RADIUS客户端

RADIUS，远程认证拨号用户服务，是一个远程服务器提供认证和计费设施，以各种网络apliances的。RADIUS身份验证和记帐提供ISP或网络管理员的管理能力PPP用户访问和占整个一个大的网络从一台服务器。MikroTik的RouterOS软路由的热点，PPP，PPPOE，PPTP，L2TP和ISDN连接，可以验证RADIUS客户端。从RADIUS服务器收到的属性覆盖默认配置文件中的设置，但如果一些参数没有收到，他们从各自的默认配置文件。

咨询RADIUS服务器的数据库，如果没有匹配的用户接入路由器的本地数据库中找到记录。

流量占本地MikroTik的交通流和思科的IP地址对快照映像使用日志工具，可以收集。如果启用了RADIUS计费，会计信息也发送给RADIUS服务器默认情况下该服务。

此子菜单允许添加/删除RADIUS客户端。

注： 新增的项目在此列表中的顺序是显着的。

财产 描述

会计备份（有没有默认值：无） 无论配置备份RADIUS服务器

会计端口（整数[1 .. 65535] ，默认值：1813） 用于记帐的RADIUS服务器的端口

地址（IPv4/IPv6地址 ;默认：0.0.0.0） RADIUS服务器的IPv4或IPv6地址。

认证端口（整数[1 .. 65535] ，默认值：1812） 用于验证RADIUS服务器的端口。

-ID（字符串，默认：） 价值取决于点至点协议：PPPoE协议 - 服务名称，PPTP - 服务器的IP地址，L2TP - 服务器的IP地址。

评论（字符串，默认）

残疾人（是|没有预设值：无）

域（字符串，默认） 通过微软Windows域的客户端需要域验证的RADIUS服务器。

境界（字符串，默认） 明确指出领域（用户域），因此用户不提供正确的用户名带ISP域名。

秘密（字符串，默认） 用于访问RADIUS服务器的共享秘密。

服务（PPP |登录|热点|无线| DHCP默认） 路由器服务，将使用该RADIUS服务器：

热点 -热点认证服务

登录 -路由器的本地用户认证

PPP -点对点点对点客户端认证

无线 -无线客户端身份验证（客户端的MAC地址作为用户名发送）

DHCP - DHCP协议的客户端身份验证（客户端的MAC地址作为用户名发送）

SRC-地址（支持IPv4/IPv6地址 ;默认：0.0.0.0） 来源IP/IPv6的地址对报文发送给RADIUS服务器

超时（时间，默认100毫秒） 超时后，应该将请求重发

注： Microsoft Windows客户端发送自己的用户名，domain \ username格式

注： 当RADIUS服务器认证用户CHAP，MS-CHAPv1，MS-CHAPv2的，它不使用共享的秘密，秘密是仅用于认证的答复，和路由器正在验证它。所以如果你有错误的共享密钥，RADIUS服务器会接受请求，但路由器将不接受回复。你可以看到，与/半径监视器命令，“坏回复”每当有人试图连接数量应该增加。

要设置一个RADIUS服务器热点和PPP服务10.0.0.3的IP地址和前共享秘密，你需要做到以下几点：

[管理员@ MikroTik的半径>添加服务=热点，PPP地址= 10.0.0.3秘密= EX

[管理员@ MikroTik的半径>打印

标志：X  - 禁用

  ＃服务名为ID的域名地址的秘密

  是PPP，热点10.0.0.3前

[管理员@ MikroTik的半径>

AAA为各自的服务应该启用：

[管理员@ MikroTik的]：半径> / PPP AAA使用半径=

[管理员@ MikroTik的半径> / IP热点设定档集默认使用半径=

要查看客户端的一些统计数据：

[管理员@ MikroTik的半径>监视0

             待：0

            要求：10

             接受：

             拒绝：1

             重发：15

            超时：5

         坏回复：0

    最后请求RTT：0S

[管理员@ MikroTik的半径>

子菜单： /半径传入的

这家工厂支持RADIUS服务器发送不请自来的邮件。不请自来的邮件扩展RADIUS协议的命令，允许终止会话已经从RADIUS服务器连接。为了这个目的DM（断开消息）被使用。断开消息导致用户会话立即被终止。

