[GTER] m2m radius dhcp

Samuel Honorato samuel.linux at gmail.com
Mon Mar 5 14:03:57 -03 2018 

Prezado William, bom dia

Apenas complementando as respostas acima e reforçando a ideia de que é uma
boa solução, segue abaixo:

P: Alguém já implantou radius com suporte a DHCP para soluções M2M?
R: Sim, se você está afirmando que a solução M2M na operadora é uma APN,
essa é uma solução bem comum. Você pode usar o protocolo Radius (com o
software freeradius, por exemplo) e configurar IP, DNS e até alguns outros
parâmetros nos seus terminais.

P: Já implantei radius apenas para autenticação ( EAP-TLS, LDAP ) mas nunca
com atribuição de IP via radius.
R: Você pode atribuir os IPs via Radius inclusive com ldap, porém pela
dificuldade de integração do LDAP com algumas ferramentas, talvez seja
interessante passar a usar o seu radius com algum banco de dados (postgree,
mysql, etc.). A indexação do LDAP para grandes volumes de dados pode ser
uma dor de cabeça e os bancos podem te ajudar a passar por isso sem stress.

O freeradius pode tambem trabalhar com arquivos de texto, autenticação do
unix e existem projetos pra trabalhar com com nosql (mongo)

P: mas nunca com atribuição de IP via radius.
R: Os endereços de IP podem ser atribuídos da seguinte maneira:
1 - Individualmente via arquivo de configuração: Ou seja, cada terminal
terá um IP "fixo". Essa solução é boa pra baixos volumes porém, tem péssimo
desempenho (se seu volume de autenticações for alto, fuja!)
2 - Individualmente via banco de dados: Ou seja, cada terminal terá um IP
"fixo" no banco. Essa solução é boa para grandes volumes porém você precisa
de uma rede grande o suficiente pra suportar seus terminais
3 - POOL via arquivo de configuração: O radius pode usar um pool de
endereços em um arquivo de configuração indicando IP inicial/IP final. Mais
prático que as anteriores, sem necessidade de uma rede grande, porém com
desempenho ruim (depende muito de IO no disco).
4 - POOL via banco de dados: O radius pode usar um pool de endereços em um
banco de dados. Mais prático que as anteriores, sem necessidade de uma rede
grande e dá suporte  um volume razoável de autenticações..


P: Dá pra usar o número do telefone como Calling Station ID ?
R: Até dá, no freeradius você pode escolher qual campo será usado como
user-name, esta opção é boa porém você vai acabar caindo no problema da
senha. É normal no meio de iot/m2m você fazer o seguinte:
1 pedir pra operadora configurar sua APN para que o user-name venha com
MSISDN (que é = ao calling station id)
2 pedir pra operadora alterar a "string" de todos os pacotes de
autenticação para 'password'. É o ideal pois você foge do problema de ter
que ficar colocando uma senha específica nos terminais.

P: operadora precisa fazer alguma alteração ?
R: Pedir pra operadora alterar o AAA da sua APN pra fazer
autenticação/accounting no seu radius, combinar com ela o bloco de IPs que
seus terminais usarão (pra você responder no radius) e é interessante pedir
pra ela alterar o pacote radius (username/password)


P: Dá pra fazer tudo via Freeradius ?
R: Sim, tranquilamente, já vi soluções com milhões de chips distribuída em
servidores freeradius, mas faça um bom teste de carga antes pois o tuning
do banco, disco e freeradius é o que pega pra grandes volumes. Volumes
pequenos e médios você consegue usar o freeradius com mariadb/mysql padrão
sem um tuning muito detalhado

P: Algum software comercial ?
R: Microsoft, IBM e Redhat possuem, são bons mas depende da demanda, indico
freeradius pela praticidade e desempenho (principalmente o 3.x).


Se tiver mais dúvidas sobre a operação e/ou configuração, poste aqui que
mesmo com alguns dias de delay podemos ajudar :)




Att
Samuel Honorato

Em 27 de fevereiro de 2018 13:43, Anderson C. Santos <
anderson at microquest.com.br> escreveu:

> Prezado William,
>
>   Utilizo Freeradius com atribuicao DHCP em sistemas de rastreamento
>     e telemetria ja faz alguns anos.
>
>   Detalhes:
>
>   - Para poder usar o range DHCP proprio, negocia-se uma APN privada
>     com a operadora - nestes casos eh fechada uma VPN (normalmente
>     IPSEC) com a operadora para o trafego do radius (AAA) e tambem
>     para trafego dos moveis (p.ex. navegacao de internet ou telemetria)
>
>   - Para a autentiacao radius voce pode usar qualquer dado que venha
>     no AAA - calling station ID, username, password, MAC address, etc.
>     Basta criar a regra no radius e o parametro desejado - da para
>     autenticar em SQL (MS-SQL, mySQL , postgresql, etc) ou mesmo em
>     construir sua propria autenticacao (p.ex python)
>
>
>   Abracos,
>
>   Anderson C. Santos
>
> On 26/02/2018 22:05, William Nascimento via gter wrote:
> > Senhores, boa noite
> > Alguém já implantou radius com suporte a DHCP para soluções M2M ?Já
> implantei radius apenas para autenticação ( EAP-TLS, LDAP ) mas nunca com
> atribuição de IP via radius.
> > Dá pra usar o número do telefone como Calling Station ID ? A operadora
> precisa fazer alguma alteração ?Dá pra fazer tudo via Freeradius ? Algum
> software comercial ?
> > Desde já obrigado,
> > William
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list