Перейти к содержимому

Ubilling Freeradius несколько NAS отключения абонента


Рекомендованные сообщения

Добрый день, чес слово не хотел прибегать к помощи коллективного разума.

Пытаюсь внедрить Ubilling для имеющейся сети, есть несколько NAS - accel, киска и тд.  Интернет предоставляется по PPPoE

Читал документацию но не могу найти, как в случае с accel при блокировке пользователя, продолжать выдавать доступ к личному кабинету, qiwi и прочим ресурсам для оплаты.

Можно ли настроить биллинг таким образом шоб для отключенных абонентов он выдавал айпи из какого то определенного пула к примеру 172.16....?

И какие есть еще варианты?

Изменено пользователем Hertan
Ссылка на сообщение
Поделиться на других сайтах

Всяко у вас авторизация по радиусу? Не используете "Блокирование доступа должникам, отключенцам и отморозками"?

Ссылка на сообщение
Поделиться на других сайтах

Всяко у вас авторизация по радиусу? Не используете "Блокирование доступа должникам, отключенцам и отморозками"?

Да по радиусу, Нет, не использую, как раз таки хотелось что бы они проходили авторизацию, но зайти могли только в личный кабинет для доступа к обещанному платежу и на киви. Запрещение авторизации не вариант.

Изменено пользователем Hertan
Ссылка на сообщение
Поделиться на других сайтах

Ничего не изменял, просто не увидел механизма работы по ограничению доступа интернету, где отключенный за неуплату пользователь может зайти и взять кредит

Изменено пользователем Hertan
Ссылка на сообщение
Поделиться на других сайтах

Да документацию я смотрел вот именно что там ничего не описано про реализацию схемы:

Пользователи которые проплатили и используют интернет имеют  адреса подсети 10.0.0.0/8 или белые и пользуются интернетом

Пользователи которые не проплатили получают адрес  вида 172.16.Х.Х и не получают доступ ко всем интернетам, а только к определенным адресам

И в файрволе я пишу что то

iptables -t nat -A POSTROUTING -s 10.0.0.0 -o ${ВНЕШНИЙ_ИНТЕРФЕЙС} -j MASQUERADE

iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -d ${АДРЕС ЛИЧНОГО КАБИНЕТА} -o ${ВНЕШНИЙ_ИНТЕРФЕЙС -j MASQUERADE

Может как то по другому реализовано, но главное что бы пользователи которые не внесли абон плату, получали доступ к личному кабинету, и только, доступа в интернет быть не должно

Изменено пользователем Hertan
Ссылка на сообщение
Поделиться на других сайтах

Да документацию я смотрел вот именно что там ничего не описано про реализацию схемы:

Заворачить должников нужно фаером, чисто на уровне OnDisconnect - вообще не обязательно выдавать им другие айпишки, ибо это заведомое мудацтво.

 

И нет, я все также ничего не понимаю в этих ваших линуксах, но подозреваю что для заворотов  DarkSpider где-то уже расписывал на форуме решение. Там еще кажись что-то про ipset было.

Изменено пользователем nightfly
Ссылка на сообщение
Поделиться на других сайтах

ну проблем жешь нету ни каких !! ipset вам в помощь!!!! отключенных абонов добавлять в таблицу и еще создать таблицу с исключениями и все делаете похожее на вот это iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -d ${АДРЕС ЛИЧНОГО КАБИНЕТА} -o ${ВНЕШНИЙ_ИНТЕРФЕЙС -j MASQUERADE только условеи с таблицы отключенных можно ходить в таблицу исключений. он дисконект при отключение записывает ипишник в таблицу отключенных, а при включении удаляет. принцип тот же как и в ipfw

Изменено пользователем DemonidZe
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

так как топик проиндексирован гуглом я опишусь

Добавил атрибут в убиллинге 

reply Filter-Id = {user[state]}

 

атрибут Filter-id  описан в RFC 2865 и присутствует во втором радиусе, кушается микротиком.

{user[state]} возвращает 4 статуса: 1) если включен = ON-LINE, 2) если выключен администратором DOWN, 3)если заморожен PASSIVE 4) Если отключен биллингом то OFF-LINE

 

accel я использую в связке со штатным линуксовым tc.

создаю таблицу BLOCKED /usr/sbin/ipset -N BLOCKED iphash

тем, самы, получаю возможность в Iptables манипулировать данной таблицей

в скрипт запуска где я ограничиваю скорости /etc/ppp/ip-ip.local дописываю что то наподобие такого.

варнинг! синтаксис для баша для некоторых махровых версий sh не подойдет.

 

 

IP=`/usr/bin/awk '/Framed-IP-Address/ {print $2}' /var/run/radattr.$1`
STATE=`/usr/bin/awk '/Filter-Id/ {print $2}' /var/run/radattr.$1`
if [[ "$STATE" == "PASSIVE" ||  "$STATE" == "DOWN"  || "$STATE" == "OFF-LINE" ]] ;
then /usr/sbin/ipset -A BLOCKED $IP
else
/usr/sbin/ipset -D BLOCKED $IP
fi
Далее как будет время, попробую настроить CoA/PoD функционал и если получится дополню ответ
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: camchatix
      Привіт!
       
