L54 Dual und RADIUS Accounting

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Hallo,

habe es jetzt geschafft, einen RADIUS Server aufzusetzen, für manche von euch sicher ein klacks:P aber für mich war es komplettes Neuland, vor allem Linux:D

Habe ein Debian System mit FreeRadius.
Das Authentifizieren via 802.11i TTLS/MschapV2 funktioniert ohne Probleme.

Habe leider auch zu meiner Frage nix in der Suche gefunden.
Hoffe auch die Fragen sind auch nicht zu dumm:p
Mein Freeradiusserver "zählt" nur den Traffic, wenn ich den Testnutzer per Puplic Spot anmelde.

Kann ich dies auch anders realisieren? Weil ich nicht auf alles L54 das PS Modul aktiviert habe.

Und die zweite Frage ist, muss ich im Lancom noch eine Option oder Feature aktivieren, um zu loggen, was der „Kunde“ bzw. „Nutzer“ für Dienste oder Seiten angefordert hat? Geht dabei in erster Linie um solche Geschichten wie emule, torrent.

Vielen Dank für die Antworten

Liebe Grüße

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4494 Wohnort: Aachen

Moin,

Setup->WLAN->RADIUS-Accounting

um den RADIUS-Server einzustellen und

Setup->Interfaces->WLAN->Network

um das Accounting auf den gewünschen SSIDs zu
aktivieren.

Zitat:

Und die zweite Frage ist, muss ich im Lancom noch eine Option oder Feature aktivieren, um zu loggen, was der „Kunde“ bzw. „Nutzer“ für Dienste oder Seiten angefordert hat? Geht dabei in erster Linie um solche Geschichten wie emule, torrent.

Eventuell bekommst Du das mit der Firewall hingebogen,
dazu müßtest Du auf den APs aber routen und nicht bridgen -
womit wiederum das transparente Roaming flöten geht.
Das macht man besser zentral auf dem Gateway.

Gruß Alfred

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Wow, das ging ja fix:)
Und geklappt hat es auch gleich noch:)
Finde ich diese "optionen" auch irgendwo im Lanconfig?
Weil ich hauptsächlich damit arbeite.

Nochmal zur Zweiten Frage und dazu viell nochmal ein paar mehr informationen:

Habe als Router bzw. Gateway(feste öffentliche IP) einen 1721 VPN, daran "hängen" 5 L54g bzw. L54 Dual(jeweils auch mit öffentlichen IP's) mit den jeweiligen Endkunden.

Die L54 übernehmen nun das Radius Accounting sind also für den Freeradius die Clients, wenn ich das richtig verstanden hab.

Da die Endkunden sowieso vom jeweiligen L54 "GeNATet" werden, laufen diese auch im Routing Modus.

Kannst du mir daher zum loggen etwas genauere Infos geben wie du das meinst?

Danke nochmals:)

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4494 Wohnort: Aachen

Moin,

Zitat:

Finde ich diese "optionen" auch irgendwo im Lanconfig?
Weil ich hauptsächlich damit arbeite.

Nein, bisher nicht.

Zitat:

Die L54 übernehmen nun das Radius Accounting sind also für den Freeradius die Clients, wenn ich das richtig verstanden hab.

Korrekt.

Zitat:

Kannst du mir daher zum loggen etwas genauere Infos geben wie du das meinst?

Ehrlich gesagt nein, die Firewall ist nicht meine Ecke...

Gruß Alfred

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Ok, trotzdem nochmals danke:)

Vielleicht weis jemand anders Rat:)

Wäre es theoretisch über die Radiusports 1812/1813 und mithilfe des Radiuservers auch möglich diese Informationen zu loggen?

Edit:

Was mir gerade noch auffällt, ist, dass es mir bei dieser Einstellung des RADIUS Accounting nicht die IP Adresse des "Kunden" in der sql Datenbank anzeigt. Worin liegt da der Unterschied zum PS Modul?

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4494 Wohnort: Aachen

Moin,

Zitat:

Wäre es theoretisch über die Radiusports 1812/1813 und mithilfe des Radiuservers auch möglich diese Informationen zu loggen?

Ich wüßte nicht, daß RADIUS für derlei passende Attribute
definiert hätte. Das Protokoll ist für so etwas eben nicht
definiert worden.

Zitat:

Was mir gerade noch auffällt, ist, dass es mir bei dieser Einstellung des RADIUS Accounting nicht die IP Adresse des "Kunden" in der sql Datenbank anzeigt. Worin liegt da der Unterschied zum PS Modul?

Hast Du Interim-Updates eingeschaltet oder nicht? (der
Menüpunkt Setup->WLAN->RADIUS-Accounting->
Interim-Update-Period muß ungleich 0 sein, z.B. 120
Sekunden). Direkt nach dem Einloggen weiß der AP die
Client-IP-Adresse noch nicht (er holt sie sich ja erst danach
per DHCP oder so), deshalb kann sie im Accounting-Start
noch nicht drin sein.

Gruß Alfred

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Zitat:

Hast Du Interim-Updates eingeschaltet oder nicht? (der
Menüpunkt Setup->WLAN->RADIUS-Accounting->
Interim-Update-Period muß ungleich 0 sein, z.B. 120
Sekunden). Direkt nach dem Einloggen weiß der AP die
Client-IP-Adresse noch nicht (er holt sie sich ja erst danach
per DHCP oder so), deshalb kann sie im Accounting-Start
noch nicht drin sein.

