Postado por m4d3 em 23 de Outubro de 2010 às 12:05
Bom dia, estou com este problema:
MK-AUTH 4.81
Quando por algum motivo ainda desconhecido a conexão do usuário cai ou o mesmo desconecta, o radio insistentemente fica tentando se logar novamente com usuário e senha no PPPOE e no log do mikrotik aparece a seguinte mensagem:
terminating... - user fulanodetal authentication failed
O cenário é:
A RB433 verifica o WPA2 INDIVIDUAL+MAC no MK-AUTH e libera o acesso na registration table, e logo após o radio disca o PPPOE e recebe o IP PÚBLICO.
A solução funciona, rodou por 3 dias e após começaram os problemas, ao que parece os dados de autenticação (USER/SENHA) do usuários errados (apesar de conferidos e estarem corretos, isso é certeza absoluta), mesmo após varias trocas, reparo no banco de dados, restart do radius nada resolveu, voltamos a senha original e o problema persistiu, por ultimo reiniciamos o mikrotik e então os usuários voltaram a logar em uma das RBs enquanto outra os usuários tem acesso a registration table mas nem chegam no concentrador PPPOE pra autenticar, apenas 4 usuários que estavam bloqueados ficavam aparecendo nos logs, quando liberamos o acesso destes 4 bloqueados, os demais usuários que estavam liberados começaram a fazer login.
Seria um BUG do MikroTik ?
Uma limitação/BUG do RADIUS ?
Alguem que tenha sofrido deste mesmo mal conseguiu resolver sem reinciar ?
Obs.:
1 - Todos os acessos são feitos por rádios wireless, os clientes não tem acesso as configurações dos radios, o usuário e senha fica dentro do próprio rádio em modo cliente ISP.
2 - Os usuários mesmo desativados/bloqueados continuam autenticando via WPA2+MAC nas RBs, o que me parece um problema já que o cliente fora desativado e portanto não deveria mais ter acesso a rede wireless.
3 - Temos urgência pois a solução pareceu profissional e de fácil implantação, só não contavamos com tanta dor de cabeça depois de tudo funcionando.
4 - Pedro Filho, o seu auxilio é fundamental, eu peço sua atenção neste caso pois começamos a alguns meses fazer indicações de sistemas de gerenciamento e o seu sistema ocupa posição de destaque.
Se precisar de testes estaremos a disposição, contanto é claro que os clientes não sejam prejudicados.
Agradeço por qualquer ajuda, o objetivo não é debater mas criar formas de resolver o problema.
Abraço a todos.
Visualizações: 1018
Para adicionar comentários, você deve ser membro de MK-AUTH.
Eu passei por este mesmo problema, consegui resolver colocando login simultaneo como "sim" foi a unica solução sem reiniciar as rbs nossas aqui, parece que no mk abre uma sessão interna no radius do proprio mk, e este num deixa logar novamente acusando q ja existe uma sessão em aberto, espero que te ajude.
m4d3 disse:
A situação ficou crítica, precisamos de ajuda com urgência.
dessa forma que vc ta fazendo colega, seu cliente estar autorizado a navegar em dois ou mais pc ao mesmo tempo... vai que ele emprestou o loguin e senha para terceiros?
No caso desse erro, vá no microtik.. logs... veja o ip que o dhcp deu pra ele. depois vá no mk-auth e ponha esse ip manualmente . ideal é cadastrar o mesmo na ARP
Juliano César Santos disse:
Eu passei por este mesmo problema, consegui resolver colocando login simultaneo como "sim" foi a unica solução sem reiniciar as rbs nossas aqui, parece que no mk abre uma sessão interna no radius do proprio mk, e este num deixa logar novamente acusando q ja existe uma sessão em aberto, espero que te ajude.
m4d3 disse:
A situação ficou crítica, precisamos de ajuda com urgência.
Não sei se e o caso do m4d3, mais no meu num era isso não, era confusão de sessões aberto pelo radius. E tinha somente um cliente conectado.
DEL-LINK disse:
dessa forma que vc ta fazendo colega, seu cliente estar autorizado a navegar em dois ou mais pc ao mesmo tempo... vai que ele emprestou o loguin e senha para terceiros?
No caso desse erro, vá no microtik.. logs... veja o ip que o dhcp deu pra ele. depois vá no mk-auth e ponha esse ip manualmente . ideal é cadastrar o mesmo na ARP
Juliano César Santos disse:
Eu passei por este mesmo problema, consegui resolver colocando login simultaneo como "sim" foi a unica solução sem reiniciar as rbs nossas aqui, parece que no mk abre uma sessão interna no radius do proprio mk, e este num deixa logar novamente acusando q ja existe uma sessão em aberto, espero que te ajude.
m4d3 disse:
A situação ficou crítica, precisamos de ajuda com urgência.