注： 不支持RouterOS软路由的POD（包断开）其他RADIUS访问请求数据包断开消息进行了类似的功能

属性

财产 描述

接受（是|没有预设值：无） 是否接受不请自来的邮件

端口（整数默认值：1700） 侦听请求的端口号

在这里，你可以下载，其中包括了所有需要的RADIUS属性RADIUS参考字典。这本词典是最小的字典，这是足以支持MikroTik的RouterOS软路由的所有功能。它是专为FreeRADIUS的，但也可以使用许多其他UNIX RADIUS服务器（如XTRadius）。

注意： 它可能会发生冲突的RADIUS服务器默认的配置文件，其中有引用的属性，缺席本字典。请正确的配置文件，而不是字典，MikroTik的RouterOS软路由的支持，因为没有其他的属性。

也有RADIUS MikroTik的具体字典可以包含在现有的字典，以支持MikroTik的供应商特定的属性。

公私伙伴关系 - PPP，PPTP，PPPoE和ISDN

默认配置 -默认的配置文件中的设置或热点（PPPs）的服务器设置（热点）

访问请求

服务型 -始终是“陷害”（仅适用于公私伙伴关系）

框架的协议 -始终是“购买力平价”（仅适用于公私伙伴关系）

NAS标识符 -路由器的身份

NAS-IP地址 - IP地址的路由器本身

NAS端口 -唯一的会话ID

ACCT会话ID -唯一的会话ID

NAS端口类型 -异步PPP - “异步”; PPTP和L2TP - “虚拟”的PPPoE - “以太网”; ISDN - “ISDN同步”;热点- “以太网电缆|无线802.11（按价值热点p / IP NAS端口类型参数

呼叫站ID - PPPoE和大写字母热点客户端的MAC地址，PPTP和L2TP -客户端的公网IP地址，ISDN -客户端MSN

称为“站ID - PPPoE协议-服务名称，PPTP和L2TP -服务器的IP地址，ISDN -接口MSN热点-的HotSpot服务器名称

NAS端口ID -异步PPP -串行端口名; PPPoE协议-以太网接口的名字哪个服务器上运行;热点-热点的物理接口（如桥，桥口的名字在这里显示），不存在用于ISDN名称， PPTP和L2TP

通用客户端翻译后的帧IP地址 -热点客户端的IP地址

MikroTik的主机IP -通用客户端之前翻译的热点客户端（原来的IP地址的客户端的IP地址）

用户名称 -客户端的登录名

MS-CHAP域 -用户域，如果存在

MikroTik的境界 -如果它设置/半径菜单中，它被包含在MikroTik的境界属性每个RADIUS请求。如果它没有被设置，在MS-CHAP域属性（如果MS-CHAP域缺失，的境界不包括既不）相同的值被发送

位置ID WISPr -文本字符串中指定位置半径id属性的HotSpot服务器

WISPr地点名 -在半径位置的HotSpot服务器的名称属性指定的文本字符串

WISPr注销网址 -全到登录页面的链接（例如，http://10.48.0.1/lv/logout）

根据不同的身份验证方法（注意：热点使用CHAP默认情况下，还可以用PAP如果启用了未加密的密码，不能使用MSCHAP）：

用户密码 -加密的密码（PAP验证使用）

CHAP密码，CHAP挑战 -加密的密码和挑战（使用CHAP身份验证）

MS-CHAP响应，MS-CHAP挑战 -加密的密码和挑战（MS-CHAPv1认证用）

MS-chap2的响应，MS-CHAP挑战 -加密的密码和挑战（用MS-CHAPv2的认证）

帧IP地址 - IP地址给客户端。如果地址属于127.0.0.0 / 8 224.0.0.0 / 3的网络，IP池用于从默认的配置文件，客户端IP地址分配。如果指定，帧帧IP地址池被忽略

帧IP子网掩码 -客户端网络掩码。公私伙伴关系-如果指定的话，路由将被创建到网络帧IP地址属于通过帧IP地址网关;热点-忽略热点

裱游泳池 -从中获取IP地址的客户端的IP地址池的名称（在路由器上）。如果帧IP地址被指定，这个属性被忽略

帧IPv6前缀 -为客户端分配IPv6前缀。加入V5.8

MikroTik的委托IPv6的游泳池 - IPv6地址池用于前缀代表团。加入V5.9

注：如果帧IP地址或指定帧游泳池覆盖远程地址在默认配置

空闲超时 -覆盖了idle-timeout的默认配置

在默认配置会话超时 -覆盖会话超时

端口限制 -最大mumber同时连接使用相同的用户名（覆盖TE共享热点的用户配置文件的用户属性）

类 -饼干，将被列入计费请求不变

框架的路线 -在服务器上添加路由。指定格式在RFC 2865中（CH. 5.22），可以指定多次

过滤器的ID -防火墙过滤器链名。它是用来做一个动态防火墙规则。防火墙链名可以有后缀。或出来，那将安装规则，只有传入或传出流量。多个过滤器ID可以提供，但只有最后的传入和传出。对于购买力平价PPP链-过滤规则，将跳转到指定的链，如果一个数据包/从客户端（这意味着，你应该先创建一个PPP链，使跳的规则，将实际流量，这条产业链已经到了） 。这同样适用于热点，但热点链的规则将被创建

