Jump to content
Local
Hertan

Ubilling Freeradius несколько NAS отключения абонента

Recommended Posts

Добрый день, чес слово не хотел прибегать к помощи коллективного разума.

Пытаюсь внедрить Ubilling для имеющейся сети, есть несколько NAS - accel, киска и тд.  Интернет предоставляется по PPPoE

Читал документацию но не могу найти, как в случае с accel при блокировке пользователя, продолжать выдавать доступ к личному кабинету, qiwi и прочим ресурсам для оплаты.

Можно ли настроить биллинг таким образом шоб для отключенных абонентов он выдавал айпи из какого то определенного пула к примеру 172.16....?

И какие есть еще варианты?

Edited by Hertan

Share this post


Link to post
Share on other sites

Всяко у вас авторизация по радиусу? Не используете "Блокирование доступа должникам, отключенцам и отморозками"?

Share this post


Link to post
Share on other sites

Всяко у вас авторизация по радиусу? Не используете "Блокирование доступа должникам, отключенцам и отморозками"?

Да по радиусу, Нет, не использую, как раз таки хотелось что бы они проходили авторизацию, но зайти могли только в личный кабинет для доступа к обещанному платежу и на киви. Запрещение авторизации не вариант.

Edited by Hertan

Share this post


Link to post
Share on other sites

Я и не предлогаю запрещение авторизации, а просто уточняю. Тогда крутите фаерволы. Я ж понятия не имею что вы изменяли.

Share this post


Link to post
Share on other sites

Ничего не изменял, просто не увидел механизма работы по ограничению доступа интернету, где отключенный за неуплату пользователь может зайти и взять кредит

Edited by Hertan

Share this post


Link to post
Share on other sites

Это вы для акселя? Ну по дефолту в доке - там только нат в фаерволе, насколько я вижу.

И никаких запретов.

Share this post


Link to post
Share on other sites

Да документацию я смотрел вот именно что там ничего не описано про реализацию схемы:

Пользователи которые проплатили и используют интернет имеют  адреса подсети 10.0.0.0/8 или белые и пользуются интернетом

Пользователи которые не проплатили получают адрес  вида 172.16.Х.Х и не получают доступ ко всем интернетам, а только к определенным адресам

И в файрволе я пишу что то

iptables -t nat -A POSTROUTING -s 10.0.0.0 -o ${ВНЕШНИЙ_ИНТЕРФЕЙС} -j MASQUERADE

iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -d ${АДРЕС ЛИЧНОГО КАБИНЕТА} -o ${ВНЕШНИЙ_ИНТЕРФЕЙС -j MASQUERADE

Может как то по другому реализовано, но главное что бы пользователи которые не внесли абон плату, получали доступ к личному кабинету, и только, доступа в интернет быть не должно

Edited by Hertan

Share this post


Link to post
Share on other sites

Да документацию я смотрел вот именно что там ничего не описано про реализацию схемы:

Заворачить должников нужно фаером, чисто на уровне OnDisconnect - вообще не обязательно выдавать им другие айпишки, ибо это заведомое мудацтво.

 

И нет, я все также ничего не понимаю в этих ваших линуксах, но подозреваю что для заворотов  DarkSpider где-то уже расписывал на форуме решение. Там еще кажись что-то про ipset было.

Edited by nightfly

Share this post


Link to post
Share on other sites

ну проблем жешь нету ни каких !! ipset вам в помощь!!!! отключенных абонов добавлять в таблицу и еще создать таблицу с исключениями и все делаете похожее на вот это iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -d ${АДРЕС ЛИЧНОГО КАБИНЕТА} -o ${ВНЕШНИЙ_ИНТЕРФЕЙС -j MASQUERADE только условеи с таблицы отключенных можно ходить в таблицу исключений. он дисконект при отключение записывает ипишник в таблицу отключенных, а при включении удаляет. принцип тот же как и в ipfw

Edited by DemonidZe

Share this post


Link to post
Share on other sites

так как топик проиндексирован гуглом я опишусь

Добавил атрибут в убиллинге 

reply Filter-Id = {user[state]}

 

атрибут Filter-id  описан в RFC 2865 и присутствует во втором радиусе, кушается микротиком.

