Jump to content
Local
mstsc

КучаГен + MikroTik DHCP + (opt82)

Recommended Posts

Доброго времени суток!

Осваивая функционал КучаГен больше всего привлек вариант описанный в мануале MikroTik DHCP (IP + MAC) http://wiki.ubilling.net.ua/doku.php?id=mgmikrotikdhcp 

Подходит метод тем, что вся нагрузка ложится на микротик с его весьма гибкими методами маршрутизации между каналами. Траблшутинг при обращении пользователя тоже очень удобен. 

В ходе тестовой реализации упираюсь в логический тупик. Не ясны два ключевых вопроса:

1. Как выдавать гостевые IP адреса при такой схеме работы, ведь радиус ориентируется только на жесткое совпадение MAC адреса в карточке пользователя. 

2. Как задействовать авторизацию на основе Option 82? Микротик без особого труда передает радиусу Remote-ID Circuit-ID но как их обработать в биллинге? 

Share this post


Link to post
Share on other sites
5 часов назад, mstsc сказал:

Как выдавать гостевые IP адреса при такой схеме работы, ведь радиус ориентируется только на жесткое совпадение MAC адреса в карточке пользователя

google it: users.conf DEFAULT

для понимания и вообще в принципе работы фрирадиуса

5 часов назад, mstsc сказал:

2. Как задействовать авторизацию на основе Option 82? Микротик без особого труда передает радиусу Remote-ID Circuit-ID но как их обработать в биллинге? 

пока никак, описывайте в каких вариантах микротик присылает этим самые параметры, в каких аттрибутах и как выглядят значения

авось и сами вразумеете, но подозреваю что как обычно с говнотиком не всё так просто ибо опт 82 это про DHCP, а там оно в связке с радиусом корявое донельзя

Share this post


Link to post
Share on other sites
8 часов назад, l1ght сказал:

users.conf DEFAULT

 

 

Само собой понятно, что на уровне конфигурации радиуса можно организовать авторизацию, однако не затрет ли мне эти параметры сам Ubilling при регенерации базы? Плюс, если взаимодействие пользователя происходит только между NAS сервером и радиусом - мы даже факт появления нового оборудования в биллинге не будем видеть. 

В мануале упоминается UHW_MLG. Один из пунктов в его описании "Ваш NAS/BRAS шлет radius accounting." Более менее развернутого описания нет. Не мой ли это случай?

Цитата

 в каких аТрибутах и как выглядят значения

 

Значения выглядят как и должны. И микротик эти данные передает без искажений и проблем. Если у Вас есть факт "корявости" работы этой связки, опишите в деталях. Я видел работающий вариант такой реализации на Abills. Тот же микрот, та же опция. 

rad_recv: Access-Request packet from host 10.1.2.7 port 44330, id=18, length=153
NAS-Port-Type = Ethernet
NAS-Port = 2207434909
Calling-Station-Id = "1:70:5a:b6:db:18:14"
Called-Station-Id = "server_B"
User-Name = "70:5A:B6:DB:18:14"
User-Password = ""
Agent-Remote-Id = 0x63656e7472616c5f3635
Agent-Circuit-Id = 0x30303032
NAS-Identifier = "MK"
NAS-IP-Address = 10.1.2.7

 

Edited by mstsc

Share this post


Link to post
Share on other sites
29 минут назад, mstsc сказал:

днако не затрет ли мне эти параметры сам Ubilling при регенерации базы

где база и где users.conf, ну

29 минут назад, mstsc сказал:

В мануале упоминается UHW_MLG. Один из пунктов в его описании "Ваш NAS/BRAS шлет radius accounting." Более менее развернутого описания нет. Не мой ли это случай?

ему как раз и нужен байпас авторизации (дефолт) в первую очередь, а дальше жертва уже ищется по аккаунтингу

30 минут назад, mstsc сказал:

Agent-Remote-Id = 0x63656e7472616c5f3635 Agent-Circuit-Id = 0x30303032

на основе чего я должен сгенирировать эти данные? как мне это увязать с конкретным абонентом?

