Merhaba,

1- Bir Xentino SAX2-00H için harici Radius server kullanıyorum. Xentino Access-Request ile kullanıcı adı ve şifreyi Radius servera gönderirken sadece Xentino'nun kendi IP adresini gönderiyor, ancak kullanıcıya DHCP'den atadığı IP adresini Radius server'a bildirmiyor. Kullanıcının IP adresinin Framed-IP-Address parametresi ile Radius server'a iletilmesini bekliyoruz. Bunu sağlamak için Xentino üzerinde yapılabilecek bir ayar, yada yazılım güncellemesi var mı?

The RADIUS Attribute (Framed-IP-Address) in Access Requests feature makes it possible for a network access server (NAS) to provide the RADIUS server with a hint of the user IP address in advance of user authentication. An application can be run on the RADIUS server to use this hint and build a table (map) of user names and addresses.

Xentino'nun gönderdiği Radius mesajı aşağıya kopyalıyorum:

Packet-Type = Access-Request
Fri Apr 24 17:43:37 2009
User-Name = "alp1"
User-Password = "123"
NAS-Port = 1
NAS-Port-Type = Virtual
NAS-IP-Address = 192.168.3.5
NAS-Identifier = "other"
Called-Station-Id = "00:11:a3:0a:1e:61"
Client-IP-Address = 192.168.3.5

2- Xentino'nun bütün HTTP isteklerini veya ziyaret edilen URL'leri harici SYSLOG server'a göndermesini istiyorum. Log konfigürasyonunda Xentino'ya herşeyi harici SYSLOG'a göndermesini söyledim. Kullanıcıların ziyaret ettiği bütün URL'leri SYSLOG'a göndermek için hangi ayarları yapmam konusunda yardımcı olabilir misiniz?

İyi çalışmalar,
Alp

Merhabalar,

Xentino cihazı bu tür logları kendi üzerine tutmaktadır. Malesef dış bir ip adresine Syslog yönlendirmesi yapsanızda cihaz bu tür bilgileri yönlendirmemektedir.

Xentino HotSpot cihazı internet gateway olarak tasarlanmasına karşın bu özellikleri üzerinde barındırmaktadır fakat bir internet gateway cihazının bu tür loglama özellikleri cihazda malesef yoktur.

İstemci ip si konusunda radius sunucunuzun tam tanıtım loglarını gönderebilirmisiniz acaba.

Merhaba Ertan bey,

Sorunumla ilgilendiğiniz için teşekkür ederim. Bu konu üzerinde oldukça uğraştım, teoride ihtiyacımızı karşılaması gerekiyordu ancak uygulamadaki detaylarda pürüzler çıktı. Aklıma gelen alternatifleri aşağıya listeledim:

200 kullanıcıya kadar kapasitesi olan bu KOBİ cihazının detaylı logları kendi üzerindeki geçici ve küçük belleğe kaydetmesi malesef ihtiyaçlarımızı karşılamıyor. Logların yeterince büyük ve elektrik kesilmelerinde kaybolmayacak bir ortamda saklanabilmesi, logların ileride sorun olduğunda kolaylıkla taranabilmesi için gerekli. Cihaz şu anki haliyle SYSLOG'a log gönderemediğine göre aklıma gelen birkaç alternatif var:

- En tercih edilen çözüm basit bir kod değişikliği ile cihazın loglarını SYSLOG'a göndermesi. Cihaz zaten bütün network cihazları gibi SYSLOG'a gönderme yeteneğine sahip. Eğer kod yeterince modüler yazılmışsa bu özelliğin en fazla 10-20 satırlık bir kod değişikliği ile eklenebileceğini tahmin ediyorum.

- "send log to administrator" diye bir seçenek var. Sanırım log dolduğunda veya haftanın belirli bir günü logları administrator'a gönderme imkanı var. Bu nasıl oluyor? Bir şekilde SMTP ile log'ları email ile mi gönderiyor? Çok tercih edilen bir alternatif değil ama ucuz bir alternatif çözüm olabilir.

- Cihazın SNMP'yi desteklediğini görüyorum. SNMP kullanılarak belli aralıklarla cihaz loglarının cihazdan alınıp logların temizlenmesi gibi bir çözüm mümkün mü sizce? Eğer cihaz logları dolmaya başladığında kendisi SNMP TRAP gönderiyorsa o daha iyi olur tabii ki. Oldukça zahmetli bir çözüm, ama iyi bir çözüm olabilir.

- Cihazın loglarına bir şekilde telnet/ssh yaparak ulaşılabilirse o zaman bir script yardımıyla bütün logların kaydedilmesi ve temizlenmesi sağlanabilir. Bu da nispeten zahmetli bir çözüm olabilir, tabi telnet/ssh destekleniyorsa.

Birinci SYSLOG seçeneği dışındaki çözümler hem daha zahmetli, hem de tam güvenilir olmayan çözümler. Cihaz resetlenmek zorunda kalırsa veya elektrik kesintisi durumunda loglar kaybolabilir. Veya logların periyodik olarak alınması durumunda log hafızasının erkenden dolması ve logların kaybolması sorunu var.

Ne dersiniz? Bu sorunla daha önce karşılaşıldı mı? Nasıl çözüldü/çözülebilir?

