通过radius给ppp客户端分配ip地址

最新推荐文章于 2023-09-19 00:29:08 发布
最新推荐文章于 2023-09-19 00:29:08 发布
阅读量9.5k 收藏 5
点赞数
分类专栏: Radius协议分析 L2TP协议分析

radius给ppp客户端自动分配ip地址有两种方法,一种是通过users文件,一种是使用ippool模块

 

第一种方法非常简单;第二种方法非常难,本人也还未实现,摸索ing;

 

今天介绍如何通过users文件来静态或动态分配ip地址;

 

使用下述方法之前,你必须确保整个radius对接过程是通过的,对接过程可以参考我博客中的radius标签下的文章;

 

整个过程只需要修改radius server上的文件,其他不需要配置;

 

1、配置sites-enabled/default文件

 

主要是去掉files的注释,保证在验证之前能够先加载files模块,file对应的即是users文件

 

default文件一共有3处提到了files,一个是authorize{}部分;一个是preacct{}部分;一个是pre-proxy{}部分

当然,如果你不通过radius来分配ip地址,这3个files完全可以注释掉,并且注释掉可以减少处理时间

 

如果通过radius来分配ip地址的话,也只需要注释掉authorize{}部分即可

 

大概在default文件的第169行,找到如下代码

写道
# Read the 'users' file
files 

 

去掉files前的注释 ,保存退出

 

2、配置users文件

 

user文件里面包含了很多配置例子,包括拒绝特定用户啊,发送hello消息啊,其中也包括了给特定用户分配ip地址的配置

 

其中Framed-IP-Address就是客户端所需要获得的地址,这个地址可以配置成为你想要配置的任何可用ip地址;

必须注意的是,若是将Framed-IP-Address 配置成255.255.255.254 ,说明客户端从VPN服务器获取ip地址而不是radius

 

①:绑定用户名并配置静态ip

 

添加如下配置:

写道
test Service-Type = Framed-User
Framed-Protocol = PPP,
Framed-IP-Address = 192.168.11.100,
Framed-IP-Netmask = 255.255.255.0

 

注意将上述配置添加到出现DEFAULT之前的位置;

其中test就是客户端拨vpn时所使用的用户名,Framed-IP-Address即要分配给客户端的ip,Framed-IP-Netmask是子网掩码了

 

添加上去后保存退出,并重启radius,这样客户端再接入时分配的地址就是192.168.11.100了

 

 

②:给所有客户端动态分配ip

 

这个其实跟上述配置差不多,一点小改动就可以

 

同样,在出现DEFAULT之前添加如下配置:

写道
DEFAULT Service-Type = Framed-User
Framed-Protocol = PPP,
Framed-IP-Address = 192.168.11.100+,
Framed-IP-Netmask = 255.255.255.0
 

改动很小,无非就是将用户名改成DEFAULT,Framed-IP-Address后面在加个“+”,意思就是从192.168.11.100开始,依次分配;

 

保存退出,并重启radius,这样所有接入客户端将会从radius得到ip地址;

 

查看debug信息,可以看到相关log

写道
Sending Access-Accept of id 227 to 192.168.4.130 port 53889
Framed-Protocol = PPP
Framed-IP-Address = 192.168.11.100
Framed-IP-Netmask = 255.255.255.0
Service-Type := Framed-User

 

很显然,通过users文件能够直接决定radius向nas发送Access-Accept数据包中所包含的相关attribute信息,其中最重要的就是Framed-IP-Address属性信息了

 

有一点不要忘了,那就是必须在nas(radius client)上添加对应的nat iptables,这个肯定少不了的


3、与数据库配置的关系

 

一开始,我也弄了很久,不管怎么配置users文件,就是不起作用,以为是需要其他修改配置文件,反复查找资料,十分确定就是修改users文件;但是为什么我都配置好了却不起作用呢?

