Bem-vindo à Comunidade UBNT

Servidor PPPoE no EdgeRouter com FreeRadius e Controle de Banda

UI-SamuelUI-Samuel 849 Pontos
editado dezembro 2018 em EdgeMAX
Os roteadores da família EdgeRouter são muito poderosos e um dos vários recursos suportados é a integração/configuração de um servidor Radius externo para autenticar os clientes da rede do provedor através de um servidor PPPoE embutido no equipamento. Essa configuração no EdgeRouter é bastante simples porque basicamente basta informar o range de IPs que serão entregues para os clientes, apontar o endereço IP e a chave configurada no servidor Radius externo, além de informar a(s) interface(s) em que as requisições de autenticação serão "escutadas". Esse procedimento é rapidamente realizado através da interface gráfica do ER na seguinte opção:

> Services
> PPPoE



Uma vez feito o apontamento do serviço PPPoE na EdgeRouter para um servidor Radius externo, todo o esforço de configuração das contas dos usuários e aplicação dos controles de limite de banda down/up é diretamente realizado no serviço Radius em execução no servidor externo. O serviço freeRadius é gratuito e pode ser instalado em qualquer distribuição de Linux. Neste post vou utilizar um servidor rodando Debian GNU/Linux para explicar brevemente os pontos principais da instalação e configuração do freeRadius. 

O primeiro passo é fazer a instalação do serviço através dos repositórios via APT:
root@debian:~# apt-get update 
root@debian:~# apt-get install freeradius
Observação: Para obter mais informações sobre a instalação do serviço freeRadius no Linux e de outros procedimentos de teste para validar se o serviço está em execução no servidor, recomendo a leitura da WiKi oficial do freeRadius, disponível no link abaixo:

https://wiki.freeradius.org/guide/Getting-Started

Após instalar o freeRadius no Debian GNU/Linux, será criado o seguinte diretório com os arquivos de configuração:
  • /etc/freeradius

A criação de novas contas de usuário é feita no seguinte arquivo de configuração:
  • /etc/freeradius/3.0/mods-config/files/authorize

Ao criar um novo usuário no arquivo de configuração "authorize", também é possível fazer a associação com os parâmetros destacados abaixo para aplicar controle de banda down/up. É importante que os valores da velocidade sejam informados em bits por segundo (bps), ou seja, 2M equivale a 2048000. Outro detalhe é que as contas dos usuários devem ser inseridas no topo do arquivo de configuração, a partir da primeira linha. Por exemplo, para criar um usuário denominado "ubnt" com a senha "ubnt" e controle de banda de 2M/1M down/up, a sintaxe ficaria:

ubnt    Cleartext-Password       := "ubnt"
        WISPr-Bandwidth-Max-Down := 2048000,
        WISPr-Bandwidth-Max-Up   := 1024000
Uma vez criadas as contas dos usuários que serão autenticados no servidor freeRadius, então devem ser informados os dispositivos que serão os reais "clientes" do servidor freeRadius fazendo o encaminhamento da solicitação de autenticação dos usuários. Nesse caso, é o serviço PPPoE em execução no EdgeRouter que fará o encaminhamento, logo o EdgeRouter deve ser adicionado como cliente do servidor Linux freeRadius. Essa configuração de novos "dispositivos clientes" é feita no seguinte arquivo de configuração:

  • /etc/freeradius/3.0/clients.conf
client EdgeRouter {
    ipaddr = 192.168.1.1
    secret = testing123
}
Observação: A chave informada em secret não é uma senha, mas o "segredo" compartilhado que deve ser o mesmo na configuração do serviço PPPoE ilustrado na primeira figura desse post e também neste arquivo de configuração do serviço freeRadius. 

Pronto, é isso! Dessa forma aqueles usuários que tiverem sua CPE fisicamente conectada na rede vinculada à interface de escuta do serviço PPPoE na EdgeRouter já conseguirão autenticar o usuário/senha na modalidade "cliente PPPoE". Ao conectar como cliente, os usuários também já vão receber do servidor freeRadius as instruções com as restrições de banda nos sentidos down/up sem nenhuma necesidade de configuração de QoS diretamente na interface do EdgeRouter!
UI-Jalles

Comentários

  • gledneygledney 0 Pontos
    Olá, gostaria de saber se é compatível com radius do Mk-auth?
  • UI-SamuelUI-Samuel 849 Pontos
    O PPPoE server do ER é totalmente compatível com o freeRadius no Linux.
    A compatibilidade com sistemas de terceiros deve ser verificada com o desenvolvedor da solução...
  • gledneygledney 0 Pontos
    Pois é, estamos querendo trocar um ccr 1009 por edgerouter pro8 , ate compramos mais as configurações são complicadas e a pool só pode /24 hj temos mais 250 clientes  e nao consegui mudar a pool do pppoe e hoje usamos radius mk auth e pelo que li nos fórum não são compatível, sabe me dizer se ela aguenta 1Gb link, hoje temos 550 Mb
  • UI-SamuelUI-Samuel 849 Pontos
    Sim, o ER-8 aguenta mais que um link de 1G.
  • gledneygledney 0 Pontos
    Que bom, amanhã vou por na bancada por testa o radius e alguns firewalls
  • bom dia, deixa eu ver se entendi, para cada usuário criado será a mesma senha de conexão com o freeradius?  ou cada usuário teria sua senha individual?
  • UI-SamuelUI-Samuel 849 Pontos
    Cada usuário (suplicante) vai ter uma conta individual no serviço freeRadius do servidor Linux, por exemplo "ubnt" nesse tutorial. Não confundir com o segredo do cliente imediato do servidor Radius que é o EdgeRouter (autenticador).
  • MbatistaoMbatistao 0 Pontos
    editado setembro 20
    Certo, então cada usuário terá seu Login e senha que será criado dentro das configurações do freeradios e não do edgerouter? teria algum tutorial da configuração em vídeo algo assim?
  • UI-SamuelUI-Samuel 849 Pontos
    Esse tópico contém justamente o tutorial com o passo a passo. Você pode criar quantas contas de usuário quiser no freeRadius seguindo a mesma sintaxe. Para mais informações sobre a configuração do freeRadius, basta consultar a documentação oficial do serviço:

    https://wiki.freeradius.org/guide/Getting-Started
Entre ou Registre-se para fazer um comentário.