31 минуту назад, mstsc сказал:

Если у Вас есть факт "корявости" работы этой связки

у меня есть факт корявости микротика и то что dhcp + radius наглухо игнорирует под и коа

Share this post


Link to post
Share on other sites
Цитата

на основе чего я должен сгенЕрировать эти данные? как мне это увязать с конкретным абонентом?

Agent-Remote-Id Agent-Circuit-Id вполне однозначно идентифицируют абонента, если, конечно, вы не пытаетесь через один порт авторизовать десяток человек. Попросту такая схема позволяет игнорировать конечный MAC адрес абона и позволяет безболезненно менять оборудование с сохранением IP. Вопрос безопасности такой схемы давайте опустим. Настройки устройств доступа позволяют избавляться от возможных проблем вроде два мака на порту и прочее. 

Share this post


Link to post
Share on other sites

ок, второй раз повторю

на основе чего я должен сгенирировать эти данные? как мне это увязать с конкретным абонентом?

или мне надо руками это назначать?

Share this post


Link to post
Share on other sites
8 минут назад, l1ght сказал:

ок, второй раз повторю

на основе чего я должен сгенирировать эти данные? как мне это увязать с конкретным абонентом?

или мне надо руками это назначать?

Мак свича доступа - константа. Даже в масштабной сети их не так много. Порт тоже совершенно предсказуемое значение будь то ethernet дырка или S/N онушки. Для радиуса эти данные нужно генерировать только в том случае, если они внесены руками в карточку абонента. В иных случаях - гостевой диапазон. 

К вопросу где увидеть фактические  Agent-Remote-Id Agent-Circuit-Id у не авторизованного абона. DHCP сервер микротика в Leases показывает эти данные.  

image.png

Edited by mstsc

Share this post


Link to post
Share on other sites
4 hours ago, l1ght said:

ок, второй раз повторю

на основе чего я должен сгенирировать эти данные? как мне это увязать с конкретным абонентом?

или мне надо руками это назначать?

 

Кхе... кхе...

 

В классике есть три варианта генерирования этих данных (т.е. закрепления за абонентом).

- монтажник на огрызке сигаретной пачки записывает, куда он воткнул абонента, а оператор потом заносит эти данные в настройки услуги абонента либо из заранее пре-конфигурированной базы, либо просто вручную набивает эти данные;

- монтажник при подключении абонента втыкает в порт свой ноут, нет, планшет/смартфон с ETH свистком, или соединяется через клиентский ви-фи, и в своей админке находит абонента и ставит галочку подтверждения работы с клиентского порта;

- абонент при первом подключении по незанятому порту давит на кнопку "ага", означающей работу из дома, авторизовавшись по любому варианту, подтвердив свои полномочия. При этом данные opt82 выбираются из базы, либо автоматически пополняются по факту. Система автоматической привязка порта совсем не обязательно должны быть частью биллинга. Тут вариантов много.

 

Так что у потребителя продукта надо бы выяснить пару восросов:

1. Он хорошо понимает, что он хочет получить?

2. Он знает, что могут быть другие варианты, которые можно понимать или хотеть?

Edited by vop

Share this post


Link to post
Share on other sites

Если я внесу opt82 руками в биллинг меня, как потребителя это устраивает. Если возможна автоматизация, Парсинг данных в том формате как сейчас это происходит для мак адресов - это уже перделки-свистелки. Основная проблема DHCP на микротике увязать с биллингом применяя опцию


Отправлено с моего iPhone используя Tapatalk

Share this post


Link to post
Share on other sites

И не забываем, что DHCP выдает адреса с привязкой к MAC-адресу. А тут могут быть варианты при втыкании нового оборудования. Их тоже три, но это уже другая песня.

Share this post


Link to post
Share on other sites
И не забываем, что DHCP выдает адреса с привязкой к MAC-адресу. А тут могут быть варианты при втыкании нового оборудования. Их тоже три, но это уже другая песня.