 

整个radius对接过程中,查看debug log可以发现,在验证客户端的用户名密码时,radius会先加载files模块,然后根据用户名去匹配users中的配置,查看匹配那一行,若没有精确到用户名的配置,则最终会跟default相匹配,同时会打印出log

写道
[files] users: Matched entry test at line 85
++[files] returns ok

 

这里可以看到,客户端已经从users匹配了相关信息,并会将获取的这些attribute信息,等于这时已经向Accept-Access数据包中添加了相关信息;

 

但是radius接下来会加载sql模块,如果sql里配置了相关Framed-IP-Address信息的话,那么Accept-Access数据包的Framed-IP-Address信息就会被修改成数据中读取到的值

 

比如我就悲催的以前添加过下述配置

写道
mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local');

mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Service-Type',':=','Framed-User');

mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Address',':=','255.255.255.254');

mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Framed-IP-Netmask',':=','255.255.255.0');

 

很显然,如果mysql添加过上述配置,那么users文件再怎么修改都将无动于衷

 

解决方法理论上有两个:

 

1、删除mysql中的对应Framed-IP-Address表项;

 

2、调整sites-enabled/default中authorize{}的files,sql的前后位置,将两者对调,这样就能改变他们加载时的先后顺序;

 

第一种方法肯定可行的;

命令如下:

写道
mysql> delete from radgroupreply where attribute = "Framed-IP-Address";

mysql> delete from radgroupreply where attribute = "Framed-IP-Netmask";
 

 

 

 

第二个方法,很抱歉,不可行,it doesn't work ; 至于为什么,我也不太清楚;

 

 

 