      Є багато запитів, щоб інтернет не виключався у північ, а скажімо в день (сигналізації, камери під охороною і тд)
      При щоденній абонплаті - як знімати гроші не у 12:00 у північ, а наприклад у 11 годин дня ?
    • Автор: camchatix
      Добрий день,
      створили запасний NAS із зайвою хромосомою, все працює але коли треба вбити сесію користувача - то у списку NAS серверів лише один (той що основний)
      переназначити швидкість теж не можу
      я так розумію пакети CoA Disconnect, CoA connect, PoD - ідуть на IP адресу старого NAS ?
    • Автор: grach_witch_cheese
      Вітаю, колеги!
      Маю наступну схему:
      DHCP-сервер: Accel-PPP (IPoE) DHCP-Relay: MikroTik RADIUS: Запущений безпосередньо на сервері uBilling Зараз авторизація абонентів здійснюється за MAC-адресою, але планується перехід на авторизацію через Option 82.
      У документації uBilling наведені приклади конфігурацій, коли DHCP-сервер працює локально (на самому uBilling) і містить відповідні шаблони для обробки Option 82.
      Однак немає чіткої інформації про використання Option 82 при віддаленому DHCP-сервері, зокрема, коли Accel-PPP використовується як DHCP-сервер у режимі remote та налаштований через Купаген.
      Питання:
      Чи можливо використовувати Accel-PPP як віддалений DHCP-сервер з авторизацією через Option 82? Якщо так, то де відбувається парсинг значень Remote-ID і Circuit-ID? Де в цьому випадку мають зберігатися шаблони для Option 82? Буду вдячний за роз'яснення або посилання на відповідні приклади.
    • Автор: nightfly
      Ubilling 1.5.2 rev 9302 Book of Endings
       
      Зміни в структурі БД. alter.ini: нова опція FASTPROFITCALC_ENABLED, що вмикає швидкий підрахунок прибутку. alter.ini: нова необов'язкова опція KARMA_IN_PROFILE що вмикає показ карми в профілі користувача. alter.ini: нова опція SWITCHES_AUTH_ENABLED, що вмикає довідник даних авторизації пристроїв. alter.ini: нова опція PON_SCRIPTS_ENABLED, що вмикає підтримку скриптів OLT в ПОНізаторі. alter.ini: нова опція PON_ONU_FDB_SELFFILTER, що вмикає фільтр MAC-ів при відображенні FDB за ONU. alter.ini: нова опція USERBYIP_ENABLED, що вмикає виклик userbyip в RemoteAPI. alter.ini: пачка нових опцій PB_FASTURL_*, що керують поведінкою модулю відсилання коротких посилань на оплату. Модуль PONizer: виправлена помилка зникнення PON інтерфейсів при опиті BDCOM GP3600 Модуль “Профіль користувача”: для опису плагінів профілю та оверлеїв на кшталт “чорної магії” тепер опційно можливо вказувати link_target. Модуль “Панель задач”: для опису елементів панелі задач, тепер опційно можна вказувати LINK_TARGET. Модуль Записи телефонних розмов: вирішено проблеми швидкодії, при перегляді списку записів дзвінків. Модуль “Записи телефонних розмов”: більше не призводить до вичерпання пам'яті процесу, при перегляді великих архівів дзвінків. Модуль “Записи телефонних розмов”: новий аудіо-плеєр для прослуховування записів з візуалізацією аудіо-хвилі. Модуль “Пошук оплат”: реалізовано можливість швиденького підрахунку прибутку по обраних чекбоксами платежах. Модуль УКВ: реалізовано можливість швиденького підрахунку прибутку по обраних чекбоксами платежах. Модулі Мапа обладнання та користувачів: трішки вичищено код. Ліпше не стало. Модуль “Мапа будинків”: поле пошуку при розташуванні будинку, тепер попередньо заповнено локацією, при переході за посиланням “розташувати на мапі”. Модуль “Панель задач”: опція TB_QUICKSEARCH_INLINE змінила свою поведінку, та може тепер приймати значення 0|1|2. Модуль “Звіт по трафіку”: виправлено проблему відображення графіків OphanimFlow для NAS на роздільних здатностях менше ніж FullHD. Кабінет користувача: в модулі “Відеоспостереження” відображення попереднього перегляду каналів користувача, стало трішки притомнішим. Сховище зображень: трішки покращено поведінку форми завантаження. RemoteAPI: новий виклик onusigcompressor, що радикально стискає розпухаючі дані історії сигналів ONU. RemoteAPI: новий виклик pbxmonrefill, що оновлює кеш записів телефонних розмов. RemoteAPI: новий виклик userbyip, що повертає дані про користувача за його IP. OpenPayz: в бекенді та фронтенді platon виправлено проблему диких заокруглень, при вказанні зовнішньої комісії.  
      Повний чейнджлог
      Оновлена демка
       

    • Автор: ppv
      Після оновлення до 1.5.1 не відображаються сигнали на
      OLT BDCOM P3310B (Device version10.1.0B)

      та
      P3608-2TE (Firmware Version10.1.0E). 

      3310C та P3608B ніяких проблем немає, знімає все добре. 
      З GPON3600-8 все зрозуміло будуть виправлення в Ubilling: 1.5.2.
       
      Може в когось було щось подібне? Хочу знати куди копати.
×
×
  • Создать...