Если все настроено ориентируясь на опцию - новый мак получит IP абона и без вопросов заработает. Само собой есть тонкости. 1. Новый мак не получит сессию пока виза старого мака не закончится. 2. При появлении двух маков на порту это тоже превращается для DHCP в проблему.


Отправлено с моего iPhone используя Tapatalk

Share this post


Link to post
Share on other sites
Just now, mstsc said:


Если все настроено ориентируясь на опцию - новый мак получит IP абона и без вопросов заработает. Само собой есть тонкости. 1. Новый мак не получит сессию пока виза старого мака не закончится. 2. При появлении двух маков на порту это тоже превращается для DHCP в проблему.
 

 

В протоколе DHCP выдачи ip-адресов нет никаких опций 82. Сервер должен "знать" изначально, какой ip должен выдаваться каждому конкретному маку. Или выдавать свободный ip из пула неизвестному ему маку. Поэтому в этом случае есть три варианта:

 

1. DHCP выдает свободный адрес на новое оборудование, которое в дальнейшем остается за клиентом постоянно. MAC привязывается к клиентскому профайлу через opt92 (но это уже работа не DHCP сервера). Нормальный и канонический вариант.

2. DHCP выдает какой-то временный адрес на новый MAC, и после привязки этого мака к клиентскому профайлу ip-адрес заменяется на "правильный". Вариант имеет свои заморочки с перевыдачей адреса и немного некрасивый.

3. Ставите DHCP сервер, которому вообще пофиг на все rfc, который не ведет лизы на duid, который является простой отвечалкой на набор данных (его можно у Вани взять). Ну тоже вариант, если он вам нравится и пока вас не начнут ломать, но это уже другая тема.

 

Ограничение на одну лизу на клиента или появление двух маков на порту - это не технологическая проблема. Это административная проблема своеобразного видения предоставления услуги, и тоже другая тема.

Share this post


Link to post
Share on other sites
49 минут назад, vop сказал:

 

В протоколе DHCP выдачи ip-адресов нет никаких опций 82. Сервер должен "знать" изначально, какой ip должен выдаваться каждому конкретному маку. Или выдавать свободный ip из пула неизвестному ему маку. Поэтому в этом случае есть три варианта:

 

1. DHCP выдает свободный адрес на новое оборудование, которое в дальнейшем остается за клиентом постоянно. MAC привязывается к клиентскому профайлу через opt92 (но это уже работа не DHCP сервера). Нормальный и канонический вариант.

2. DHCP выдает какой-то временный адрес на новый MAC, и после привязки этого мака к клиентскому профайлу ip-адрес заменяется на "правильный". Вариант имеет свои заморочки с перевыдачей адреса и немного некрасивый.

3. Ставите DHCP сервер, которому вообще пофиг на все rfc, который не ведет лизы на duid, который является простой отвечалкой на набор данных (его можно у Вани взять). Ну тоже вариант, если он вам нравится и пока вас не начнут ломать, но это уже другая тема.

 

Ограничение на одну лизу на клиента или появление двух маков на порту - это не технологическая проблема. Это административная проблема своеобразного видения предоставления услуги, и тоже другая тема.

Спасибо за детальное разъяснение. Однако тема про другое. 

 

Изначальный вопрос стоит в следующем: При использовании связки Ubilling + DHCP сервер на устройстве Mikrotik возможно ли авторизовать абонента ориентируясь на Remote- и ID Circuit-ID?

 

Share this post


Link to post
Share on other sites
5 hours ago, mstsc said:

Спасибо за детальное разъяснение. Однако тема про другое. 

 

Изначальный вопрос стоит в следующем: При использовании связки Ubilling + DHCP сервер на устройстве Mikrotik возможно ли авторизовать абонента ориентируясь на Remote- и ID Circuit-ID?