MikroTik的标记ID -防火墙的杂乱链名称（热点）。MikroTik的RADIUS客户端在收到此属性创建一个动态防火墙裂伤规则的行动=跳链=热点和跳跃目标区属性值相 ??等。裂伤链的名称可以有后缀。或出来，那将安装规则，只有传入或传出流量。可以提供多重标记ID属性，但只有最后的传入和传出。

的ACCT中期间隔 - RADIUS客户端的临时更新。PPP -如果使用指定的RADIUS客户端;热点-只有尊重，如果半径中期更新=接收到的热点服务器配置文件

MS-MPPE加密策略 -要求加密属性关系（PPP）

MS-MPPE加密类型 -使用加密属性，非零值表示使用加密（公私合营）

登高数据速率 - TX / RX数据传输速率的限制，如果提供了多个属性，首先TX数据传输速率限制，第二- RX数据传输速率。如果用，一起登高XMIT率，指定RX率。0如果无限。如果速率限制属性存在忽略

登高XMIT率 - TX数据传输速率的限制。它可用于指定tx的限制，而不是只发送两个sequental的的登高数据速率属性（升在这种情况下，数据速率将指定的接收速率）。0如果无限。如果速率限制属性存在忽略

MS-chap2的成功 -授权。MS-CHAPv2的反应，如果使用（仅适用于公私伙伴关系）

MS-MPPE发送键，MS-MPPE-RECV重点 -加密密钥加密的购买力平价RADIUS服务器提供的不仅是MS-CHAPv2的用于身份验证（仅适用于公私伙伴关系）

登高客户机-网关 -客户端网关DHCP池热点登录方法（热点）

MikroTik的接收-限制 -总接收的字节限制为客户

MikroTik的接收，限 ??制Gigawords - 4G（2 ^ 32）个字节的总接收限制（位32 .. 63，当位0 .. 31交付MikroTik的，接收限制）

MikroTik的，XMIT限制 -总发射限值（以字节为单位）为客户

MikroTik的XMIT限Gigawords - 4G（2 ^ 32）个字节的总发射限值（位32 .. 63，当位0 .. 31交付MikroTik的，接收限制）

MikroTik的无线转发 -无线基础设施，如果这个属性被设置为“0”（仅适用于无线客户端的帧）

MikroTik的无线跳过DOT1X -禁用802.1x认证的无线客户端particulat如果设置为非零值（仅适用于无线）

MikroTik的无线-ENC-算法 - WEP加密算法：0 -不加密，1 - 40位WEP，2 - 104位WEP（无线）

MikroTik的无线-ENC- - WEP金encruption的关键为客户端（无线）

MikroTik的速率限制 -为客户的数据传输率的限制。格式是：RX率[/ TX率] [RX-突发速率[/ TX-突发速率] [RX-突发阈值[/ TX-突发阈值] [RX-突发时间[/ TX-突发时间] [优先级] [AP接收的帧速率最小[/ tx的速率分钟]]]]从点入“rx”是客户端的上传，tx的“客户端下载的路由器的视图。所有的价格应该是可选的'K'（1000）或“M”（1,000,000次）的号码。如果tx的速率没有被指定，则接收的帧速率，tx的速率。同去的TX-突发速率和TX-突发阈值和TX-突发时间。如果没有指定RX突发阈值和TX-突发门槛（但指定突发速率），RX-率和TX率作为突发阈值。如果没有指定两个RX-突发时间和TX-突发时间，1S作为缺省值。优先级的值是1 .. 8，其中1表示最高的优先级，但8 -最低的。如果接收的帧速率最小和tx速率分钟未指定AP接收的帧速率，使用tx的速率值。RX率分钟和TX率最小值不能超过RX率和TX-率值。

