MPD5 + FreeRadius

[l1ght]

 

Жахливо змучився, так і не зміг зрозуміти, як привчити радіус перевіряти і логін, і пароль, і calling-station-id.

Є в когось думки з цього приводу?

простота роботи білінгу з радіусом вражає.... видно що писався для того щоб можна було легко інтегрувати з будь-яким софтом або желізом будь-якого виробника

хоча і нічого дивного судячи з того що радіус напряму через модуль sql в бд лазить. з іншого боку - простота - частина успіху..

 

Да просто то я від незнаяння

Не надто розумію радіус і ці вибоки з sql.

 

Я вже зрозумів, що мені потрібно щось на зразок

id | username | attribute                   | value                          | op |

> +----+----------+--------------------+-------------------+----+

> | 1 | user01 | Cleartext-Password |pass01                        |:= |

> | 2 | user01 | Calling-Station-Id     |98-4B-4A-F5-BF-40    | == |

> +----+----------+--------------------+-------------------+----+

 

Тепер зрозуміти як це зробити  залишилось.

Відредаговано 16 вересня, 2014 L1ght

[Lynx100]

 

 

Жахливо змучився, так і не зміг зрозуміти, як привчити радіус перевіряти і логін, і пароль, і calling-station-id.

Є в когось думки з цього приводу?

простота роботи білінгу з радіусом вражає.... видно що писався для того щоб можна було легко інтегрувати з будь-яким софтом або желізом будь-якого виробника

хоча і нічого дивного судячи з того що радіус напряму через модуль sql в бд лазить. з іншого боку - простота - частина успіху..

 

Да просто то я від незнаяння

Не надто розумію радіус і ці вибоки з sql.

 

насправді я приглядався до цього білінгу, але в мене всі браси автентифікуються на радіусі на даний момент.  Глянувши на те як організована робота з радіусом - стало зрозуміло що цей функціонал йому  приліпили аби було (хоча можу і помилятися) ...  але якщо напрягтися то все можна підпиляти. Одним словом бажання відпало його пиляти ... буду пиляти те що маю.... хоча там свої блохи

 

буду мати час вільний то можливо попилю для експерименту (на віртуалці уже стоїть але особливо ще не розкурював) ... харить що підтримки аккаунтінгу з радіусу толком нема - прийдеться теж пиляти, хоча думаю що там не складно має бути

Відредаговано 16 вересня, 2014 Lynx100

[l1ght]

 

 

 

Жахливо змучився, так і не зміг зрозуміти, як привчити радіус перевіряти і логін, і пароль, і calling-station-id.

Є в когось думки з цього приводу?

простота роботи білінгу з радіусом вражає.... видно що писався для того щоб можна було легко інтегрувати з будь-яким софтом або желізом будь-якого виробника

хоча і нічого дивного судячи з того що радіус напряму через модуль sql в бд лазить. з іншого боку - простота - частина успіху..

 

Да просто то я від незнаяння

Не надто розумію радіус і ці вибоки з sql.

 

насправді я приглядався до цього білінгу, але в мене всі браси автентифікуються на радіусі на даний момент.  Глянувши на те як організована робота з радіусом - стало зрозуміло що цей функціонал йому  приліпили аби було (хоча можу і помилятися) ...  але якщо напрягтися то все можна підпиляти. Одним словом бажання відпало його пиляти ... буду пиляти те що маю.... хоча там свої блохи

 

буду мати час вільний то можливо попилю для експерименту (на віртуалці уже стоїть але особливо ще не розкурював) ... харить що підтримки аккаунтінгу з радіусу толком нема - прийдеться теж пиляти, хоча думаю що там не складно має бути

 

Ну nightfly з jcomm грозяться переробити взаємодію з радіусом.

[l1ght]

То як, хтось може що сказати з приводу перевірки login,password, calling station id?

[jcomm]

То як, хтось може що сказати з приводу перевірки login,password, calling station id?

CREATE OR REPLACE VIEW `radius_check` (`UserName`, `Attribute`, `op`, `Value`) AS
SELECT `users`.`login`, 'Cleartext-Password', ':=', `users`.`Password` FROM `users`
UNION
SELECT `users`.`login`, 'Calling-Station-Id', '==', `nethosts`.`mac` FROM `users`
JOIN `nethosts` ON `users`.`IP` = `nethosts`.`ip`
JOIN `networks` ON `nethosts`.`netid` = `networks`.`id` AND `networks`.`use_radius` = 1
ORDER BY `UserName`, `Attribute`;

P.S. Работу с радиусом не проверял, но должно работать...