 

 

Что значит про другое? Ответ на изначальный вопрос - конечно можно. Я как бы об этом и писал. Вам просто нужно выбрать вариант утилизации opt82 из перечисленных выше, либо придумать свой, и реализовать его. И в конце добавить необходимый инструментарий для реализации этого варианта хоть в рамках биллинга, хоть в виде отдельного модуля. Вон, у киевстара для этого сделана отдельная легковесная подсистема.

 

PS Не спрашивайте у меня, что надо в конфиге юбиллига писать - я не настолько богатый.

Share this post


Link to post
Share on other sites
 

2. DHCP выдает какой-то временный адрес на новый MAC, и после привязки этого мака к клиентскому профайлу ip-адрес заменяется на "правильный". Вариант имеет свои заморочки с перевыдачей адреса и немного некрасивый.
3. Ставите DHCP сервер, которому вообще пофиг на все rfc, который не ведет лизы на duid, который является простой отвечалкой на набор данных (его можно у Вани взять). Ну тоже вариант, если он вам нравится и пока вас не начнут ломать, но это уже другая тема.
 


А есть примеры реализации 2 варианта? Насколько далеко такая схема работы от штатных средств Ubilling?


Отправлено с моего iPhone используя Tapatalk

Share this post


Link to post
Share on other sites

Второй вариант работает из коробки в абилсе в связке с тем же accel-ppp.

Но accel это полноценный нас в отличии от....

Юбиллинг не изучал, но если он умеет radius pod, то также будет работать с ацелем очевидно на модном слове куча ген.

По поду микрота кто то писал, что он pod не умеет. Поэтому и насом назвать его язык не поворачивается. 

Третий вариант реализуется за день колупания с фрирадиусом, который умеет быть dhcp  сервером и также лазить в sql сам или с помощью perl. 

 

И учтите масштабируемость решения. Биллинг+accel лезет в базу только один раз при подключении, дальше accel сам продляет сессию, пока тело живое или пока не прилетит pod. Freeradius это не нас, он будет долбить биллинг каждый раз при продлении лизы. Что там микрот хз, надо проверять. 

Edited by Кеша
  • Like 1

Share this post


Link to post
Share on other sites
В 12.08.2020 в 01:28, l1ght сказал:

google it: users.conf DEFAULT

для понимания и вообще в принципе работы фрирадиуса

пока никак, описывайте в каких вариантах микротик присылает этим самые параметры, в каких аттрибутах и как выглядят значения

авось и сами вразумеете, но подозреваю что как обычно с говнотиком не всё так просто ибо опт 82 это про DHCP, а там оно в связке с радиусом корявое донельзя

 

Как в конфигурации радиуса прописать гостевой пулл для неизвестных пользователей?

Share this post


Link to post
Share on other sites

Абзац в вики:

 

ВАЖНО: Перед DEFAULT не должно быть табуляций и пробелов, иначе при запуске RADIUS возникнет ошибка “Entry does not begin witch a user name Failed reading”

 

говорит о художественной натуре экспериментаторов. :)

 

По делу - не стоит засорять вики тестом, не имеющим отношения к решению проблемы.

Share this post


Link to post
Share on other sites
22 минуты назад, vop сказал:

говорит о художественной натуре экспериментаторов.

писал @mstsc, выложил почти как есть, главное - доходчиво

22 минуты назад, vop сказал:

По делу - не стоит засорять вики тестом, не имеющим отношения к решению проблемы.

спасибо за очень ценное мнение, мы обязательно учтем 

  • Like 1
  • Haha 2

Share this post


Link to post
Share on other sites
1 час назад, l1ght сказав:

спасибо за очень ценное мнение, мы обязательно учтем 

di.png

  • Like 1
  • Haha 2

Share this post


Link to post
Share on other sites

Страничка поэзии. Агния Барто. Фрагмент. Текст.

 



....

Мы с Тамарой ходим парой,
Санитары мы с Тамарой.

 

Если что-нибудь случится,
Приходите к нам лечиться.

