Home / Roteamento / Autenticar Radius Cisco com MKAuth

Autenticar Radius Cisco com MKAuth

2 de outubro de 2025

Para fazer o MkAuth autenticar com um roteador Cisco, você precisa configurar ambos os lados corretamente para que o Cisco use o MkAuth como servidor RADIUS. O MkAuth utiliza o FreeRADIUS para autenticação PPPoE, Hotspot, DHCP, etc. A seguir, vou te guiar pelo processo:

🛠️ No MkAuth (servidor RADIUS):

  1. Acesse o MkAuth via navegador.
  2. Vá em Configurações > Configurações RADIUS.
  3. Adicione o equipamento Cisco como cliente:
    • Nome/IP do NAS: IP do roteador Cisco.
    • Secret: uma senha compartilhada (ex: teste123).
    • Salve.

Essa senha será usada também no Cisco para se comunicar com o RADIUS.

⚙️ No Cisco (IOS CLI):

Você precisa configurar o roteador para usar o MkAuth como servidor RADIUS. Suponha que o MkAuth está no IP 192.168.1.100 com a secret teste123.

Exemplo de configuração:

conf t
! Define o servidor RADIUS
radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 key teste123

! Define o método de autenticação
aaa new-model
aaa authentication ppp default group radius local
aaa authorization network default group radius

! Exemplo para interface dial-up PPPoE
interface Virtual-Access1
 encapsulation ppp
 ppp authentication pap

Use chap ou pap dependendo de como você quer autenticar. O MkAuth funciona bem com ambos.

🧪 Teste:

  • Tente conectar um cliente PPPoE através do Cisco.
  • Verifique os logs no MkAuth ou no FreeRADIUS usando o comando: tail -f /var/log/freeradius/radius.log

🔍 Dicas adicionais:

  • Certifique-se de que o Cisco consegue alcançar o IP do MkAuth (testa com ping).
  • No MkAuth, os usuários devem estar ativos e com login/senha corretos.
  • O firewall (iptables) no MkAuth deve permitir as portas 1812 (auth) e 1813 (accounting).

OBJETIVO

  • Fazer o roteador Cisco autenticar usuários via RADIUS (MkAuth).
  • MkAuth irá enviar os parâmetros de controle de banda ao Cisco.
  • O roteador Cisco aplicará o controle de banda nos clientes com base nos AVPairs.

🧱 REQUISITOS

  • MkAuth instalado e funcionando.
  • FreeRADIUS ativo no servidor MkAuth.
  • Acesso ao painel web do MkAuth.
  • Acesso ao console/SSH do roteador Cisco.
  • Clientes se conectando ao Cisco via PPPoE (recomendado).

🔧 PARTE 1 – CONFIGURAR MKAUTH

1. Acesse o servidor via SSH

ssh root@IP_DO_SEU_MKAUTH

2. Crie um novo template de atributos para Cisco

cp -r /usr/local/mkauth/rad/mikrotik /usr/local/mkauth/rad/cisco

3. Edite o arquivo de atributos do novo template

nano /usr/local/mkauth/rad/cisco/attributes.reply

Substitua o conteúdo por:

Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = %IPMK%,
Framed-IP-Netmask = 255.255.255.255,
Cisco-AVPair := "ip:sub-rate-limit=%DOWNLOAD%",
Cisco-AVPair := "ip:uplink-rate-limit=%UPLOAD%"

Esses valores (%DOWNLOAD%, %UPLOAD%, %IPMK%) são preenchidos automaticamente conforme o plano e IP do cliente.

Salve com Ctrl + O e saia com Ctrl + X.

4. Acesse o painel web do MkAuth

  • Vá em Configurações > Configurações Radius > Equipamentos.
  • Clique em “Editar” no seu roteador Cisco.
  • Em Template de Atributos, selecione o novo template: cisco.
  • Salve.

5. Verifique os planos dos clientes

  • Vá em Cadastros > Planos.
  • Cada plano deve ter a velocidade corretamente configurada (ex: 10M/2M).
  • Os clientes devem estar vinculados a um desses planos.

6. Reinicie o serviço RADIUS

systemctl restart freeradius

ou em sistemas com init:

service freeradius restart

📡 PARTE 2 – CONFIGURAR O ROTEADOR CISCO

Suponhamos que o MkAuth está no IP 192.168.1.100 e a secret é mkauth123.

1. Configure o RADIUS

conf t
!
radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 key mkauth123
!
aaa new-model
aaa authentication ppp default group radius local
aaa authorization network default group radius

2. Configure a interface PPPoE (exemplo)

interface Virtual-Template1
 mtu 1492
 ip unnumbered GigabitEthernet0/1
 peer default ip address pool PPPoE_POOL
 ppp encrypt mppe auto
 ppp authentication pap
!
ip local pool PPPoE_POOL 192.168.10.1 192.168.10.254

Essa interface será usada dinamicamente para criar Virtual-Access para os clientes.

3. (Opcional) Verifique o recebimento dos AVPairs

debug radius
debug ppp authentication

Você verá algo como:

RADIUS: Received Cisco AVPair: ip:sub-rate-limit=10000000
RADIUS: Received Cisco AVPair: ip:uplink-rate-limit=2000000

🧪 TESTES

  • Conecte um cliente via PPPoE no roteador.
  • Verifique se está autenticando com sucesso.
  • Use:
show policy-map interface Virtual-AccessX

Para ver se a política de banda foi aplicada.

📋 OBS: Aplicação real do controle de banda

A Cisco não aplica o rate-limit automaticamente com base nos AVPairs. Você precisa de uma integração com QoS dinâmico via RADIUS ou script/AAA que crie classes com base nesses valores.

Se seu Cisco não suporta aplicação automática via AVPair, uma saída prática é deixar o controle de banda no cliente (ex: usar um Mikrotik entre o cliente e o Cisco), ou usar scripts SNMP para limitar clientes com base nos valores do MkAuth.

picci

Deixe um Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *