Parâmetros do Radius
Tabela de conteúdo[esconder] |
Consultar NAS
Utilize o menu para consultar os NAS cadastrados. Você pode modificar os dados do NAS listado clicando no local correspondente.São oferecidas, ainda, as seguintes opções:
Item | Descrição |
---|---|
Imprimir (botão) | Gera um PDF com o resultado da consulta. Opção mostrada somente em caso de consulta com NAS encontrados. |
Cadastrar Novo NAS (botão) | Vai para a tela de cadastro de NAS. |
Cadastrar NAS
Introdução
NAS significa Network Access Server. É o servidor onde o usuário se conectará para navegar na internet. O Mikrotik é um NAS. Os rádios da Ubiquiti, a partir da versão 5.5.2 também podem ser NAS.
Dica: Uma forma
fácil de determinar qual equipamento é um NAS é verificar onde as queues
dos usuários são criadas. Todo lugar onde há queue é um NAS.
Routerboards em bridge, sem queues, provavelmente não serão NAS.
O NAS, antes de liberar a navegação ao usuário, irá verificar junto ao RadiusNET se a navegação pode ser liberada.
Leia atentamente essa seção para aprender a configurar seu NAS corretamente e utilizar todos os recursos que o RadiusNET oferece.
Configuração do Mikrotik
Antes de configurar o RadiusNET é preciso configurar corretamente o Mikrotik.
Vídeo: Após ler as instruções abaixo, veja em detalhes como configurar um NAS Mikrotik aqui
Deverão ser configurados os seguintes itens:
- Timezone
- Relógio
- SNTP
- SSH
- API
- SNMP
- Radius
Acertando o Timezone
O horário propriamente dito será acertado no próximo passo. Nesse momento deverá ser acertado o "timezone", ou seja, a região do provedor.Acesse o New Terminal do Winbox e digite:
/system clock set time-zone-name=America/Sao_Paulo
Dica: Digite /system clock set time-zone-name=America/ e depois tecle TAB para ver todas as regiões disponíveis.
Acertando o Relógio
Utilize servidores externos para manter o correto horário de seu Mikrotik. Manter o relógio certo é de extrema importância para o correto funcionamento dos Logs e outras funcionalidades.Para acertar o Mikrotik para utilizar os servidores a.ntp.br e b.ntp.br acesse o New Terminal do Winbox e digite:
/system ntp client set enabled=yes mode=unicast primary-ntp=200.160.0.8 secondary-ntp=200.189.40.8
Protegendo seu sistema
Desabilite o acesso por TELNET, FTP e WWW e WWW-SSL:/ip service disable telnet ; /ip service disable ftp ; /ip service disable www ; /ip service disable www-ssl
Habilitando o SSH
O RadiusNET utiliza comandos SSH para algumas funções. Para isso é necessário fornecer nome de usuário e senha para acesso ao Winbox.Para habilitar o acesso por SSH na porta 22 somente para a máquina do RadiusNET com IP 192.168.0.100, siga o procedimento abaixo no New Terminal:
/ip service set ssh disabled=no address=192.168.0.100 port=22
ATENÇÃO:
Recomendamos que seja SEMPRE colocado o IP do RadiusNET no campo
address, para evitar ataques ao SSH de pessoas não autorizadas.
Habilitando o API
O RadiusNET utiliza comandos API para algumas funções. Para isso é necessário fornecer nome de usuário e senha para acesso ao Winbox.Para habilitar o acesso por API na porta 8728 somente para a máquina do RadiusNET com IP 192.168.0.100, siga o procedimento abaixo no New Terminal:
/ip service set api disabled=no address=192.168.0.100 port=8728
ATENÇÃO:
Recomendamos que seja SEMPRE colocado o IP do RadiusNET no campo
address, para evitar ataques ao API de pessoas não autorizadas.
Habilitando o SNMP
O SNMP é indispensável para o correto funcionamento do protocolo Radius, principalmente para que nenhum login fique "travado" sem o cliente estar online.Para habilitar o SNMP no Mikrotik, para receber comandos somente do RadiusNET no IP 192.168.0.100, digite no New Terminal:
/snmp community add name=public address=192.168.0.100 security=none read-access=yes write-access=yes ; /snmp set enabled=yes trap-target=0.0.0.0 trap-community=public trap-version=1Caso o comando acima retorne o erro "failure: comunity with the same name already exists!" execute o seguinte comando:
/snmp community set public address=192.168.0.100 security=none read-access=yes write-access=yes ; /snmp set enabled=yes trap-target=0.0.0.0 trap-community=public trap-version=1
ATENÇÃO:
Verifique no menu SNMP. Deve haver APENAS UMA LINHA COM O NAME PUBLIC.
Caso haja duas linhas, removas as duas e repita o comando.
ATENÇÃO: Recomendamos que seja SEMPRE colocado o IP do RadiusNET no campo address, para evitar ataques SNMP de pessoas não autorizadas.
Habilitando a Routerboard para o protocolo Radius
Os procedimentos abaixo habilitarão a Routerboard para trabalhar com o protocolo Radius.Para habilitar o serviço para o servidor do RadiusNET no IP 192.168.0.100 com a chave secret "frasesecreta" digite o comando abaixo no New Terminal:
/radius incoming set accept=yes port=3799 ; /radius add service=dhcp,hotspot,ppp,wireless address=192.168.0.100 secret=frasesecreta authentication-port=1812 accounting-port=1813 timeout=600ms
ATENÇÃO: Verifique no menu RADIUS. Deve haver APENAS UMA LINHA. Caso haja duas linhas, removas as duas e repita o comando.
ATENÇÃO:
Na opção secret coloque APENAS letras e números. Não coloque espaços,
acentos ou cedilha (ç). Secret é a senha que o NAS utiliza para
autenticar-se no RadiusNET.
Dica: Em service
deixe todas as opções acima mesmo que não vá utilizar todas, uma vez que
na configuração do serviço em si (PPPoE, Hotspot, etc) ainda é
necessário habilitar o Radius.
Configurando um Usuário para o RadiusNET
O RadiusNET necessita de um usuário com acesso total a routerboard via API e SSH. Para isso crie um usuário e senha específico para o servidor do RadiusNET. Para criar um usuário e senha numa RB com seu RadiusNET no IP 192.168.0.100 digite o seguinte no New Terminal:/user add name=radiususer password=radius332299 group=full address=192.168.0.100 comment="Usuario RadiusNET - Nao apagar"A Regra acima cria o usuário "radiususer" com a senha "radius332299" com acesso "full" mas limitando seu login do IP 192.168.0.100, no caso, o servidor do RadiusNET, evitando acesso não autorizado com esse nome de usuário e senha de outros IPs. Você pode mudar o usuário e senha para o que você quiser.
ATENÇÃO:
Algumas versões do MK possuem um bug: aceitam a regra acima mas criam o
usuário com senha em branco. Nesse caso o RadiusNET dará um "erro de
API" na hora de cadastrar um NAS. Se isso ocorrer coloque a senha
manualmente pelo Winbox através do menu System >> Users.
Configuração Ubiquiti
Vá na aba SERVICES e habilite o SNMP Agent. Deixe o campo "SNMP Community" com a palavra "public" (sem aspas). Os campos "Contact" e "Location" podem ficar em branco.Ainda na aba SERVICES habilite o SSH. No campo "Server Port" você pode escolher qualquer porta (irá precisar dessa informação adiante). Deixe marcado o campo "Password Authentication".
Clique em "Change" e depois em "Apply" para salvar as mudanças feitas na aba SERVICES.
Para configurar a aba WIRELESS corretamente, siga os procedimentos aqui.
Configuração Ubiquiti - EdgeMAX
Para saber como configurar seu EdgeMAX/EdgeRouter para funcionamento com o RadiusNET siga os passos do vídeo abaixo.
