استفاده از OCServ به‌عنوان یک سرور VPN قدرتمند در ترکیب با IBSng برای مدیریت حساب کاربری و احراز هویت کاربران، یکی از راهکارهای محبوب برای ارائه خدمات شبکه است. اما گاهی پس از تنظیم تانل VPN، ارتباط با IBSng برای سرویس‌های RADIUS و Accounting دچار مشکل می‌شود. در این مقاله، به دلایل بروز این مشکل و روش‌های گام‌به‌گام رفع آن پرداخته می‌شود.

چرا ارتباط RADIUS با IBSng قطع می‌شود؟

زمانی که یک تانل VPN برقرار می‌شود، به‌طور معمول تمام ترافیک شبکه از طریق این تانل ارسال می‌شود. این مسئله می‌تواند باعث شود ترافیک مربوط به سرور IBSng، که برای احراز هویت و حسابداری کاربران استفاده می‌شود، به مسیر نادرست هدایت شده و به سرور مقصد نرسد. دلایل رایج این مشکل عبارتند از:

1. مسیریابی نادرست (Routing Misconfiguration): ترافیک به جای عبور از مسیر اصلی، از تانل ارسال می‌شود.
2. تنظیمات اشتباه فایروال (Firewall): بسته‌های RADIUS ممکن است توسط قوانین فایروال مسدود شوند.
3. مشکلات NAT: شبکه ترجمه آدرس ممکن است باعث شود ترافیک به درستی هدایت نشود.
4. عدم تعریف استثنا برای IBSng: در تنظیمات تانل، مسیر IBSng مستثنا نشده است.

مراحل رفع مشکل

1. بررسی جدول مسیریابی (Routing Table)

برای اطمینان از این‌که ترافیک RADIUS به درستی به IBSng هدایت می‌شود، جدول مسیریابی سرور را بررسی کنید:

ip route

اگر مسیر مربوط به IP سرور IBSng به درستی تعریف نشده باشد، یک مسیر ثابت (Static Route) به جدول اضافه کنید:

ip route add <IBSng_IP> via <Gateway_IP> dev <Interface>

این دستور تضمین می‌کند که ترافیک IBSng از مسیر اصلی عبور کرده و وارد تانل نمی‌شود.

2. اضافه کردن استثنا برای IP سرور IBSng

در تنظیمات ocserv، می‌توانید مشخص کنید که ترافیک مربوط به IBSng از تانل عبور نکند. برای این کار:

• فایل تنظیمات ocserv (معمولاً /etc/ocserv/ocserv.conf) را باز کنید.
• خط زیر را اضافه کنید یا مقدار آن را بررسی کنید:

no-route = <IBSng_IP>

این تنظیم مشخص می‌کند که ترافیک مربوط به IBSng از مسیر مستقیم هدایت شود.

3. تنظیمات فایروال را بررسی کنید

فایروال ممکن است باعث مسدود شدن بسته‌های RADIUS و Accounting شود. پورت‌های زیر باید باز باشند:

• پورت 1812: برای احراز هویت RADIUS
• پورت 1813: برای سرویس Accounting

برای باز کردن این پورت‌ها:

iptables -A INPUT -p udp --dport 1812 -j ACCEPT
iptables -A INPUT -p udp --dport 1813 -j ACCEPT
iptables -A OUTPUT -p udp --dport 1812 -j ACCEPT
iptables -A OUTPUT -p udp --dport 1813 -j ACCEPT

4. بررسی NAT

اگر سرور شما از NAT استفاده می‌کند، مطمئن شوید که ترافیک مربوط به RADIUS و Accounting به درستی ترجمه شده و به IBSng هدایت می‌شود. برای تست، از ابزارهای زیر استفاده کنید:

پینگ سرور IBSng:

ping <IBSng_IP>

اتصال به پورت RADIUS با استفاده از Telnet:

telnet <IBSng_IP> 1812

اگر پینگ یا اتصال موفق نبود، تنظیمات NAT یا مسیرهای شبکه را بررسی کنید.

5. تنظیمات Default Route در تانل

اگر تانل VPN به‌گونه‌ای تنظیم شده که تمام ترافیک به‌صورت پیش‌فرض از آن عبور کند، باید مسیر جداگانه‌ای برای IBSng تعریف کنید:

اضافه کردن قانون مسیریابی (Routing Rule) برای ترافیک IBSng:

ip rule add from <Local_IP> to <IBSng_IP> table main

6. بررسی لاگ‌ها برای عیب‌یابی

بررسی لاگ‌ها می‌تواند اطلاعات مهمی درباره خطاها ارائه دهد:

لاگ‌های ocserv:

journalctl -u ocserv

لاگ‌های IBSng (معمولاً در /var/log/radius/ یا /var/log/ibsng/):

tail -f /var/log/radius/radius.log

به دنبال پیام‌های خطایی مانند Timeout یا Permission Denied باشید.

7. مانیتور ترافیک با tcpdump

برای اطمینان از ارسال صحیح ترافیک RADIUS به سرور IBSng، از tcpdump استفاده کنید:

tcpdump -i <Interface> host <IBSng_IP>

این ابزار کمک می‌کند تا بسته‌های ارسال‌شده و دریافتی را در زمان واقعی مشاهده کنید.

رفع مشکل ارتباط ocserv و IBSng هنگام استفاده از تانل، نیازمند تنظیمات دقیق مسیریابی و فایروال است. مهم‌ترین اقدامات شامل مستثنا کردن ترافیک IBSng از تانل، باز کردن پورت‌های لازم در فایروال، و بررسی جدول مسیریابی است. با اجرای گام‌های فوق، می‌توانید اطمینان حاصل کنید که سرویس RADIUS و Accounting به درستی کار می‌کنند.