 

Мы умеем класть компресс:
Мы с Тамарой Красный Крест.

....

 

:):):):):):):):):):):)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Lyovnnr
      Добрый день,
      Просьба подсказать в чем может быть проблема.
       
      OLT
      BDCOM(tm) GP3600-08B Software, Version 10.3.0D Build 73563
      Copyright by Shanghai Baud Data Communication CO. LTD.
      Compiled: 2020-5-14 16:9:29 by SYS, Image text-base: 0x108000
       
      ONU/HGU
      Device Model    GP1704-4F-E
      Hardware Version    A0
      Software Version    10.0.25B.643
       
      olt_M#show running-config non-interface !version 10.3.0D build 73563 service timestamps log date service timestamps debug date service password-encryption logging 10.0.10.1 logging buffered 163840 ! hostname olt_M system mtu 9000 ! port-protected 1 ! ! ! ! ! ! spanning-tree mode rstp ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! aaa authentication login default local aaa authentication enable default none aaa authorization exec default local ! ! ! gpon profile onu-rate-limit ratelimit-default id 1 gpon-profile pir 1244160 cir 15360 ! gpon profile onu-tcont tcont-default id 1 gpon-profile tcont-type 3 pir 1024000 cir 15360 ! gpon profile onu-virtual-port virtual-port-default id 1 gpon-profile encryption disable gpon-profile upstream queue 8 gpon-profile downstream queue 8 ! gpon profile onu-tcont-virtual-port-bind tvbind-default id 1 gpon-profile virtual-port 1 profile virtual-port-default tcont 1 profile tcont- default ! gpon profile onu-flow-mapping flow-mapping-default id 1 gpon-profile entry 1 uni type eth-uni all gpon-profile entry 1 virtual-port 1 ! gpon profile onu-flow-mapping flow-mapping-default-hgu id 2 gpon-profile entry 1 uni type veip all gpon-profile entry 1 vlan 26,70,101,2719 gpon-profile entry 1 virtual-port 1 ! gpon profile onu-vlan vlan_26 id 3 gpon-profile vlan mode tag gpon-profile vlan pvid 26 0 ! gpon profile onu-vlan vlan_70 id 4 gpon-profile vlan mode tag gpon-profile vlan pvid 70 0 ! gpon profile onu-mcst-oper mcst id 2 gpon-profile downstream-mcst-tag strip ! gpon profile onu-mcst-dynamic-group mcst id 2 gpon-profile entry 1 multicast-gemport 4093 gpon-profile entry 1 multicast-group-address-range 239.255.0.1 to 239.255.0.254 ! ! gpon onutype-template onutype-default-hgu gpon-onutype match ctc-onu-type HGU gpon-onutype config tcont-virtual-port-bind-profile tvbind-default gpon-onutype config flow-mapping-profile flow-mapping-default-hgu gpon-onutype config veip 1 mcst-oper-profile mcst gpon-onutype config veip 1 mcst-dynamic-group-profile mcst ! gpon onutype-template onutype-default gpon-onutype config tcont-virtual-port-bind-profile tvbind-default gpon-onutype config flow-mapping-profile flow-mapping-default gpon-onutype config uni 1 vlan-profile vlan_26 ! ! ! interface GigaEthernet0/1 description -= Up Link =- switchport trunk vlan-allowed 20-24,26,70,100-101,2719 switchport trunk vlan-untagged none switchport mode dot1q-tunnel-uplink switchport pvid 2719 dhcp snooping trust ! ! ! interface GPON0/1 gpon bind-onutype onutype-default-hgu precedence 127 gpon bind-onutype onutype-default precedence 128 filter dhcp switchport trunk vlan-allowed 26,70,101,2719 switchport trunk vlan-untagged none switchport mode trunk switchport protected 1 gpon transceiver Any-Reset-Preamble ! ! ! vlan 26 name olt_M ! vlan 70 name Real_IP ! vlan 100 name MGMT ! vlan 101 name PON_MGMT ! vlan 2719 name IPTV ! vlan 1,26,70,100-101,2719 ! ! ip mcst enable ip mcst querier enable ip mcst mc-vlan 2719 range 225.0.71.1 , 231.10.23.71 , 239.255.0.1 - 239.255.0.2 54 ! ! ip dhcpd enable ! ip dhcp-relay snooping ip dhcp-relay snooping vlan 20-26,70,101,2719 ip dhcp-relay snooping rapid-refresh-bind ! ! ! ! ! ! ! ip route default 10.0.8.1 ip exf ! ipv6 exf ! ip telnet attack-defense ! ip http server ! ! ! line vty 0 31 exec-timeout 1800 ! ! ip sshd enable ! ntp query-interval 3600 ntp server 10.0.8.1 ntp server 10.0.8.2 ! ddm enable ! !Pending configurations for absent linecards: ! !No configurations pending global olt_M#  
      при установке у абонента tv/стб/stb приставку ZTE, которая подключается к HGU GP1704-4F-E, не получает IP по DHCP, т.е. получает но с большой задержкой, иногда сразу но в основном с задержкой (1-15)минут. НА HGU GP1704-4F-E , vlan multocast -a установлен bridge -ом и привязан к одному порту к которому и подключается tv/стб/stb приставку ZTE
       

