OpenVPN + PAM + Freeradius

OpenVPN + PAM + Freeradius

情况:我已经完全配置并运行 Freeradius 服务器。在其他服务器上安装了 OVPN 2.6.4。目标是通过 Radius 进行身份验证。安装了 pam-radius-auth。已配置(配置如下)。身份验证工作正常,但没有来自 OVPN 的计费数据包。当我尝试 pamtester 时 - 一切正常,计费在这里,但是当我连接 OVPN 时 - 没有。

/etc/pam.d/ovpn

account required      pam_radius_auth.so
auth    required      pam_radius_auth.so conf=/etc/pam.d/pam_radius_auth.conf debug
session required      pam_radius_auth.so

/etc/pam.d/pam_radius_auth.conf

<My Radius server ip>  <Shared secret>       3

/etc/openvpn/服务器/服务器.conf

setenv deferred_auth_pam 1
plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so ovpn
verify-client-cert none
key-direction 0
local *<IPaddr>*
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA256
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
server-ipv6 fddd:1194:1194:1194::/64
push "redirect-gateway def1 ipv6 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 67.207.67.3"
push "dhcp-option DNS 67.207.67.2"
push "block-outside-dns"
push "explicit-exit-notify 3"
keepalive 10 120
cipher AES-128-GCM
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify 1
management 127.0.0.1 7555
log-append /var/log/openvpn/openvpn.log
txqueuelen 4000
mute-replay-warnings

我遗漏了什么?

答案1

我做过几次像您这样的 Freeradius 实现,在此期间学到了很多东西。如果我正确理解了您的问题,我可能知道您“遗漏”了什么。

开始了:

您的配置看起来不错。
但是,authenticationaccounting是 Radius 协议的两个独立组件。您使用的插件/模块pam-radius-auth仅执行身份验证。该插件/模块不具备发送 Radius 计费数据包的能力。

如果你查看以下网站OpenVPN 插件概述,您将在插件概述中看到主题radiusplugin
我使用了:ValdikSS openvpn-radius插件当时对我来说很有用。它还有一个不错的自述文件,其中包含配置示例,我认为现在仍然如此。但我看到 OpenVPN 网站上有更多可用的 radius 插件,因此请查看这些插件并找到最适合您的质量标准和需求的插件。

还有一篇很好的文章解释了 Radius Accounting:Radius 会计如何运作

祝你好运!

答案2

好吧,我找到了这个补丁 https://github.com/ValdikSS/openvpn-radiusplugin/issues/14

重新编译后,至少在 Acc-Start 上,会计工作正常。但在从客户端关闭会话时,DB 中没有任何变化。我在 radius 中未关闭会话。

相关内容