W dniu 10.09.2013 13:30, Mirosław Kwak - lanserver.pl napisał(a):
Rozumiem że chodzi o autoryzację z radiusa który działa na slave bazy danych( bez możliwości zapisu danych ) , ale chemy mieć informację o rozpoczęciu i zakończeniu sesji ? Jeśli tak, to należy odpowiednio skonfigurować radiusa tak, aby korzystał z 2 baz danych , zapytania authorize_check_query,authorize_reply_query z slave , a zapytania accounting_start_query oraz accounting_stop_query szły do innej bazy danych .
Nie, nie chodzi mi akurat o to, żeby uruchamiać 2 bazy danych, lecz o to, żeby radius-auth działał bez bazy danych (bez sensu jest stosować sql przy dużej liczbie końcówek), a radius-acct leciał do innego serwera radius wykorzystującego rrd (bo znowu bez sensu jest zbierać przy dużej liczbie końcówek statystyki w sql).
Mirek
W dniu 10 września 2013 13:33 użytkownik Tomasz Chiliński tomasz.chilinski@chilan.com napisał:
Nie, nie chodzi mi akurat o to, żeby uruchamiać 2 bazy danych, lecz o to, żeby radius-auth działał bez bazy danych (bez sensu jest stosować sql przy dużej liczbie końcówek), a radius-acct leciał do innego serwera radius wykorzystującego rrd (bo znowu bez sensu jest zbierać przy dużej liczbie końcówek statystyki w sql).
Jeden radius jako proxy - pobierający dane z drugiego auth, a acct wysyłający do trzeciego. Wiem, proteza z drutu kolczastego.
W dniu 10.09.2013 13:52, Krzysztof Drewicz napisał(a):
W dniu 10 września 2013 13:33 użytkownik Tomasz Chiliński tomasz.chilinski@chilan.com napisał:
Nie, nie chodzi mi akurat o to, żeby uruchamiać 2 bazy danych, lecz o to, żeby radius-auth działał bez bazy danych (bez sensu jest stosować sql przy dużej liczbie końcówek), a radius-acct leciał do innego serwera radius wykorzystującego rrd (bo znowu bez sensu jest zbierać przy dużej liczbie końcówek statystyki w sql).
Jeden radius jako proxy - pobierający dane z drugiego auth, a acct wysyłający do trzeciego. Wiem, proteza z drutu kolczastego.
No właśnie - pada proxy i leży wszystko. Ze schematów przepływu pakietów w RouterOSie doszedłem, że RouterOS nie obsługuje nat/OUTPUT z DNAT, choć robi to normalny linux.
Jeden radius jako proxy - pobierający dane z drugiego auth, a acct
No właśnie - pada proxy i leży wszystko.
Dwa proxy? Akurat jeśli chodzi o auth, to sprawdzałem "w życiu" nawet 3 pracujące radiusy, trzeba tylko wiedzieć że - to działa tak: Jeśli pierwszy odpowiedział, to drugi i trzeci - są kompletnie olewane, nie można więc w ten sposób połączyć np 3 baz przez wpisanie 3 radiusów. Nie ma też round-robin, po prostu zawsze szło zapytanie do pierwszego. A backupowy radius, w większej sieci, zawsze się przyda. Ale to specyfika RouterOSa
W dniu 10.09.2013 14:02, Krzysztof Drewicz napisał(a):
Jeden radius jako proxy - pobierający dane z drugiego auth, a acct
No właśnie - pada proxy i leży wszystko.
Dwa proxy? Akurat jeśli chodzi o auth, to sprawdzałem "w życiu" nawet 3 pracujące radiusy, trzeba tylko wiedzieć że - to działa tak: Jeśli pierwszy odpowiedział, to drugi i trzeci - są kompletnie olewane, nie można więc w ten sposób połączyć np 3 baz przez wpisanie 3 radiusów. Nie ma też round-robin, po prostu zawsze szło zapytanie do pierwszego. A backupowy radius, w większej sieci, zawsze się przyda. Ale to specyfika RouterOSa
Tak masz rację, że zapytania lecą po kolei do serwerów Radius, ale same procesy klienckie auth i acct działają niezależnie/równolegle. Właściwie to czy jest możliwy równomierny rozrzut na kilka serwerów radius zależy od implementacji klienta radius w nas. W przypadku pluginu radius do pppd można to samemu zmodyfikować, a w przypadku RouterOS-a można używać tylko tego co firma pobłogosławi ;-) Zapasowy serwer radius na zupełnie innej maszynie to podstawa.
W dniu 10.09.2013 13:58, Tomasz Chiliński napisał(a):
W dniu 10.09.2013 13:52, Krzysztof Drewicz napisał(a):
W dniu 10 września 2013 13:33 użytkownik Tomasz Chiliński tomasz.chilinski@chilan.com napisał:
Nie, nie chodzi mi akurat o to, żeby uruchamiać 2 bazy danych, lecz o to, żeby radius-auth działał bez bazy danych (bez sensu jest stosować sql przy dużej liczbie końcówek), a radius-acct leciał do innego serwera radius wykorzystującego rrd (bo znowu bez sensu jest zbierać przy dużej liczbie końcówek statystyki w sql).
Jeden radius jako proxy - pobierający dane z drugiego auth, a acct wysyłający do trzeciego. Wiem, proteza z drutu kolczastego.
No właśnie - pada proxy i leży wszystko. Ze schematów przepływu pakietów w RouterOSie doszedłem, że RouterOS nie obsługuje nat/OUTPUT z DNAT, choć robi to normalny linux.
Tyle, że w linuksie akurat nat/OUTPUT z DNAT nie przyda się akurat, bo klient radius integrowany jako wtyczka do pppd obsługuje dwie dyrektywy konfiguracyjne: authserver localhost:1812 acctserver localhost:1813 Każdą z tych dyrektyw można wpisywać wielokrotnie co powoduje użycie na potrzeby auth lub acct wielu serwerów radius. I po co się męczyć z RouterOS-em? ;-)
uczestnicy (2)
-
Krzysztof Drewicz
-
Tomasz Chiliński