MikroTik的集团 -路由器的本地用户/用户组定义为本地用户组名。热点热点用户的默认配置文件。

MikroTik的广告网址 - URL的页面应该显示给客户的广告。如果这个属性被指定，广告会自动启用，包括透明代理，即使他们在相应的用户配置文件中被明确禁用。多个属性实例可能通过RADIUS服务器发送到指定其中在循环赛时尚choosen的其他URL。

MikroTik的广告间隔 -之间的时间间隔两个相邻的广告。多属性实例可能会发送给RADIUS服务器以指定的时间间隔。所有的时间间隔值threated作为一个列表，并采取了一个接一个的每次成功的广告。如果到达列表的最后，继续被使用的最后一个值。

的WISPr重定向URL - URL，客户端将被重定向到成功的登录后，

带宽WISPr最小 -最小数据速率（CIR）的客户端上传

带宽最小WISPr向下 -最小数据速率（CIR），提供客户端下载

提供客户端上传的带宽最大WISPr- -，数据速率maxmal（MIR）

带宽WISPr最大向下 - maxmal的的数据速率（MIR），提供客户端下载

WISPr会话终止时间 -时间应断开，当用户在“YYYY-MM DDTHH：MM：ssTZD”的形式，其中Y - M -个月，D -天，T -分隔符（必须写入日期和时间之间），H -小时（24小时制）;米-分钟-秒; TZD -时区，在这些形式之一：“+ HH：MM”，“+ HHMM”，“ - HH：MM“，”-HHMM“

注： 接收到的属性替代默认的值（默认配置文件中设置），但如果属性没有收到从RADIUS服务器，默认的是使用。

速率限制的优先级高于所有其他方式来为客户端指定的数据速率。提升数据传输速率的属性被认为是第二;和WISPr属性需要的最后一个优先。

下面是一些限速的例子：

128K - RX率= 128000，TX-率= 128000（没有爆发）

64k/128M - RX-率= 64000，TX率= 1.28

64K 256K - RX / TX-率= 64000，RX / TX突发速率= 256000，RX / TX-突发阈值= 64000，RX / TX-突发时间= 1秒

64K/64K 256k/256k 128k/128k 10/10 - RX / TX率= 64000，RX / TX突发速率= 256000，RX / TX-突发阈值= 128000，RX / TX-突发时间= 10秒

