FreeRADIUS + Corte servicio Reject

¿Qué es FreeRADIUS, para qué sirve y cómo funciona?

FreeRADIUS es un servidor RADIUS (Remote Authentication Dial-In User Service) de código abierto utilizado para la autenticación, autorización y contabilidad de usuarios en redes. Sirve para gestionar el acceso a la red, autenticar usuarios y rastrear su uso. Funciona recibiendo solicitudes de acceso, verificando las credenciales contra una base de datos y respondiendo con la autorización o denegación del acceso.

Webservice API para FreeRADIUS

WispHub ha desarrollado un Webservice API para FreeRADIUS que permite gestionar usuarios: crearlos, editarlos, eliminarlos y bloquearlos. Aunque no se tenga control sobre el funcionamiento interno de FreeRADIUS,  se puede mantener y actualizar el API para asegurar su correcto funcionamiento y facilitar la administración de usuarios a través de FreeRADIUS.

Nota

Antes de continuar, es importante que ya haya instalado la API FreeRADIUS (WebService). Si aún no lo ha hecho, a continuación se adjunta la siguiente documentación:

  • Instalacion de API Freeradius en Linux: Click aqui!
  • Instalacion de API Freeradius en Mikrotik: Click aqui!
  • Instalacion de Freeradius + API Freeradius en Linux: Click aqui!

Activar FreeRADIUS + API FreeRADIUS

1Agregar Router

Ingresar los datos de conexión del Router

2Activar corte servicio: FreeRADIUS + Address list moroso

Estando en la misma configuración de agregar router, activamos lo siguiente.

3Configuración radius

En esta misma vista se nos activara el siguiente formulario para la configuración FreeRADIUS, donde:

  • Marca NAS: Seleciona la marca del router que funcionara como cliente nas para el servidor Freeradius
  • Radius NAS IP: Ingresa la IP del router debe ser la misma que se ingreso en el campo IP mas del formulario de arriba, Nota: Esta IP debe ser accesible por el servidor Freeradius
  • Radius Secret: Contraseña para la comunicación entre el servidor Freeradius y el router.
  • Radius Incoming Port: Puerto CoA los puertos por default son: 1700 o 3799, puede encontrarlo en el router en la sección Radius > Incoming

4Configurar API Personalizada

Después de agregar el router, lo mandara al siguiente formulario para integrar el API FreeRADIUS.

Una vez agregado los campos mencionados, procedemos a guardar la configuración.

Una vez guardado, puede volver a esta configuración en Router> Editar> 

5Configuración FreeRADIUS

Ya agregado el evento api: FreeRADIUS, nos mandara al siguiente formulario, donde:

  • IP Servidor FreeRADIUS: Debe de ingresar la IP donde se encuentra instalado el servicio de FreeRADIUS
  • Radius NAS IP: Ingresar la IP de Router que funcionara como cliente NAS, por default se toma del valor del campo Radius Nas IP del router agregado en el paso 3.
  • Radius Secret: Contraseña para la comunicación entre el servidor Freeradius y el router, por default se toma el valor del campo Radius secret agregado en el paso 3.

Verificamos en el Router, deben aparecer 2 registros en la sección Radius.

El primer registro la conexion hacia el servidor freeradius y el segundo hacia el servidor donde se encuentra el api freeradius.

Nota: Asegurate de activar radius en la sección PPP > Secrets

Manejo de usuarios

Ya terminada la configuración procedemos a la creación de un usuario

1Agregar cliente

Agregamos los datos de conexión para el usuario (cliente final)

Al agregar el cliente, nos deben de salir los siguientes mensajes:

  1. El primero mensaje indica que el usuario se agrego exitosamente en el sistema, esto quiere decir que una vez ingresado al sistema puedes facturar su servicio, editar el servicio, eliminar servicio, enviar recordatorios de pagos por email, sms y muchas mas funciones de gestion y facturación.
  2. El segundo mensaje indica que el usaurio se agrego exitosamente en el servidor Freeradius por medio de api freeradius, aqui es importante este mensaje porque al momento de autentiticar un usuario por medio del protocolo ppp, quien le va a dar la autorización y autenticacion a la red va hacer el freeradius

Editar servicio usuario a nivel freeradius

En caso de querer editar el servicio del usuario por ejemplo plan de velocidad, nombre usuario, contraseña o ip, para ello tendremos que edita el servicio en lista de clientes > seleccionar cliente > editar > 

Deberia de salir 2 mensajes.

  1. El primero indica que se la nueva configuración del usuario radius se aplico correctamente a nivel freeradius
  2. El segundo indica que se aplico la configuración a nivel sistema

Conectar cliente.

En este ejemplo se hara por medio de un PC windows, pero funciona para cualquier dispositivo que soporte conexión PPP.

Ingresar datos de conexión

Conexión exitosa

En el router mikrotik podemos ver la sesión activa de este usuario freeradius, en PPP > Active connnections

 

 

Corte servicio Reject

Este corte de servicio se hara a nivel de servidor FreeRADIUS

1Suspender servicio manualmente

Ir a lista de clientes.

Nota: Aqui es importante que al desactivar un cliente de forma manual nos debe de salir los siguientes mensajes:

  1. El primero indica que se desactivaron a nivel sistema, es decir pasa de estado activo a desactivado
  2. El segundo indica que el usuario se desactivo a nivel freeradius por medio del API Freeradius
  3. El tercero indica que la sesión del usuario en active connections se elimino.

Con esto al intentar autenticarse de nuevo el servidor freeradius le rechazara la conexión.

1Corte servicio automatico

Recordar la facturación y corte automatico por router se debe configurar en la sección "Facturación - Zona", ejemplo.

Al aplicar el corte automatico, podemos ver el estatus en Sistema > Tareas periodicas.

En el Router mikrotik podemos ver que la sesión del cliente ha sido eliminada.

Ventajas y desventajas de usar corte de servicio Address list Moroso con usuarios FreeRADIUS

Ventajas:

  • Se bloquearía todo el tráfico de Internet (IPv4/IPv6)

El bloqueo se hace por nombre de usuario, no por ip, esto quiere decir que puede usar direccionamiento estatico o dinamico

Desventajas:

  • No se mostrará un aviso de corte de servicio en pantalla para informar al cliente sobre la suspensión del servicio.
  • El cliente no podra pagar servicio internet desde la plataforma y la app movil de wisphub, al menos que use una red externa de celular o Internet

Activar servicio

La regla de bloqueo a nivel freeradius se eliminara en las siguientes acciones.

  • Activar cliente desde lista de clientes
  • Agregar promesa de pago
  • Activar por pasarela de pago

Para este ejemplo se hara desde lista de clientes.

Nota: Al activar el cliente es importante que salgan los siguientes mensajes.

  1. El primero indica que el usuario se activo a nivel sistema, es decir cambia el estado de suspendido >  activo
  2. El segundo indica que se activo el usuario a nivel freeradius por medio de la API freeradius.

 

Con esto al intentar reconectarse el el servidor freeradius le dara el acceso.

 

 

22 de Mayo de 2024 a las 10:47 - Visitas: 733