Oleg2018
Тип контенту
Профили
Форум
Календарь
Сообщения додав Oleg2018
-
-
Нужно реализовать nas сервер на cisco авторизация ip+mac IPOE. Помогите опытом.
-
а как быть с тем что radtest запросы не проходят. Получаю сообщение Received Access-Reject Id 139 from 127.0.0.1:1812 to 0.0.0.0:0 length 20
(0) -: Expected Access-Accept got Access-Reject а debug (0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject -
И что вы умные люди мне можете посоветовать. Как решить эту проблему?Ну очень нужно долбусь уже 3 дня
-
Вот такой ответ я получаю на запрос radtest Sumy1ap0_9kpg 568vlkj5 127.0.0.1 0 dec0071981b1
(0) Received Access-Request Id 38 from 127.0.0.1:12382 to 127.0.0.1:1812 length 83
(0) User-Name = "Sumy1ap0_9kpg"
(0) User-Password = "568vlkj5"
(0) NAS-IP-Address = 127.0.0.1
(0) NAS-Port = 0
(0) Message-Authenticator = 0x587966ed98ef9fd3c7133686f5815754
(0) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/d efault
(0) authorize {
(0) [preprocess] = ok
(0) [chap] = noop
(0) [mschap] = noop
(0) [digest] = noop
(0) eap: No EAP-Message, not doing EAP
(0) [eap] = noop
(0) sql: EXPAND %{User-Name}
(0) sql: --> Sumy1ap0_9kpg
(0) sql: SQL-User-Name set to 'Sumy1ap0_9kpg'
rlm_sql (sql): Reserved connection (1)
(0) sql: EXPAND SELECT id, username, attribute, value, op FROM mlg_check WHERE u sername = '%{SQL-User-Name}' ORDER BY id
(0) sql: --> SELECT id, username, attribute, value, op FROM mlg_check WHERE u sername = 'Sumy1ap0_9kpg' ORDER BY id
(0) sql: Executing select query: SELECT id, username, attribute, value, op FROM mlg_check WHERE username = 'Sumy1ap0_9kpg' ORDER BY id
(0) sql: EXPAND SELECT username FROM mlg_groupreply WHERE username = '%{SQL-User -Name}'
(0) sql: --> SELECT username FROM mlg_groupreply WHERE username = 'Sumy1ap0_9 kpg'
(0) sql: Executing select query: SELECT username FROM mlg_groupreply WHERE usern ame = 'Sumy1ap0_9kpg'
(0) sql: User not found in any groups
rlm_sql (sql): Released connection (1)
Need 4 more connections to reach 10 spares
rlm_sql (sql): Opening additional connection (6), 1 of 26 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'stg' on Localhost via UNIX socket, server version 5.6.40, protocol version 10
(0)= notfound
(0) [files] = noop
(0) [expiration] = noop
(0) [logintime] = noop
(0) pap: WARNING: No "known good" password found for the user. Not setting Auth -Type
(0) pap: WARNING: Authentication will fail unless a "known good" password is ava ilable
(0) [pap] = noop
(0) } # authorize = ok
(0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(0) Post-Auth-Type REJECT {
(0) attr_filter.access_reject: EXPAND %{User-Name}
(0) attr_filter.access_reject: --> Sumy1ap0_9kpg
(0) attr_filter.access_reject: Matched entry DEFAULT at line 11
(0) [attr_filter.access_reject] = updated
(0) } # Post-Auth-Type REJECT = updated
(0) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [Sumy1ap0_9kpg] (from client mfs port 0)
(0) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(0) Sending delayed response
(0) Sent Access-Reject Id 38 from 127.0.0.1:1812 to 127.0.0.1:12382 length 20
Waking up in 3.9 seconds.
(0) Cleaning up request packet ID 38 with timestamp +7
-
Помогите пожалуйста разобраться новичку с настройками multigen.Ubilling установлен на платформу Freebsd 11.2 в качестве удаленного NAS будет использоваться ASR1002.
Вот теперь мне непонятно где и как правильно настроить атрибуты NAS сервера. Авторизация клиента будет производится по макадрессу. Просьба не пинать.
-
IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1 нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей
-
Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно
#!/bin/bash
#set -x
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp# Обьявляем где у нас лежит IPTABLES
IPT="/sbin/iptables"
IPS="/sbin/ipset"
# Включаем пересылку пакетов нашим роутером
case $1 in
start)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
#$IPS -N blacklist iphash
$IPS -N FORW iphash
$IPS -N DISCON iphash
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
#При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная,
$IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
####Module conf_sg brut
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP#####
$IPT -A INPUT -m state --state INVALID -j DROP###############################################################
######################## FORWARD ##############################
###############################################################
$IPT -A FORWARD -i lo -j ACCEPT
#$IPT -A FORWARD -m set --match-set blacklist dst -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT
$IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT###############################################################
######################## NAT ##################################
######################################################################## Все обращения на 80 порт перебрасываем на UHW
#$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80
######### отключенных абонов редиректим на личный кабинет
#$IPT -t nat -A PREROUTING -m set --match-set DISCON src --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port
$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1
#######нат в пул адрессов
#$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten
/etc/shaper.sh start
#$IPS -A FORW 192.168.64.0/24
;;
stop)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
#$IPS -F blacklist
#$IPS -X blacklist
$IPS -F FORW
$IPS -X FORW
$IPS -F DISCON
$IPS -X DISCON
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
/etc/shaper.sh stop
;;
*)
echo "use start or stop"
esac -
Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так :
auto eth1
iface eth1 inet static
address 10.78.10.1
netmask 255.255.255.0
auto eth1:1
iface eth1:1 inet static
address 10.78.11.1
netmask 255.255.255.0Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP .
А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее.
-
DHCP не выдает ip пишет в логах DHCPDISCOVER from via enp2s0f0: network ourisp: no free leases. При добавлении в конфиг range назначает. В чем проблема?
-
Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд
-
Блин почему на самый простой вопрос идет наброс "доброжелателей",это уже наверное менталитет
-
Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?
-
Мужики выручайте есть такая проблема. Последний релиз биллинга с версией php 7.0.13. Хочу на этот же сервер поставить и Zabbix да вот проблема при установке фротенда забикса обновляет версию php а это проблема для фротенда биллинга. Какие есть идеи, забикс очень нужен
-
Это я понимаю что через MultiGen интересует сам алгоритм конфигурации асрки
-
Билинг сейчас поднят на сервере под FreeBSD и используется локальный NAS сервер, все работает замечательно. Есть в наличии аппарат Cisco ASR 1002. Хотелось бы получить информацию как поднять на этой машине NAS сервер для нашего биллинга. Информации по этой модели на форумах в принципе нет.Помогите пожалуйста
-
При переносе биллинга на новый сервер сделал восстановоление базы строго по инструкции. Все данные получил. Пользователи работают. Но есть проблема, при создание копии базы через вебинтерфейс создается файл с размер 100 килобайт. База при переносе занимала 18 мегабайт. При проверке целосности базы нашел проблему из представлением op_customers выдает ошибку #1449 - The user specified as a definer ('root'@'%') does not exist. Кто решал и как эту проблему
-
Да абонент получает ип,маску,шлюз,днс. Вот сейас в логах ДХСПЦ появились такие сообщения send_packet: No buffer space available, dhcp.c:1748: Failed to send 300 byte long packet over fallback interface.
-
На себя все пинги на адреса 10.79.50.1, 193.111.240.9, 193.111.240.1 идут без проблем. Абон по DHCP ип ,шлюз и ДНС получает без проблем. Сейчас подключил к серверу монитор есть такое сообщение dhcp.c:2048 failed to send 300 byte to file packet
-
Это от сервера на клиента
PING 10.79.50.4 (10.79.50.4): 56 data bytes
ping: sendto: No buffer space available
ping: sendto: No buffer space available
ping: sendto: No buffer space available
-
ipfw list
06000 nat 1 ip from table(2) to not table(9) out xmit bce1
06001 nat 1 ip from any to me in recv bce1
12000 pipe tablearg ip from table(3) to any via bce0 in
12001 pipe tablearg ip from any to table(4) via bce0 out
65533 deny ip from table(2) to any via bce0
65534 deny ip from any to table(2) via bce0
65535 allow ip from any to any
-
firewall.conf поменял так как вы сказали. Пингов нет ни от сервера ни от клиента.
По табличкам
ipfw table 2 list
--- table(2), set(0) ---
10.79.50.0/24 0
ipfw table 3 list
--- table(3), set(0) ---
10.79.50.4/32 102
10.79.50.13/32 709
10.79.50.15/32 706
ipfw table 4 list10.79.50.4/32 18102
10.79.50.13/32 18709
10.79.50.15/32 18706
-
17 часов назад, a_n_h сказал:
удали все из 9-й таблицы
это WAN - добавь в 9-ю таблицу
перезагрузи
и начни с пинга на/от абонов.
Пинг не идет не от сервера не от абона.
-
Спасибо за помощь,добавил в таблицу 9 этот ип. Ситуация та же. Где еще копать не знаю.
-
hostname="ubilling"
ifconfig_bce0="10.79.50.1/24"
ifconfig_bce1="193.111.240.9/28"defaultrouter="193.111.240.1"
ifconfig_bce2_ipv6="inet6 accept_rtadv"sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
# ====== added by UBinstaller ====gateway_enable="YES"
tftpd_enable="YES"
tftpd_flags="--ipv4 --secure --create --user tftp --umask 027 --permissive --address 0.0.0.0:69 /var/tftpboot"#all needed services
mysql_enable="YES"
apache24_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_conf="/usr/local/etc/multinet/dhcpd.conf"
dhcpd_ifaces="bce0"ubilling_enable="YES"
ubilling_flags="bce0"#netflow sensor
softflowd_enable="YES"
softflowd_interfaces="bce0"
softflowd_bce0_collector="127.0.0.1:42111"#optional services
memcached_enable="NO"
memcached_flags="-l 127.0.0.1 -m 128 -I 10M"
radiusd_enable="NO"# ==========
#access/shape/nat
firewall_enable="YES"
firewall_nat_enable="YES"
#firewall_type="OPEN"
dummynet_enable="YES"
firewall_script="/etc/firewall.conf"# ==========
Проблема с конфигурацией MultiGen
в Stargazer Ubilling
Опубліковано:
Скажите в качестве теста мне хватит маршрутизатора cisco 881. Просто планируемая asr занята,а нужно на чем то тестировать ил и на ней задачи уже не решить?