Linux üzerinde orijinal Free-Radius kullanıyorum. Radius server herhangi bir istekte bulunmamakta, ancak hotspot kullanıcısı ad ve şifreyi girince Xentino Access-Request göndermektedir. Yani ortada bir hand-shake yok. İlk mesajı Xentino gönderiyor, o da Access-Request. Çözüm eğer varsa, Xentino üzerindeki bir ayar olması lazım. Radius server sadece accept/reject ile Xentinoya cevap veriyor. Orada herhangi bir sorunumuz yok. O yüzden radius server'ın herhangi bir ayarının Xentino'nun göndereceği Access-Request mesajının içeriğini etkileyeceğini sanmıyorum. Bütün konfigürasyonu göndermem mümkün değil. Radius server ayarlarında ilgilendiğiniz parametrelerin değerlerini iletebilirim.

Aynı network üzerinde Draytek 3300 de kullanıyorum. URL loglamayı content-filtering yapan 3300 üzerinde de deneyebilirim ancak Xentino'nun hangi username için hangi IP adresini verdiğini bilmezsek elimiz kolumuz bağlanıyor. Malesef ne DHCP logları ne de Radius mesajı yoluyla kullanıcının IP adresi Xentinodan dışarıya bildirilmediği için orada tıkanıp kaldık.

Yurt dışından da destek istedim. Bir cevap bulabilirsem burada paylaşacağım.

İyi çalışmalar,
Alp

Alp Bey,

Çalışmalarınızdan dolayı teşekkür ederim.

SYSLOG tarafında göndermemesi donanım üretici firmanın bir çözümü. Cihaz daha çok uç nokta olarak tasarlanmış durumda. Bu nedenle asıl sistem olan sunucu kısmına bağlanmadığı sürece SYSLOG lar malesef istenildiği gibi değiller. Uç nokta cihazlarda SYSLOG ların, kapatılıp açılması sırasında silinmesi gibi durumlar mümkündür fakat burada her nekadar cihazın ürettiricisi biz olsakta donanım ve işletim sistemi çekirdek kısmına mühailliğimiz yok. SYSLOG tarafına gerek mail, gerek SMTP yolu ile takip gerekse SYSLOG tarafında dikkat ederseniz bazı seçilmiş hususlar gönderilmekte. Kullanıcı adına istinaden ip adresi si gibi durumlar malesef SYSLOG datası olarak transfer edilemiyor. ( Cihaz yasal düzenlemelerden önce ürettirilmiş bir modeldir bu nedenle kişilik haklarına istinaden kullanıcı adı ve şifresi gibi kısımlar yerine daha çok firewall rulları gibi kısımlar SYSLOG tarası olarak gönderilmek üzere tasarlanmıştır. )

FreeRadius tarafında yapılan AAA larda cihazın kullanıcı ip adresini vermemesi husunda herhangi bir denememiz olmadı. Mümkün olursa freeradius -X komutu ile kullanıcının tam tanımlanması sırasında alınan tüm logu alabilirmiyim ?

Cihazı şu an hangi modda çalıştırıyorsunuz tam olarak bilemiyorum fakat transparan modda bu denemeleri yaptınız mı acaba ? Freeradius un AAA sırasında tek bir ip görmesini cihazın NAT modunda çalıştırıldığını düşündürmekte. Birde FreeRadius sunucunuz cihazın WAN tarafında değilde lan tarafında kullanabilirmisiniz.

Cihazın yazılım tarafında bulunan geliştirmeler malesef bitirilmiş durumda. Bu nedenle herhangi bir kod değişikliği malesef mümkün değil.

Ertan bey,

Konuyla ilgilendiğiniz için teşekkür ederim.

Tahmin ettiğiniz gibi cihazı NAT modunda çalıştırıyorum ve ip adreslerini cihaz veriyor. WAN tarafındaki bir Linux server ise hem Radius hem Syslog sunucu işlevini görüyor, hem de otel yönetim programıyla etkileşim halinde. Otel yönetimi bir firewall ile ayrılmış başka bir subnette. Radius server'daki hesapları otel yönetimi kontrol ediyor, aynı şekilde Linux üzerindeki bazı loglara ulaşıyorlar. Şu aşamadan sonra bu çok işlevli Linux server'ı cihazın LAN tarafına almam çok zor. Hem güvenlik açısından olumsuz, hem de arada 2 subnet, firewall vs var.

Cihaz'ın yazılımı son halini almışsa, o zaman Radius mesajına Framed-ip-address attribute'u eklemek mümkün olmayacak demektir. Diğer bir deyişle hangi kullanıcıya hangi ip adresi verilmiş öğrenemeyeceğiz. Linux server'a DHCP relay yapsak bile, AAA yapan username'in ip adresini cihaz dışarıya söylemeyeceği için ip adresi ile kullanıcı ismini ilişkilendirmek mümkün olmayacak. Yanılıyor muyum?

Transparent modu kullanırsak ip adresi ile kullanıcı ismini ilişkilendirmek mümkün olacak mı?

Freeradius -X logunu müşteri networkünden aldıktan sora ileteceğim.

İyi tatiller.
-Alp

Konu hakkında güncelleme:

- SMTP email ayarları yapıldıktan sonra her nasılsa cihazın SYSLOG özelliği de çalışmaya başladı. Detaylı Firewall log'larını, ve detaylı Radius start/stop loglarını SYSLOG'a göndermeye başladı.
- Firewall logları çalışırken DHCP logları tamamen durdu.

Üretici firma'nın halen satılmakta olan bir cihaza yazılım desteği vermemesi (kusurları düzeltmemesi) alışılmış bir durum değil. Ama bu konuda yapılabilecek birşey yok sanırım.

İyi çalışmalar,
Alp

Bu durum ne oldu acaba.
RFC2138 de tanimli bu attribute.