OK,先就这样吧

wangpengqi
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FreeRadius客户端和服务器配置
06-24
网络上有很多FreeRadius Server 安装方法,而关于FreeRadius Client 的安装几乎没有介绍,这里增加一些资料,一块学习
Radius认证协议(四)报文属性-2
milaoshu76的专栏
06-04 2万+
Framed-IP-Address 为用户配置的地址,可用于Access-Request和Access-Accept数据包。在Access-Request中用作NAS向Radius服务器发出的提示,表示它希望使用该地址,但服务器可以接受,也可以不接受。 Framed-IP-Address属性格式如下, 字段从左到右传输。 Type:8。 Length:6。 Address:4字节。0xFFFFFFFF表示NAS应该允许用户选择一个地址(例如,协商)。0xFFFFFFFE表示NAS应为用户选择一
002-Golang之Radius封装
仟玑的博客
04-19 1105
Golang之Radius封装-002 002 关于一次 go 实现 radius 的 PAP 和 CHAP 连接的坑 2.1 插件选择 go get -u layeh.com/radius 2.2 基础封装 PAP协议示例 func main() { packet := radius.New(radius.CodeAccessRequest, []byte(`秘钥`)) rfc2865.UserName_SetString(packet, "用户名") rfc2865.UserPassword_
RADIUS协议原理介绍+报文分析+配置指导-RFC2865/RFC2866
最新发布
fengxingzhe008的博客
09-19 8790
史上最全面的RADIUS协议介绍,AAA协议,RADIUS的认证,授权和计费,RFC2865/RFC2866/RFC5176文档简介,RADIUS应用案例。
PHP for radius 的常用预定义常量和函数
小独角兽的博客
01-28 912
一、预定义常量 1.1RADIUS OPTION 接受选项标志作为位掩码 1.1.1 RADIUS_OPTION_SALT(INT) 设置后,此选项将导致属性值被加密 1.1.2 RADIUS_OPTION_TAGGED(INT) 设置后,此选项将导致使用 tag 参数的值来标记属性值 1.2 RADIUS Packet Types 无论是请求还是响应,都始终包含一种类型。提供这些常量可以使在使...
FreeRadius windos 认证服务器
09-12
- **clients**:列出网络设备的IP地址和共享密钥,这些设备会向FreeRadius发送认证请求。 - **servers**:如果使用外部认证服务器(如LDAP或Active Directory),这里将定义连接参数。 - **authorize**和**...
搭建Linux下RADIUS服务器
08-10
例如:对于SLIP和PPP,回应中包括了IP地址、子网掩码、MTU和数据包过滤标示信息等。 RADIUS数据包结构: RADIUS数据包被包装在UDP数据报的数据块(Data field)中,其中的目的端口为1812。具体的数据包结构如表1:...
Radius的TinyRadius实现
05-28
Radius协议的数据包主要包括两部分:一个请求和一个认证请求号,以及一些属性字段,这些属性字段包含了用户的请求信息,例如用户名、密码、NAS的IP地址等。服务器端会根据这些信息,以及预设的策略和数据库中的数据...
RADIUS Attributes
09-27
- **Framed-IP-Address**:分配给用户的IP地址。 - **Acct-Status-Type**:用于标记账户状态的变化,如开始、停止等。 #### 2.2 标准RADIUS属性在CoA和Disconnect消息中的应用 CoA和Disconnect消息主要用于动态...
学习笔记:上网认证1 FreeRadius安装及与openldap的连接
LinBSoft的专栏
01-04 7838
Freeradius是开源免费并完全兼容RADIUS协议的RADIUS服务器和客户端软件,可以用它对用户的接入和访问特定的网络进行有效的控制,授权,计费等等,它支持多种验证,包括文件,LDAP,数据库等等。 本次测试安装环境centos7   计算机名 freeradius  ip:172.16.48.72 1.  先关闭SELinux和firewalld 2. 安装freeradius及...
radius mysql 分配ip_FreeRadius 根据mysql 下发指定地址池的地址...
weixin_32248531的博客
01-19 580
一、使用radius本地文件存储IP地址。修改modules/ippoolippool main_pool {range-start = 192.168.111.1range-stop = 192.168.113.254netmask = 255.255.255.0cache-size = 800session-db = ${db_dir}/db.ippoolip-index = ${db_dir...
利用 RADIUS服务器为 PPPoE Client分配IP地址和路由
将勤补拙
12-15 3165
利用 RADIUS服务器为 PPPoE Client分配IP地址和路由 为了方便管理和降低企业用户信息维护成本,越来越多的企业使用 RADIUS服务器对用户信息进行统一管理。通过在 RADIUS服务器上为每个 PPPoE Client配置 Frame-IP,在该 PPPoE Client上线时,通过PPPoE Server为其分配已经规划好的IP地址. 如图 RouterA、 Router...
linux+FreeRadius+mysql+Apache安装搭建过程
libinbin_1014的专栏
10-20 8263
linux+FreeRadius+mysql+Apache安装搭建 linux系统:centos6.5 FreeRadius:2.2.8版本源码 mysql : Ver 14.14 Distrib 5.1.73 Apache :2.2.15 好了,由于项目需要,本人搭建了Radius服务器,网上的资料坑太多,经过几天努力,已经搭建成功,现总结一下搭建的过程,方便大家一起学习。
身份认证——AAA与Radius协议讲解
m0_49864110的博客
03-16 5547
目录AAA介绍AAA的基本架构AAA的认证 授权 计费方式AAA通过本地和远端实现的大致流程Radius协议Radius架构Radius报文结构Radius如何对用户进行认证Radius协议报文交互过程AAA(Authentication Authorization and Accounting)又称为认证、授权和计费,是一种管理网络安全的机制(架构),主要为接入网络的用户提供认证、授权和计费三种基本服务,用于防止非法用户登陆设备AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议,也有些会
网络 || PPP
qq_60271706的博客
08-14 287
点到点协议(Point to Point Protocol,PPP)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。除了 IP 以外 PPP 还可以携带其它协议,包括 DECnet 和 Novell 的 Internet 网包交换(IPX)。
Radius认证协议(三)报文属性-1
热门推荐
milaoshu76的专栏
05-18 3万+
属性 RADIUS属性携带用于请求和应答的特定认证、授权、信息和配置细节。 Attributes列表的结束由RADIUS数据包的Length字段决定。 Attributes列表可以包含同一种属性多次。 如果存在多个相同Type的属性,则任何代理都必须保留相同Type的属性的顺序。不需要保留不同Type属性的顺序。RADIUS服务器或客户端不能依赖不同Type的属性顺序。RADIUS服务器或客户端不能要求相同Type的属性是连续的。 属性格式如下, 字段从左到右传输。 Type
Ubuntu 16.04.1 LTS下安装FreeRADIUS2.2.8并开启MySQL认证
ruolin0923的博客
09-11 513
Ubuntu 16.04.1 LTS下安装FreeRADIUS2.2.8并开启MySQL认证
路由器 radius认证获取ip_玩转网络工程师·认证篇
weixin_39929377的博客
12-14 664
有时候,我们在进行远程登陆的时候,有没有思考过一个问题,有些配置,究竟是在起到了什么作用,究竟是做什么呢?我们拿一个环境来举例配置[Huawei]aaa [Huawei-aaa]local-user chenleilei service-type telnet [Huawei-aaa]local-user thinkmo123 privilege level 3 password cipher ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值