla isso é o radius, se alguém já fizer uso disso gostaria de ajuda ou montar um grupo para implantar esta feature via freeradius.
Abraço
Infelizmente os parametros disponível não permitem setar o tx ou o rx limit da da interface.
Agora tenho um dúvida: O rx limit da interface funciona com qualquer equipamento cliente?
http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client#Supported_RADIUS...
http://techironic.com/index.php/2010/10/28/instalacion-freeradius2-...
http://www.netexpertise.eu/en/freeradius/ip-pools.html
http://lists.cistron.nl/pipermail/freeradius-users/2006-October/msg...
http://forum.mikrotik.com/viewtopic.php?f=2&t=30851
http://freeradius.1045715.n5.nabble.com/Patch-for-raddb-sql-mysql-i...
http://lists.cistron.nl/pipermail/freeradius-users/2011-July/msg000...
http://freeradius.org/doc/
Encontrei algumas referencias
Pesssoal, to em viajem, pegando um sol, ainda não estudei se há parâmetros para o Access-list, férias são férias, semana to de volta e vou investigar isso.
concordo pois no caso de leigos a coisa seguiria um padrão e aí as configuraçoes basicas seriam adicionadas no mikrotiks automaticamente, no caso dos mais avançados trilhariam por outros caminhos rsrsr.
Imagino que esta divisão seria interessante e deixaria o mk-auth um sistema ainda mais amigavel em suas configuraçoes, seria a soluçao para muitos problemas basicos que aparecem aqui no forun e outras configuraçoes mais especificos seria tratados aqui.
é minha opiniao.
Jhonne Jossy disse:
o bom seria se fosse possivel configurar quais parametros o radius adicionaria em cada ação, sem usar triggers como o Jossy passou uma vez que é muito util mais já fica um pouco mais complicado já que é preciso mexer no BD do sistema para incluir as triggers.
assim usuários mais experientes poderiam fazer uma configuração extra.
Talvez o jhonne possa nos auxiliar nisso utilizando o próprio radius, oque me diz amigo ?
Juliano,
Eu já tenho essa autenticação implantada, o que quero é trabalhar diretamente com a Access-list via ssh para poder manipular o valor do ap-tx-limit.
Obrigado.
Ok desculpe não tinha entendido a pergunta.
A questão não é o controle do mac a questão é adicionar no access-list um valor para o parametro ap-tx-limit, o que via radius nunca vi funcionar.