Несколько секретов в IP для радиуса клиента

Question

У меня есть различные маршрутизаторы, которые подключаются к моему радиусу системе, их IP может измениться, как это все по сети через сеть NAT ..

Каждый маршрутизатор имеет уникальный secret. Все известные в локальной БД

Теперь я ищу, чтобы установить радиус вверх таким образом, что каждый маршрутизатор может выполнять проверку подлинности с их обычаем secret через любой IP, но FreeRADIUS не позволит мне настроить его так:

client 0.0.0.0/0 { 
    shortname = test1 
    secret = AA 
} 
client 0.0.0.0/0 { 
    shortname = test2 
    secret = AB 
} 

Есть ли способ, чтобы я мог отключить проверку IP-адреса freeradius (и проверить только на секрет?) Или заставить клиента (/ ip) иметь более 1 секрет?

Реконфигурировать секрет к тому же, к сожалению, невозможно, поскольку некоторые маршрутизаторы уже развернуты с очень ограниченным доступом к сети.

Я использую:

freeradius: FreeRADIUS Version 2.2.8, for host x86_64-pc-linux-gnu, built on Apr 5 2016 at 13:40:43 
Copyright (C) 1999-2015 The FreeRADIUS server project and contributors. 

Answer 1

Почему то, что вы хотите, не работает с только RADIUS/FreeRADIUS

FreeRADIUS делает пакет согласования клиента, прежде чем пакет декодируется. Декодирование пакета перед выполнением сопоставления облегчает DoS-атаки на сервер, поскольку ложные запросы заставляют сервер использовать больше времени процессора.

Игнорировать секрет также не является вариантом. Секрет используется точкой доступа для декодирования защищенных атрибутов, таких как атрибуты ключа MPPE для WPA2 Enterprise.

Для огороженных садов с помощью PAP общий секрет используется для шифрования открытого пароля, предоставленного пользователем, поэтому, если вы не знаете общий секрет, вы не можете получить значение открытого текста для проверки.

В v4.0.x планируется отправить пакеты с неизвестных IP-адресов на рабочие потоки для обработки. На этом этапе работник будет иметь полное знание всех атрибутов и может связывать секрет с IP-адресом, используя эту дополнительную информацию.

Он по-прежнему не позволяет отображать входящие пакеты с использованием атрибутов RADIUS, но вряд ли вы увидите конфликт, в котором две точки доступа заменяют свои IP-адреса WAN ... Кроме того, возможно, в среде CGN с небольшим общественным пулом.

Доступные опции

• Использование RADSEC (DTLS/TLS). Клиенты проверяются с использованием сертификата, а общий секрет фиксируется.
• Установить туннель (L2TP/IPSEC/PPP) между AP и вашим сервером RADIUS. Используйте это для обеспечения согласованных локальных IP-адресов.
• Запустите двойной стек AP, надеюсь, минуя NAT. Некоторые интернет-провайдеры начали предлагать IPv6-связь с префиксом делегирования. В этих случаях все устройства, стоящие за CPE, получают общедоступные адреса IPv6. Префикс может иногда меняться, поэтому вам нужно будет использовать какую-то систему «телефон дома», где AP может информировать ваши серверы о своем общедоступном адресе.
• Создайте собственное программное обеспечение, которое отслеживает входящие пакеты RADIUS и проверяет, соответствует ли IP одному в вашей клиентской базе данных.Если это не так, он пытается использовать все общие секреты, чтобы узнать, можно ли их использовать для проверки содержимого пакета, а затем обновляет привязку IP для этого клиента. Это может работать лучше всего с вашим набором ограничений.

Я думаю, что есть также некоторые патчи там для v2.x.x, которые позволяют динамические клиенты должны быть созданы с использованием атрибутов декодируются, но v2.x.x были EOL'd некоторого времени назад, и они официально не поддерживаются.