 

Ну nightfly з jcomm грозяться переробити взаємодію з радіусом.

Как только будет видно, что это действительно нужно... 

Відредаговано 17 вересня, 2014 jcomm

[l1ght]

 

 

Как только будет видно, что это действительно нужно... 

 

То linux ISG та аксель через радіус працюють, доволі цікаві речі.

Ще хотілось би акаунтінг щоб нормально працював, а то без нетфлоу нема статистики.

[nightfly]

 

 

Как только будет видно, что это действительно нужно...

а я вообще нипричем, у меня другая, правильная религия - "во имя rscriptd"

[l1ght]

P.S. Работу с радиусом не проверял, но должно работать...

CREATE OR REPLACE VIEW `radius_check` (`UserName`, `Attribute`, `op`, `Value`) AS
SELECT `users`.`login`, 'Cleartext-Password', ':=', `users`.`Password` FROM `users`
UNION
SELECT `users`.`login`, 'Calling-Station-Id', '==', `nethosts`.`mac` FROM `users`
JOIN `nethosts` ON `users`.`IP` = `nethosts`.`ip`
JOIN `networks` ON `nethosts`.`netid` = `networks`.`id` AND `networks`.`use_radius` = 1
ORDER BY `UserName`, `Attribute`;

Дійсно працює, з додаванням у атрибути мережі Calling-Station-Id == {MAC}

root@bsd:/usr/local/etc/raddb/sql/mysql # echo "User-Name=citystr1ap1_ldeg,User-Password=7ypr0apk,Calling-Station-Id=08:00:27:79:89:53" | radclient -x 127.0.0.1 auth 123
Sending Access-Request of id 156 to 127.0.0.1 port 1812
	User-Name = "citystr1ap1_ldeg"
	User-Password = "7ypr0apk"
	Calling-Station-Id = "08:00:27:79:89:53"
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=156, length=20
root@bsd:/usr/local/etc/raddb/sql/mysql # echo "User-Name=citystr1ap1_ldeg,User-Password=7ypr0apk,Calling-Station-Id=08:00:27:79:89:54" | radclient -x 127.0.0.1 auth 123
Sending Access-Request of id 75 to 127.0.0.1 port 1812
	User-Name = "citystr1ap1_ldeg"
	User-Password = "7ypr0apk"
	Calling-Station-Id = "08:00:27:79:89:54"
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=75, length=51
	Calling-Station-Id = "08:00:27:79:89:54"
	Framed-IP-Address = 10.0.0.2
	Framed-IP-Netmask = 255.255.255.255

Ось таке виходить. При валідному маку віддає акцес-акцепт, при невалідному акцес-режект.

Відредаговано 17 вересня, 2014 L1ght

[jcomm]

Ще хотілось би акаунтінг щоб нормально працював, а то без нетфлоу нема статистики.

Экспортом netflow занимался mpd5. И последний замечательно справлялся с этой задачей. А вот что там с accel-ppp и Linux ISG не знаю... 

Відредаговано 17 вересня, 2014 jcomm

[l1ght]

 

 

Экспортом netflow занимался mpd5. И последний замечательно справлялся с этой задачей. А вот что там с accel-ppp и Linux ISG не знаю.

Не добре він з цим справляється.

В мене була велика тема щодо глюків системи. Після відключення нетфлоу на мпд - в НАСа пішли аптайми нормальні, а не неділья, або ще гірше 2-5 днів. 

[nightfly]

 

 

А вот что там с accel-ppp и Linux ISG не знаю...

Сколько помню у них там есть свой ядерный модуль експорта - типа ng_flow. Вроде ок.

 

 

 

Ось таке виходить. При валідному маку віддає акцес-акцепт, при невалідному акцес-режект.

Правда ніфіга не розумію яка практична цінність в авторизації юзера по login+password+mac. Нє, ну ясно - додаткове секуріті і всьо таке.

Але блін... зручність такого рішення для фінального юзера це ж жесть. Тобто поверху в кращому разі UHW, додається ще "ой у мене 691 помилка" і інший букет чисто РРР проблем.

Раз вже знаєте маки юзерів - не простіше роздати пачкою їм айпішок і забути?

[l1ght]

 

 

Правда ніфіга не розумію яка практична цінність в авторизації юзера по login+password+mac. Нє, ну ясно - додаткове секуріті і всьо таке. Але блін... зручність такого рішення для фінального юзера це ж жесть. Тобто поверху в кращому разі UHW, додається ще "ой у мене 691 помилка" і інший букет чисто РРР проблем. Раз вже знаєте маки юзерів - не простіше роздати пачкою їм айпішок і забути?