       
      принцип такой кто из клиентов хочет IPTV для него устанавливаливается  ONU/HGU GP1704-4F-E чтоб stb отдельно подключить к специально настроенному порту для IPTV, а кто хочет без IPTV для него устанавливаливается  ONU GP1501DT.
       
       
      У кого встречалась похожая проблема, и кто как решал ? или кто что предложит, аналогичная схема идеально работает на BDCOM оборудование только EPON, а вот на GPON e такие костыли
       
      Спасибо.
       
      P.S.
       
      посмотрите в общем что можно подправить или изменить/добавить в config e OLT, первый раз встречаюсь с этим оборудованием, 
       
    • By VSU
      Добрый день, 
      Хочу выдавать адреса по remoteID, при создании подсетей если указывать тип "option82 + *", то в профиле клиента > черная магия > опция82 выдает ошибку "Нету сетей использующих DHCP option 82", если указывать option82, в черной магии появляется возможность выбора опций82.
      Как можно это полечить?
    • By XNeo
      Здравствуйте.
       
      Имеется следующая конфигурация:
      interface GigaEthernet0/5 switchport trunk vlan-allowed 10,116 switchport trunk vlan-untagged none switchport mode trunk dhcp snooping trust ! interface VLAN10 ip address 10.10.0.55 255.255.240.0 no ip directed-broadcast ! interface VLAN116 no ip address no ip directed-broadcast ip helper-address 10.0.0.2 ! vlan 1,10,116 ! ip dhcpd enable ! ip dhcp-relay snooping ip dhcp-relay snooping vlan 116 ip dhcp-relay snooping information option format hn-type ! ip route default 10.10.0.1 VLan116 - пользовательский.
      VLan10 - management.
      Проблема заключается в том, что OLT не пересылает запросы DHCP-серверу, если в пользовательском VLan116 не назначен IP адрес.
      Что я упустил?
       
      P.S.: BDCOM(tm) P3616-2TE Software, Version 10.1.0E Build 60793
    • By stroitel
      Здравствуйте,
      Ищу системного администратора который сможет помочь перевести сеть на DHCP opt. 82 c использованием accel/Linux/Abills.
      Обязательно наличие опыта администрирование похожих сетей и хорошие знания самого accel-ppp. 
    • By DAnEq
      может не в эту ветку, но
      сбросил модем zte
      настроил его по инструкциям укртелекома, тип подключения дхсп, впи/вси 1/40
      получаю айпи адрес 100.чего.то.там
      и тишина.
      при обращении на любой сайт делается форвардинг на их страничку на которой написано, что доступ ограничен
      звоню на их поддержку - они не видят "подачу"
×