计费请求

计费请求进行访问请求，再加上这些的相同的属性：

ACCT状态类型 -开始，停止，或中期更新

ACCT正宗 -由RADIUS或地方政府关系（PPP只认证）

类别 - RADIUS服务器cookie，收到访问接受

ACCT延迟时间 -多久路由器尝试发送该计费请求报文

停止和中期更新计费请求

另外计费开始请求，下面的消息将包含以下属性：

ACCT会话时间 -在几秒钟内连接的正常运行时间

ACCT输入字节 -从客户端接收的字节

ACCT输入Gigawords - 4G（2 ^ 32）接收的字节数从客户端（位32 .. 63，位0 .. 31时交付在ACCT输入八位）

ACCT输入包 - 2-14从客户端接收的数据包

ACCT输出字节 -字节发送到客户端

ACCT输出Gigawords - 4G（2 ^ 32）发送到客户端（位32 .. 63 0 .. 31位，当交付在ACCT输出八位字节）

ACCT输出包 -向客户端发送的数据包数量

这些数据包将中期更新包，另外，有：

ACCT终止原因 -会话终止原因（见RFC 2866 CH 5.10）

RADIUS断开并授权变更（根据RFC3576）以及支持。这些属性可以改变的CoA请求从RADIUS服务器：

MikroTik的集团

MikroTik的，接收限制

MikroTik的XMIT限

MikroTik的速率限制

提升数据速率（仅当MikroTik的限速是不存在的）

登高XMIT率（仅当MikroTik的限速是不存在的）

MikroTik的标记ID

过滤器的ID

MikroTik的广告网址

MikroTik的广告间隔

会话超时

空闲超时

端口限制

请注意，这是不可能改变IP地址，游泳池或路由方式 - 这样的变化，用户必须先断开。

MikroTik的特定的RADIUS属性数值的

在这里， MikroTik的特定属性（FreeRadius的comaptible），纯文本的属性列表。

名 厂商ID 值 RFC

MIKROTIK_RECV_LIMIT 14988 1

MIKROTIK_XMIT_LIMIT 14988 2

MIKROTIK_GROUP 14988 3

MIKROTIK_WIRELESS_FORWARD 14988 4

MIKROTIK_WIRELESS_SKIPDOT1X 14988 5

MIKROTIK_WIRELESS_ENCALGO 14988 6

MIKROTIK_WIRELESS_ENCKEY 14988 7

MIKROTIK_RATE_LIMIT 14988 8

MIKROTIK_REALM 14988 9

MIKROTIK_HOST_IP 14988 10

MIKROTIK_MARK_ID 14988 11

MIKROTIK_ADVERTISE_URL 14988 12

MIKROTIK_ADVERTISE_INTERVAL 14988 13

MIKROTIK_RECV_LIMIT_GIGAWORDS 14988 14

MIKROTIK_XMIT_LIMIT_GIGAWORDS 14988 15

MIKROTIK_WIRELESS_PSK 14988 16

MIKROTIK_TOTAL_LIMIT 14988 17

MIKROTIK_TOTAL_LIMIT_GIGAWORDS 14988 18

MIKROTIK_ADDRESS_LIST 14988 19

MIKROTIK_WIRELESS_MPKEY 14988 20

MIKROTIK_WIRELESS_COMMENT 14988 21

MIKROTIK_DELEGATED_IPV6_POOL 14988 22

注： FreeRadius的已经有这些预定义的属性。如果您正在使用其他RADIUS服务器，然后使用下表来创建字典文件

名 厂商ID 值 RFC

正宗ACCT 45 RFC 2866

的ACCT延迟时间 41 RFC 2866

帐户输入Gigawords的 52 RFC 2869

ACCT输入八位 42 RFC 2866

ACCT输入包 47 RFC 2866

的ACCT中期间隔 85 RFC 2869

的ACCT输出Gigawords 53 RFC 2869

ACCT输出八位 43 RFC 2866

ACCT输出包 48 RFC 2866

的ACCT会话ID 44 RFC 2866

的ACCT会话时间 46 RFC 2866

的ACCT状态型 40 RFC 2866

ACCT终止原因 49 RFC 2866

登高客户机 - 网关 529 132

提升数据速率 529 197

登高XMIT率 529 255

被叫站ID 30 RFC 2865

呼叫站ID 31 RFC 2865

CHAP挑战 60 RFC 2866

CHAP密码 3 RFC 2865

类 25 RFC 2865

过滤器的ID 11 RFC 2865

帧IP地址 8 RFC 2865

帧IP子网掩码 9 RFC 2865

帧IPv6前缀 97 RFC 3162

裱游泳池 88 RFC 2869

裱协议 7 RFC 2865

裱路线 22 RFC 2865

空闲超时 28 RFC 2865

MS-CHAP挑战 311 11 RFC 2548

MS-CHAP域 311 10 RFC 2548

MS-CHAP响应 311 1 RFC 2548

MS-chap2的响应 311 25 RFC 2548

MS-chap2的成功 311 26 RFC 2548

MS-MPPE加密策略 311 7 RFC 2548

MS-MPPE加密类型 311 8 RFC 2548

MS-MPPE-RECV重点 311 17 RFC 2548

MS-MPPE发送键 311 16 RFC 2548

NAS标识符 32 RFC 2865

NAS端口 5 RFC 2865

NAS-IP地址 4 RFC 2865

NAS端口ID 87 RFC 2869

NAS端口类型 61 RFC 2865

端口限制 62 RFC 2865

Redback公司代理远程ID 2352 96

Redback公司代理电路ID 2352 97

服务类型 6 RFC 2865

会话超时 27 RFC 2865

用户名 1 RFC 2865

用户密码 2 RFC 2865

WISPr带宽最大向下 14122 8 无线fi.org

WISPr带宽最大 14122 7 无线fi.org

带宽最小WISPr向下 14122 6 无线fi.org

WISPr带宽最小， 14122 5 无线fi.org

WISPr位置ID 14122 1 无线fi.org

WISPr地点名称 14122 2 无线fi.org

WISPr注销网址 14122 3 无线fi.org

WISPr重定向URL 14122 4 无线fi.org

WISPr会话终止时间 14122 9 无线fi.org

故障排除

“验证：登录OK：”......我的radius服务器接受来自客户端的认证请求，但用户无法登录。坏答复计数器递增下半径监视器。

这种情况可能会发生，如果RADIUS客户端和服务器具有高延迟他们之间的联系。试着增加RADIUS客户端的超时时间为600ms左右或更多，而不是默认的300毫秒！此外，仔细检查，如果客户端和服务器上的秘密匹配！