Дефолтна авторизація для невідомих абонентів на прикладі MikroTik NAS

Поява MAC-адреси, яка не присвоєна абоненту, призводить до помилки “RADIUS server is not responding” в логі Mikrotik NAS сервера. Для авторизації нових пристроїв до гостьового пулу необхідно конфігурувати RADIUS для коректного опрацювання таких подій.

1. У налаштуваннях Mikrotik IP-Pool створимо новий пул з ім'ям “uhw_pool” і довільним діапазоном IP.

2. У файлі стандартної конфігурації користувачів /usr/local/etc/raddb/users додамо користувача DEFAULT, який є користувачем “за замовчуванням” і використовується у випадках, коли в базі даних відповідності не було знайдено :

DEFAULT Auth-Type := Accept
        Session-timeout = 120,
        Framed-Pool = "uhw_pool"

ВАЖЛИВО: Перед DEFAULT не повинно бути табуляцій і пробілів, інакше під час запуску RADIUS виникне помилка “Entry does not begin witch a user name Failed reading”

3. За замовчуванням файл users не використовується (або не зовсім коректно використовується) і для його підключення необхідно відредагувати: /usr/local/etc/raddb/sites-enabled/default Знаходимо секцію authorize, а в ній шукаємо таке

 
        #
        #  Look in an SQL database.  The schema of the database
        #  is meant to mirror the "users" file.
        #
        #  See "Authorization Queries" in mods-available/sql
        sql {
#               ok = return
        }

        #
        #  Read the 'users' file.  In v3, this is located in
        #  raddb/mods-config/files/authorize
        files

і приводимо його до такого вигляду

        #
        #  Look in an SQL database.  The schema of the database
        #  is meant to mirror the "users" file.
        #
        #  See "Authorization Queries" in mods-available/sql
        sql {
#               ok = return
        }

        #
        #  Read the 'users' file.  In v3, this is located in
        #  raddb/mods-config/files/authorize
        if(notfound) {
                files
        }

4. Перезапускаємо FreeRADIUS. Після цього невідомим пристроям будуть призначені IP із зазначеного пулу.

service radiusd restart

5. У налаштуваннях Mikrotik IP - DHCP Server - Networks описуємо налаштування гостьової мережі.

6. Призначаємо IP-адресу локальному інтерфейсу, який дивиться в бік користувачів:

7. Правилами Firewall налаштовуємо обмеження для гостьової мережі або перенаправлення на заглушку. (Див. також UHW_MLG).