 

 

Не простіше. Є одна організація - в них через іншого прова л2 канал до внутрішніх ресурсів.

Їм простіше підіймати тунель і вікдючати його, коли інтернет не потрібен.

Для звичайних юзерів є дхцп, і там усе простіше.

[Lynx100]

 

Ще хотілось би акаунтінг щоб нормально працював, а то без нетфлоу нема статистики.

Экспортом netflow занимался mpd5. И последний замечательно справлялся с этой задачей. А вот что там с accel-ppp и Linux ISG не знаю... 

 

там без нетфлов

Radius Accounting Start Stop ALive

[Lynx100]

 

 

А вот что там с accel-ppp и Linux ISG не знаю...

Сколько помню у них там есть свой ядерный модуль експорта - типа ng_flow. Вроде ок.

 

В лінуксі є модуль ядрений до фаєрвола який нетфлов експортує. Працює непогано.

Відредаговано 17 вересня, 2014 Lynx100

[nightfly]

 

 

Не простіше. Є одна організація - в них через іншого прова л2 канал до внутрішніх ресурсів. Їм простіше підіймати тунель і вікдючати його, коли інтернет не потрібен.

как всьо сложно

[l1ght]

 

Не простіше. Є одна організація - в них через іншого прова л2 канал до внутрішніх ресурсів. Їм простіше підіймати тунель і вікдючати його, коли інтернет не потрібен.

как всьо сложно

 

Я тут ніпрічьом, шо сказали зробити - те зробив. Вони просто нахабні, сидять під чужими логінами і грошенята не платять, тому потрібні такі збочення 

[nightfly]

 

 

Не простіше. Є одна організація - в них через іншого прова л2 канал до внутрішніх ресурсів. Їм простіше підіймати тунель і вікдючати його, коли інтернет не потрібен.

как всьо сложно

 

Я тут ніпрічьом, шо сказали зробити - те зробив. Вони просто нахабні, сидять під чужими логінами і грошенята не платять, тому потрібні такі збочення 

 

В котрий раз переконуюсь, що мені пора заминати з розвитком біллінгу та починати барижити монтіровками.

[l1ght]

 

 

 

Не простіше. Є одна організація - в них через іншого прова л2 канал до внутрішніх ресурсів. Їм простіше підіймати тунель і вікдючати його, коли інтернет не потрібен.

как всьо сложно

 

Я тут ніпрічьом, шо сказали зробити - те зробив. Вони просто нахабні, сидять під чужими логінами і грошенята не платять, тому потрібні такі збочення 

 

В котрий раз переконуюсь, що мені пора заминати з розвитком біллінгу та починати барижити монтіровками.

 

Непогана думка, мені з десяток треба, на конкурентів і "особливих" юзерів

[jcomm]

Не добре він з цим справляється.

В мене була велика тема щодо глюків системи. Після відключення нетфлоу на мпд - в НАСа пішли аптайми нормальні, а не неділья, або ще гірше 2-5 днів. 

Может мне еще и о вашем аптайме переживать? Нет уж, разбирайтесь в чем проблема сами: моя задача связать биллинг, мпд и радиус, а все косяки, которые вылезают в процессе работы этой связки - ваши проблемы...

Відредаговано 17 вересня, 2014 jcomm

[l1ght]

 

 

Может мне еще и о вашем аптайме переживать? Нет уж, разбирайтесь в чем проблема сами: моя задача связать биллинг, мпд и радиус, а все косяки, которые вылезают в процессе работы этой связки - ваши проблемы...

 

Шановний, я вам дуже вдячний за вирішення мого питання з приводу calling-station-id, і ніяк не хочу жалітися, просто кажу, що нетфлоу в мпд не так добре працює, як того хотілося б.

В мене все вирішилося відключенням нетфлоу у мпд, та хай йому грець, мені не критично

[nightfly]

Дєвачкі - нє сорьтєсь

 

Можу навіть з великою долею ймовірності навангувати, що ваша проблема падучого mpd повязана насправді з flowtable в ядрі.

[l1ght]

Так, значится обновив убіллінг, до 0.6.1, там же змінилася логіка роботи радіуса, чому я радий.

Тілько вилізла одна неприємна річ, замість 691 помилки, він пропонує ще 2 рази ввести правильний логін і пароль і якщо данні знову не вірні - то віддає 619 помилку.

Можно якось виправити?

Бо радіус колупав, але не знайшов як ото відбувається.