用一天跑通:给 radsecproxy 加上「动态发现 + DPD(Status-Server)」
DPD 在 RadSec 里的等价物是 Status-Server;开它就有保活/判死能力。动态发现优先用 SRV 就能跑,NAPTR 是“SRV 的上一层”,需要时再加。最小可行:本机起个 dnsmasq 写 SRV 记录 → radsecproxy 用 DynamicLookupCommand srv:_radsec._tcp → StatusServer auto。生产化关键:证书主机名匹配(CN/SAN)、阻塞首包(BlockingStartup)、避免重复 include。 0️⃣ 背景:为什么要把 DPD 和动态发现绑在一起?RADIUS/UDP 天生“无连接”,上游死了就换一个;而 RADIUS/TLS(RadSec)是长连接:需要你自己探测对端(DPD)、断开重连,并且当你启用了动态对端发现(DNS NAPTR/SRV)时,上游 peer 可能随时间变化。 所以要做的是: 用 DNS(NAPTR/SRV)发现谁可用; 用 Status-Server 做 DPD,发现谁“死了”; 配合...
RadSecProxy 实战笔记:rewrite 模块详解与分目录结构实践
RadSecProxy 的 rewrite 模块 是一个轻量级规则引擎,可以在代理层修改或删除 RADIUS 属性(AVP),常用于给用户名补上 realm、删除不需要的属性等。 最近在做多层 RADIUS/RadSec Proxy 实验时,重新研究了 RadSecProxy 的 rewrite 模块。本文记录我在 Ubuntu 环境下的配置结构、rewriteIn / rewriteOut 的使用方式,以及官方支持的指令说明。这篇文章既是笔记,也希望对做 FreeRADIUS + RadSecProxy 结合实验的同学有帮助。 📁 一、目录结构:模块化配置RadSecProxy 默认只有一个 radsecproxy.conf,但如果实验节点较多,建议改成分文件夹结构,这样更方便维护。 我的目录结构如下 👇: 123456789101112/usr/local/etc/├── radsecproxy.conf├── radsecproxy.d/│ ├── 00-logging.conf│ ├── 05-rewrite.conf│ ├──...
用 FreeRADIUS 3.2.7 替换旧版 3.0.26:最干净的升级方案
如果你的目标是用新版(3.2.7)彻底替换旧版(3.0.26),而不是两个版本同时运行,那么直接关掉旧版,让新版接管,是最简单高效的办法。这篇文章讲的是纯升级:旧版下线,新版接管标准端口。 为什么要关掉旧版? 避免端口冲突:新版直接用标准端口 1812/1813,无需用其他临时端口。 管理更简单:只保留一个 systemd 服务,避免混淆。 配置更干净:没有冗余服务文件,没有多余进程。 四步完成 FreeRADIUS 版本替换🧩 第 1 步:彻底停止并禁用旧版服务确保旧版不会再运行,也不会开机自启: 12345# 停止旧版sudo systemctl stop freeradius# 禁用旧版sudo systemctl disable freeradius 如果你的旧版服务名不是 freeradius,请替换成正确的名字。 ⚙️ 第 2 步:恢复新版的标准端口(推荐)如果你之前为了共存改过端口,现在可以改回: 1sudo nano /usr/local/etc/raddb/radiusd.conf 找到: 1port = 2812 #...
RadSecProxy 配置与调试笔记
RadSecProxy 是一个开源的 RADIUS 中继工具,支持 UDP、TCP、TLS(即 RadSec),非常适合搭建中间代理、调试 TLS 安全连接等场景。本文记录了我在构建以下实验拓扑时的完整配置流程与踩坑记录。 🧭 实验拓扑1234567proxy1(FreeRADIUS,UDP,192.168.8.195)⇩ UDP(传统 RADIUS)proxy2(RadSecProxy,192.168.8.231)⇩ TLS(RadSec)proxy3(FreeRADIUS,TLS监听,192.168.8.228) 🛠️ RadSecProxy 配置(proxy2)路径:/usr/local/etc/radsecproxy.conf 123456789101112131415161718192021222324tls myradsec { CACertificateFile /etc/radsecproxy/certs/ca.pem CertificateFile /etc/radsecproxy/certs/client.pem ...
