Jump to content
Local

Oleg2018

Muggles
  • Content Count

    44
  • Joined

  • Last visited

Community Reputation

0 Обычный

About Oleg2018

  • Rank
    Пролетал Мимо

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. При тестовой проверке в дебаг режиме вываливается pap: WARNING: Authentication will fail unless a "known good" password is available и в результате запрос игнорирует. Понимаю что не воспринимает пароль. Все делал строго по инструкции. Кто сталкивался и как решал?
  2. Связка ubilling + nas (cisco ASR 1002) + кучаген работает, клиентская машина ип получает, пинги на 8.8.8.8 идут а вот интернета нет. На запрос nslookup получаю ответ dns request timed out Can`t find server name for address 8.8.8.8/ю Помогите разобраться
  3. Скажите в качестве теста мне хватит маршрутизатора cisco 881. Просто планируемая asr занята,а нужно на чем то тестировать ил и на ней задачи уже не решить?
  4. Нужно реализовать nas сервер на cisco авторизация ip+mac IPOE. Помогите опытом.
  5. а как быть с тем что radtest запросы не проходят. Получаю сообщение Received Access-Reject Id 139 from 127.0.0.1:1812 to 0.0.0.0:0 length 20 (0) -: Expected Access-Accept got Access-Reject а debug (0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
  6. И что вы умные люди мне можете посоветовать. Как решить эту проблему?Ну очень нужно долбусь уже 3 дня
  7. Вот такой ответ я получаю на запрос radtest Sumy1ap0_9kpg 568vlkj5 127.0.0.1 0 dec0071981b1 (0) Received Access-Request Id 38 from 127.0.0.1:12382 to 127.0.0.1:1812 length 83 (0) User-Name = "Sumy1ap0_9kpg" (0) User-Password = "568vlkj5" (0) NAS-IP-Address = 127.0.0.1 (0) NAS-Port = 0 (0) Message-Authenticator = 0x587966ed98ef9fd3c7133686f5815754 (0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/d efault (0) authorize { (0) [preprocess] = ok (0) [chap] = noop (0) [mschap] = noop (0) [digest] = noop (0) eap: No EAP-Message, not doing EAP (0) [eap] = noop (0) sql: EXPAND %{User-Name} (0) sql: --> Sumy1ap0_9kpg (0) sql: SQL-User-Name set to 'Sumy1ap0_9kpg' rlm_sql (sql): Reserved connection (1) (0) sql: EXPAND SELECT id, username, attribute, value, op FROM mlg_check WHERE u sername = '%{SQL-User-Name}' ORDER BY id (0) sql: --> SELECT id, username, attribute, value, op FROM mlg_check WHERE u sername = 'Sumy1ap0_9kpg' ORDER BY id (0) sql: Executing select query: SELECT id, username, attribute, value, op FROM mlg_check WHERE username = 'Sumy1ap0_9kpg' ORDER BY id (0) sql: EXPAND SELECT username FROM mlg_groupreply WHERE username = '%{SQL-User -Name}' (0) sql: --> SELECT username FROM mlg_groupreply WHERE username = 'Sumy1ap0_9 kpg' (0) sql: Executing select query: SELECT username FROM mlg_groupreply WHERE usern ame = 'Sumy1ap0_9kpg' (0) sql: User not found in any groups rlm_sql (sql): Released connection (1) Need 4 more connections to reach 10 spares rlm_sql (sql): Opening additional connection (6), 1 of 26 pending slots used rlm_sql_mysql: Starting connect to MySQL server rlm_sql_mysql: Connected to database 'stg' on Localhost via UNIX socket, server version 5.6.40, protocol version 10 (0) = notfound (0) [files] = noop (0) [expiration] = noop (0) [logintime] = noop (0) pap: WARNING: No "known good" password found for the user. Not setting Auth -Type (0) pap: WARNING: Authentication will fail unless a "known good" password is ava ilable (0) [pap] = noop (0) } # authorize = ok (0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject (0) Failed to authenticate the user (0) Using Post-Auth-Type Reject (0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default (0) Post-Auth-Type REJECT { (0) attr_filter.access_reject: EXPAND %{User-Name} (0) attr_filter.access_reject: --> Sumy1ap0_9kpg (0) attr_filter.access_reject: Matched entry DEFAULT at line 11 (0) [attr_filter.access_reject] = updated (0) } # Post-Auth-Type REJECT = updated (0) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [Sumy1ap0_9kpg] (from client mfs port 0) (0) Delaying response for 1.000000 seconds Waking up in 0.3 seconds. Waking up in 0.6 seconds. (0) Sending delayed response (0) Sent Access-Reject Id 38 from 127.0.0.1:1812 to 127.0.0.1:12382 length 20 Waking up in 3.9 seconds. (0) Cleaning up request packet ID 38 with timestamp +7
  8. Помогите пожалуйста разобраться новичку с настройками multigen.Ubilling установлен на платформу Freebsd 11.2 в качестве удаленного NAS будет использоваться ASR1002. Вот теперь мне непонятно где и как правильно настроить атрибуты NAS сервера. Авторизация клиента будет производится по макадрессу. Просьба не пинать.
  9. IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1 нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей
  10. Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно #!/bin/bash #set -x /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp # Обьявляем где у нас лежит IPTABLES IPT="/sbin/iptables" IPS="/sbin/ipset" # Включаем пересылку пакетов нашим роутером case $1 in start) # удаляем все имеющиеся правила $IPT -F $IPT -X #$IPS -N blacklist iphash $IPS -N FORW iphash $IPS -N DISCON iphash # Стандартные действия $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP #При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная, $IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT $IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: " $IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP ####Module conf_sg brut $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT $IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: " $IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP ##### $IPT -A INPUT -m state --state INVALID -j DROP ############################################################### ######################## FORWARD ############################## ############################################################### $IPT -A FORWARD -i lo -j ACCEPT #$IPT -A FORWARD -m set --match-set blacklist dst -j DROP $IPT -A FORWARD -m state --state INVALID -j DROP $IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT $IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT $IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT $IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT ############################################################### ######################## NAT ################################## ############################################################### ######### Все обращения на 80 порт перебрасываем на UHW #$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80 ######### отключенных абонов редиректим на личный кабинет #$IPT -t nat -A PREROUTING -m set --match-set DISCON src --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port $IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1 #######нат в пул адрессов #$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten /etc/shaper.sh start #$IPS -A FORW 192.168.64.0/24 ;; stop) # удаляем все имеющиеся правила $IPT -F $IPT -X $IPT -F -t nat $IPT -F -t mangle $IPT -F -t filter #$IPS -F blacklist #$IPS -X blacklist $IPS -F FORW $IPS -X FORW $IPS -F DISCON $IPS -X DISCON # Стандартные действия $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP /etc/shaper.sh stop ;; *) echo "use start or stop" esac
  11. Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так : auto eth1 iface eth1 inet static address 10.78.10.1 netmask 255.255.255.0 auto eth1:1 iface eth1:1 inet static address 10.78.11.1 netmask 255.255.255.0 Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP . А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее.
  12. DHCP не выдает ip пишет в логах DHCPDISCOVER from via enp2s0f0: network ourisp: no free leases. При добавлении в конфиг range назначает. В чем проблема?
  13. Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд
  14. Блин почему на самый простой вопрос идет наброс "доброжелателей",это уже наверное менталитет
  15. Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?
×