Vídeo: Clique aqui
Configuração do RadiusNET
Após configuradas todas as opções na(s) Routerboard(s) e/ou Ubiquiti, basta entrar com os dados no RadiusNET.São oferecidas as seguintes opções:
Item | Descrição |
---|---|
IP do NAS (numérico e obrigatório) | Coloque o IP do seu roteador que irá fazer as requisições ao RadiusNET. |
Nome do NAS (alfanumérico e obrigatório) | Coloque um nome amigável para seu NAS. Coloque APENAS letras e números. Não coloque acentos ou cedilha (ç). |
Type (combo e obrigatório) | Selecione qual o tipo do NAS. Se o seu NAS for Mikrotik SEMPRE escolha a opção "Mikrotik". Se for Ubiquiti SEMPRE escolha a opção Ubiquiti. |
Palavra Secreta (alfanumérico e obrigatório) | Coloque aqui o "secret" configurado na Routerboard/Ubiquiti. Coloque APENAS letras e números. Não coloque espaços, acentos ou cedilha (ç). |
Descrição (alfanumérico e obrigatório) | Coloque um nome amigável para seu NAS. Coloque APENAS letras e números. Não coloque acentos ou cedilha (ç). |
Incoming Port (numérico e obrigatório) | Número da porta que o RADIUSNET irá utilizar para avisar ao roteador que o usuário deverá ser desconectado. Assim, para poder desconectar usuários diretamente através do RadiusNET esse parâmetro deverá ser habilitado. Caso tenham sido seguidas corretamente as instruções de configuração passadas será a porta 3799. |
Usuário (alfanumérico e obrigatório) | Cadastre o nome do usuário para acesso remoto via SSH no Mikrotik ou Ubiquiti. Pode ser utilizado o usuário "admin" ou se preferir crie um usuário específico. Este campo é case sensitive, ou seja, "Admin" é diferente de "admin", que é diferente de "ADMIN", etc. |
Senha do Usuário (alfanumérico e obrigatório) | Cadastre a senha do usuário remoto do SSH do Mikrotik/Ubiquiti colocado no campo anterior. Este campo é case sensitive, ou seja, "Senha" é diferente de "senha", que é diferente de "SENHA", etc. |
Porta SSH (numérico e obrigatório) | Coloque a porta do "service" SSH da Routerboard ou na aba SERVICES da Ubiquiti. |
Hotspot para Status Avisado (combo e obrigatório) | Coloque "sim" SOMENTE se esse NAS for responsável por mostrar o aviso para usuários DHCP ou PPPoE que estiverem com status avisado. Na dúvida deixe em "NÃO"! Ubiquiti é SEMPRE "não". |
ATENÇÃO:
Para o correto controle de conexões simultâneas e para obter gráficos
de sinal de cliente, velocidade, etc, o parâmetro TYPE deve ser
configurado corretamente.
Monitoramento de Rede - Somente Mikrotik
Ao clicar em GRAVAR, se tudo foi configurado corretamente, o RadiusNET irá conectar-se ao NAS e pegar a quantidade de interfaces ether, bridge e wlan. Serão mostradas as seguintes opções:Item | Descrição |
---|---|
Monitorar Nível de Sinal e Valor (-dBm) (combo, numérico e obrigatório) | Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar o sinal de todos os clientes conectados na Routerboard. Caso o sinal fique com valor inferior ao aqui colocado, o RadiusNET irá abrir uma Ordem de Serviço informando o ocorrido. No campo "Valor (-dBm)" não há necessidade de colocar o sinal de menos (Ex. Valor (-dBm) 70). Se o sinal de algum usuário ficar entre -71 em diante será aberta uma Ordem de Serviço automaticamente. Lembre-se sinal -71 é PIOR que sinal -70. |
Monitorar CPU e Valor (%) (combo, numérico e obrigatório) | Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar o nível da CPU da Routerboard. Caso o valor fique acima do indicado será aberta uma Ordem de Serviço automaticamente informando o ocorrido. |
Monitorar Memória e Valor (%) (combo, numérico e obrigatório) | Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar a utilização de memória da Routerboard. Caso o valor fique acima do indicado será aberta uma Ordem de Serviço automaticamente informando o ocorrido. |
Monitorar HD e Valor (%) (combo, numérico e obrigatório) | Selecione "Sim" e complete o valor numérico para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar a utilização do HD da Routerboard. Caso o valor fique acima do indicado será aberta uma Ordem de Serviço automaticamente informando o ocorrido. |
Monitorar (ether, bridge ou wlan), Input e Output (combo, numérico e obrigatório) | Selecione "Sim" e complete o valor numérico em megabytes para utilizar essa função. Ao habilitar essa função o RadiusNET irá monitorar o tráfego na interface (throughput). Caso o valor fique acima do colocado será aberta uma Ordem de Serviço automaticamente informando o ocorrido. |
Dica: Utilize o
monitoramento da Routerboard para alertar em caso de alta utilização da
CPU. Utilize o monitoramento de interface para alertar em caso de alta
utilização das interfaces o que pode gerar pontos de lentidão na rede ou
indicar ser necessário adquirir mais link.
0 comentários:
Postar um comentário