FreeRADIUS 3.0.26 → 3.2.7 升级实战手册
FreeRADIUS 3.0.26 → 3.2.7 升级实战手册适用环境:Ubuntu 22.04 LTS 目标说明 在不影响现有系统的前提下,测试和部署 FreeRADIUS 的新版本。 不卸载旧版,以便随时回滚或对比测试。 从源码编译新版以启用所有需要的功能模块,例如 Redis 和 SQL。 使新版能通过 systemd 管理,实现自动启动。 0. 准备工作在编译前需安装基础编译工具和模块依赖。 1234sudo apt updatesudo apt install -y build-essential git pkg-config \ libssl-dev libtalloc-dev libpcap-dev libsystemd-dev \ libjson-c-dev libhiredis-dev libpq-dev 说明: libhiredis-dev 是 Redis 支持模块 rlm_redis 的依赖。 libpq-dev 是 PostgreSQL 支持模块 rlm_sql_postgresql 的依赖。 1. 暂停旧版 FreeRADIUS...
我不知道这是 C 类会议的时候,反而最投入
写在一个下过雨的夜晚,回忆起研究室灯光下最亮的那段时光 我第一次知道 COMPSAC 是 C 类会议,不是从别人嘴里听来的,而是论文投出去之后,我随口问了 ChatGPT。 它说:“这是 CCF-C 类。” 我一愣:“C 类?那是好还是不好?” 我打开知乎搜索“CCF-C 是什么水平”——然后像打开了潘多拉的盒子: “C...
后藤先生的热成像仪与我们的“二次元”
今天发生了一件特别温暖又好笑的小事。后藤先生一进研究室就笑呵呵地炫耀他新买的热成像仪,说“只花了不到三万日元,在亚马逊上直接买的!”那语气像个刚拆玩具的孩子。 他一边说着,还一边注意到了我们桌上和包上的动漫周边,像是初音未来的挂件、灰原哀的立牌、Re:Zero...
函馆の黄金周散策記
这个黄金周,我终于完成了心心念念的“函馆巡礼”。春天的北海道,有一种比东京或京都更安静、更辽阔的美,而函馆更是在“浪漫”与“历史”之间找到了最完美的平衡。 🌸 五稜郭公园,天空下绽放的星形浪漫 站上五稜郭塔俯瞰整个星形城郭,樱花像云一样铺满护城河。粉色的星形在绿色的土地与远方的山脉之间展开,像童话世界一样。 🌸 仰望春日的天空与塔 在樱花树下抬头望着五稜郭塔,感觉时间在这一刻静止。即使人群熙攘,却还是觉得自己被包围在一种宁静里。 🌸 樱花隧道下的漫步 这是我最喜欢的一张。走在这样的道路上,每一阵风都会带起一阵粉色的浪潮,像是被动漫画面裹挟着前进。 🌲 松林与绿地的气息 在公园的深处,笔直的松树立在微湿的土地上,孩子们在草坪上奔跑、追逐,完全是一幅生活与自然和谐共处的画卷。 🌄 函馆山,黄昏下的祈愿 傍晚站在函馆山上,光线洒在海面上泛着金光。这一刻,我真的理解了什么是“百万夜景”的起点——白天的宁静也有它的震撼力。 🌃...
为什么我连不上 WiFi?原来他们只准备了 256 个 IP!从 eduroam 事件看 DHCP 与子网掩码
最近在参加 电子信息通信学会2025 的时候,发现 eduroam WiFi 根本连不上! 一开始我以为是设备的问题,直到刷到了这条推文 👇 L2 是连着的,但 IP 地址下不来……DHCP 地址池是不是枯竭了? 后来去现场打听才知道,他们只准备了 256 个 IP 地址,现场却来了上千人! 于是我画了几张图,从零讲清楚:WiFi 连不上网,到底是哪里出了问题👇 🧭 一、DHCP:连接 WiFi 后,其实还差一步当你连上 eduroam 的 AP(Access Point),只是完成了物理连接。 还需要通过 DHCP 获取 IP 地址,才能真正上网。 DHCP 的四个步骤(DORA): Discover:广播请求 ——「谁能分我个 IP 地址?」 Offer:DHCP 服务器回应 ——「来,给你 192.168.0.100」 Request:客户端回应 ——「好,我要这个」 Ack:服务器确认 ——「OK,同时告诉你 DNS、网关等参数」 🧨 问题就出在 —— IP 分完了,没有多的给你了。 🌐 二、你连的是 eduroam,但 IP...