{user[state]} возвращает 4 статуса: 1) если включен = ON-LINE, 2) если выключен администратором DOWN, 3)если заморожен PASSIVE 4) Если отключен биллингом то OFF-LINE

 

accel я использую в связке со штатным линуксовым tc.

создаю таблицу BLOCKED /usr/sbin/ipset -N BLOCKED iphash

тем, самы, получаю возможность в Iptables манипулировать данной таблицей

в скрипт запуска где я ограничиваю скорости /etc/ppp/ip-ip.local дописываю что то наподобие такого.

варнинг! синтаксис для баша для некоторых махровых версий sh не подойдет.

 

 

IP=`/usr/bin/awk '/Framed-IP-Address/ {print $2}' /var/run/radattr.$1`
STATE=`/usr/bin/awk '/Filter-Id/ {print $2}' /var/run/radattr.$1`
if [[ "$STATE" == "PASSIVE" ||  "$STATE" == "DOWN"  || "$STATE" == "OFF-LINE" ]] ;
then /usr/sbin/ipset -A BLOCKED $IP
else
/usr/sbin/ipset -D BLOCKED $IP
fi
Далее как будет время, попробую настроить CoA/PoD функционал и если получится дополню ответ

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By ppv
      Після переїзду на оновлений сервер (відповідно змінилась версія з PHP Version 5.4.45 на  PHP Version 7.4.0), вискакує помилка.
       
      Notice: Trying to access array offset on value of type null in /usr/local/www/apache24/data/billing/api/libs/api.corporate.php on line 81
       
      Хтось може щось підкаже

    • By NETOS
      Всем привет. Подскажите пожалуйста, хочу перенести биллинг на другой сервер с другим ip. Что перенести кроме самой базы и конфигов? И ещё как с платежными системами будет установлена связь? На что может повлиять смена ip сервера?
    • By 9at0z
      Подскажите, бекапы делаются уже в 500мб, хотя дет. статистику и т.д не ведем, куда копать?
       
      mlg_postauth  3134948  309.78 Mb - ее можно чистить? скрипт напишите?
    • By garry128
      Помогите, пожалуйста.
      Рухнул биллинг, не раздаёт инет.
      Удалённый доступ есть. Работу оплачу.
      Просто очень срочно  надо восстановить
    • By pLastUn
      Приветствую коллеги.
      Имеется сеть небольшого провайдера в нескольких бизнес-центрах,  NAS и маршрутизация на микротиках. Исключительно юр-лица. 
      От каждого клиента отдельный VLAN по свичам и на  NAS-е в отдельный bridge, т.е. на Микроте у каждого клиента отдельный интерфейс.
      Поставил последний стабильный Ubilling 1.0.7 rev 7462 на FreeBSD 12.1.
      Из биллинга  в микротике для управления используются простые очереди и файрвол листы. 
      Все красиво работает, когда клиенту выдается IP из ./30 подсети, этот же IP попадает в листы на микротике и в Target очередей.
      Но как быть, если клиенту надо отдать /29 или больше, и еще есть клиенты, которым отдаются  серые /24. Есть ли возможность выдать клиенту подсеть, и в микроте в листах и очередях получать эту подсеть а не IP?
      Перечитав оффдоки и форум не нашел никакого решения. Существует модуль юр.лица, может быть он реализует необходимый функционал?
       
      Пару мелких вопросиков: какие еще переменные можно использовать в /etc/stargazer/system/executer/tpls/*.ini кроме IP и LOGIN ?
      В диалоге Расширенная настройка MikroTik  - Users Interface и Graph Interface где используются?  Для ссылки на графики используется имя очереди оно же логин клиента.  Так же клиенту можно добавить произвольные поля. Можно ли данные из Users Interface  и из произвольных полей  использовать в ...tpls/*.ini  ?
       
      Буду благодарен за любые мысли по этому поводу.
       
      З,Ы, В процессе  осваивания наткнулся на баг: если клиенту присвоить порт на свиче, а потом удалить клиента, порт остается занятым и нового клиента на него не повесить и как освободить порт не нашел. Создал клиента с логином как у удаленного, удалил порт со свича, потом удалил клиента.
       
       
       
       
       
       
×