Primeiramente obrigado pelo seu tempo e atenção, faz muito sentido o que dizem, pois se a liberação na RB do MAC+WPA2 abre uma sessão com o RADIUS, o login com usuário e senha seriam entendidos como uma segunda sessão não permitindo o login. No entanto a solução funcionou por 3 dias antes de começarem os problemas, acredito que com a ajuda do Pedro Filho consigamos descobrir e resolver este impecilho.
Falamos de uma solução profissional utilizando MK-AUTH, não temos nenhum tipo de DHCP na rede, todos recebem IP público, IP fixo somente para clientes que contratam link dedicado os demais recebem IP dinâmico e não tem liberadas as portas 22 e 80, com garantia de banda minima e assimétrica com taxa de 3/1.
Emergencialmente liberamos todos os usuários bloqueados e em atraso ( o que não tem haver mas resolveu funcionar dessa maneira).
Quando tiver novidades atualizo o post, acredito que será de grande ajuda a todos os usuários.
O cliente esta descontente hoje por conta do problema relatado aqui, espero que possamos reverter a situação com sua ajuda, se ignorar o que escrevo ou se não demonstra interesse em resolver como espera ser possível a migração pra MK-AUTH de novos clientes ?
Luciano vc testou colocar no cadastro do cliente, a opção logins simultaneos como "SIM".
Creio que com isso vc consiga resolver seu problema pelo menos até ter alguma solução definitiva.
Att.Juliano
m4d3 disse:
Caramba Pedrao, cadê você ???
O cliente esta descontente hoje por conta do problema relatado aqui, espero que possamos reverter a situação com sua ajuda, se ignorar o que escrevo ou se não demonstra interesse em resolver como espera ser possível a migração pra MK-AUTH de novos clientes ?
Juliano, temporariamente já fizemos 'coisas' que não fazem parte de uma configuração profissional, o chamado 'modo gambiarra' esta ativo gerando descontentamento, o que eu peço é atenção, posicionamento e se possível uma solução, porém não conheço outro que possa fazê-lo senão o próprio autor do software, contamos com a ajuda do Pedro sempre para buscar a solução, neste caso parece que preferiu se omitir, porquê ?
Eu admiro o Pedro Filho por disponibilizar um sistema impar, mas me decepciona pequenos detalhes e a pouca atenção que recebemos quando há algo com problema, não é sempre mas quando acontece é bastante desanimador.
Tive um problema parecido ontem Luciano, so alguns clientes estavam conseguindo logar, a unica solução foi reiniciar o mikrotik concentrador, ai voltou ao normal...
Respostas
Após setar no login simultaneo em sim parou o problema do erro de autenticação do radius.
Aqui o cliente bloqueado realmente continua conectado no radio, mas o pppoe não conecta!
m4d3 disse:
No caso desse erro, vá no microtik.. logs... veja o ip que o dhcp deu pra ele. depois vá no mk-auth e ponha esse ip manualmente . ideal é cadastrar o mesmo na ARP
Juliano César Santos disse:
DEL-LINK disse:
Primeiramente obrigado pelo seu tempo e atenção, faz muito sentido o que dizem, pois se a liberação na RB do MAC+WPA2 abre uma sessão com o RADIUS, o login com usuário e senha seriam entendidos como uma segunda sessão não permitindo o login. No entanto a solução funcionou por 3 dias antes de começarem os problemas, acredito que com a ajuda do Pedro Filho consigamos descobrir e resolver este impecilho.
Falamos de uma solução profissional utilizando MK-AUTH, não temos nenhum tipo de DHCP na rede, todos recebem IP público, IP fixo somente para clientes que contratam link dedicado os demais recebem IP dinâmico e não tem liberadas as portas 22 e 80, com garantia de banda minima e assimétrica com taxa de 3/1.
Emergencialmente liberamos todos os usuários bloqueados e em atraso ( o que não tem haver mas resolveu funcionar dessa maneira).
Quando tiver novidades atualizo o post, acredito que será de grande ajuda a todos os usuários.
Cordialmente
Luciano Rampaneli - M4D3
O cliente esta descontente hoje por conta do problema relatado aqui, espero que possamos reverter a situação com sua ajuda, se ignorar o que escrevo ou se não demonstra interesse em resolver como espera ser possível a migração pra MK-AUTH de novos clientes ?
Creio que com isso vc consiga resolver seu problema pelo menos até ter alguma solução definitiva.
Att.Juliano
m4d3 disse:
Eu admiro o Pedro Filho por disponibilizar um sistema impar, mas me decepciona pequenos detalhes e a pouca atenção que recebemos quando há algo com problema, não é sempre mas quando acontece é bastante desanimador.