Gruß Alfred

Klappt, danke:)

Man könnte meinen, du kennst dich damit aus:p

Anmeldungsdatum: 11.07.2006 Beiträge: 86

Hallo,

wenn Du eh einen Radius auf einem PC auf Linux aufgesetzt hast, dann papp in das Teil ne 2te Netzwerkkarte rein und installiere den Squid als Proxy. Im Logfile des Squid steht drin welche Seiten von welchem Client aufgerufen wurden.

Da auf Linux auch immer ein Syslog mitläuft kannst Du in den AP´s die Sylslogmeldungen aktivieren so dass diese an den Linux PC gehen, der sammelt das dann in den Logfiles. Da steht dann dateiliert drin, welche MAC welche IP bekommen hat, ob der Client den AP gewechselt hat, warum er gegangen ist und eben welcher User zu welche MAC und welcher IO gehört.

Wenn man dann mal die Notwendigkeit hat einen Contentfilter zu installieren, dann kann man das auch kostengünstig via Squid machen.

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Pengiun hat folgendes geschrieben:

Hallo,

wenn Du eh einen Radius auf einem PC auf Linux aufgesetzt hast, dann papp in das Teil ne 2te Netzwerkkarte rein und installiere den Squid als Proxy. Im Logfile des Squid steht drin welche Seiten von welchem Client aufgerufen wurden.

Dann müsste aber der gesammte Traffic meines Netzes durch den Proxy? Und nicht wie jetzt, dass der Radius quasi parallel auf den entsprechenden Ports lauscht?

Pengiun hat folgendes geschrieben:

Da auf Linux auch immer ein Syslog mitläuft kannst Du in den AP´s die Sylslogmeldungen aktivieren so dass diese an den Linux PC gehen, der sammelt das dann in den Logfiles. Da steht dann dateiliert drin, welche MAC welche IP bekommen hat, ob der Client den AP gewechselt hat, warum er gegangen ist und eben welcher User zu welche MAC und welcher IO gehört.

Kannst du mir dazu paar genauere Infos geben? bzgl. Konfiguration? Mich interessieren eben nur besuchte Websites oder ähnliches, was verwertbar wäre, wenn ein User "illegale" Sachen downloaded oder gedownloaded hat.

Anmeldungsdatum: 11.07.2006 Beiträge: 86

Hallo,

ja der Traffic läuft durch den Proxy. Aber das ist ja eigentlich nicht schlimm.

Bau in das Ding einfach mal ne 2te Netzwerkkarte ein. Und installier den Squid. Für den Anfang reicht es ja wenn man ihn von Hand startet.

Die 2te Karte kommt in ein anderes Segment. Die Adresse auf die die Karte eingerichtet wird, stellt man im squid.conf als Listen Adresse ein. Modus Transparent. Dann muss man an den Clients nix einstellen.

Auf was für einer Distri hast Du die Kiste den eingerichtet.

Ich nehm für sowas immer Debian.

Das Squid Logfile kann man dann auch mit dem Webalizer aufbereiten und schon hat man ne schöne Statistik was die Anwender so alles treiben.

Ich nutze den Squid Rechner auch zum hosten der Anmeldeseiten für die Public Spots. Dann hab ich die an nur einer Stelle und muss das Zeug nicht in jeden AP reinladen. Da kann man dann auch mehr Bilder unterbringen etc.

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Hi,

und danke für die schnelle Antwort:)

Habe als Distri auch Debian:)
Und ich hab auch noch 2 freie NW Schnittstellen:)

Werde mich die Tage mal etwas näher damit befassen.
Nur eine Frage ersmal noch im Vorfeld.

Jetzt hat mein Radius ja nur eine NW karte in Betrieb und diese hat ne öffentliche IP...muss "Listen NW Karte" dann auch zwingend eine haben oder wie läuft das ab?"Routet" der Proxy dann?

Liebe Grüße

Anmeldungsdatum: 11.07.2006 Beiträge: 86

Hallo,

also die schon vorhandene / aktive sollte ETH0 sein.
Die geht an den Router.
Die zweite aktive wird ETH1.
Und auf die lässt man den Squid lauschen.
An ETH1 kommen dann die AP´s ran.

Der Debian Rechner, sitzt mit Radius und Squid quasi direkt in der Leitung zwischen Router (eth0) und den AP´s (eth1).

Zum testen einfach nen Notebook oder so anschliessen, man sollte dann von eth1 aus direkt ins Internet kommen.

Der Radius und Syslog beissen sich ja nicht mit dem Squid die haben je eigene Ports. Ein Radius auf dem Debian han ich zwar im Moment nicht hatte es aber mal mit Freeradius.

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Und wie verhält es sich mit den IP's?

Wäre dann ein PPPoe Server nicht sinnvoller?

Hast du meine PN bekommen?

Anmeldungsdatum: 11.07.2006 Beiträge: 86

Hallo,

ich weis nicht ob man das als Routing bezeichnen kann. Das was auf eth1 reinkommt geht druch den Proxy und wird auf eth0 rausgeschoben. Aber eben nur der WWW Traffic also 80 und 443.

Im Squid Log stehen die IP der WLAN CLients drin. Auf dem Router sieht man im Accounting nur die IP des Squid eth0.

Anmeldungsdatum: 27.08.2007 Beiträge: 21

Pengiun hat folgendes geschrieben:

Hallo,
Aber eben nur der WWW Traffic also 80 und 443.

Das heist, wenn jemand Sachen über z.B. Torrent oder Emule lädt, kann ich das nicht im Log sehen bzw. loggen?