Перейти к содержимому
Local

Рекомендованные сообщения

Всем привет!

 

Есть небольшая компания, которая хочет контролировать использование интернета своими сотрудниками (~30 пользователей). Авторизация пользователей по IP/MAC ненадежна. Поднятие PPPoE приведет к трудностям как для пользователей (надо "подключать" интернет), так и для админа (шлюз по умолчанию для пользователей после подключения PPPoE изменится и трафик пойдет через него => на сервере придется специальным образом обрабатывать доступ к внутренним ресурсам). squid-авторизация решает вопрос только для http-трафика и только если squid непрозрачный (а непрозрачный squid опять же геморрой для пользователей). Поэтому есть мысль использовать веб-авторизацию.

Значит идея следующая. Пишем для Stargazer новый модуль авторизации, который содержит в себе свой маленький https-сервер. Неавторизованный пользователь заходит на этот https-сервер и вводит там логин/пароль. Плагин аутентифицирует пользователя, и у последнего появляется интернет. Разлогинится можно на той же странице. Кроме того, после авторизации плагин помещает пользователя в специальный список и начинает следить за количетством потребляемого пользователем трафика. Если за последние N минут пользователь не потребил ни одного байта трафика, происходит автоматическое разлогинивание.

 

На шлюзе при этом настроен автоматический редирект неавторизованных пользователей, которые ломятся на любой 80-й порт, на эту страницу авторизации. В итоге для пользователей никаких дополнительных настроек - захотел в инет, заходишь на сайт, тебя редиректит на страницу логина, логинишься там, тебя редиректит обратно на сайт.

 

Я было собрался всё это запилить, но у меня странное ощущение, что задача-то вобщем не новая. Может быть есть какие-то типовые решения на этот счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поднятие PPPoE приведет к трудностям как для пользователей (надо "подключать" интернет)

 

Пишем для Stargazer новый модуль авторизации

вы не логичны

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет!

 

Есть небольшая компания, которая хочет контролировать использование интернета своими сотрудниками (~30 пользователей). Авторизация пользователей по IP/MAC ненадежна.

у вас там корпорация хакеров которая ради пары лишних байт полезет менять себе мак ?:) Или чем она ненадёжна ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пропишите каждому пользователю МАК на порту свича. Или используйте opt82.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Captive portal в общем вы хотите. Круто че.

Несмотря на странноватую мотивацию про 30 юзеров и офисную сеть - идея вполне хорошая и будет востребована, хотя немного в другом ключе. Не так давно, чисто из интереса пилил такое на pfsense + radius - но работает на практике, это мягко говоря странновато. Свое родное - было бы на порядок круче и не требовало бы двух раздельных тазов.

 

P.S. а почему именно свой вебсервер тащить? Можно же сделать обертку над урезанным консольным авторизатором - это должно на порядок упростить реализацию, не?

Изменено пользователем nightfly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Плюсану по поводу внешнего веб-сервера. А авторизацией можно рулить через Always Online.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
. А авторизацией можно рулить через Always Online.

Какраз нехорошо, ибо насколько помню auth_ao не совместим с айпишками в виде *, или через запятую. Там по духу однозначно auth_ia в контексте хотспото-образности ближе.

Изменено пользователем nightfly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так можно ж предварительно конфигуратором пнуть чтобы айпиху запилить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Так можно ж предварительно конфигуратором пнуть чтобы айпиху запилить.

Ну да, это было бы вполне извращением в моем стиле :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сердечно благодарю за мнения!

 

Я таки почти одумался и вернулся к рассмотрению варианта с привязкой IP/MAC.

 

аторизатор старгейзера не канает ?

Авторизатор старгейзера хорош, но опять же дополнительное ПО на конечных машинах.

 

Пропишите каждому пользователю МАК на порту свича. Или используйте opt82.

+, но по условиям задачи у нас неизвестно какие свичи.

 

Captive portal в общем вы хотите. Круто че.

ВО! Я теперь знаю, по какому слову гуглить. Спасибо! :)

 

P.S. а почему именно свой вебсервер тащить? Можно же сделать обертку над урезанным консольным авторизатором - это должно на порядок упростить реализацию, не?

+, а ещё я внезапно вспомнил про CGI.

Но вообще изначально хотел заюзать вот это: https://www.gnu.org/software/libmicrohttpd/Вроде как раз для этих целей. Не C++ правда, но.

 

Плюсану по поводу внешнего веб-сервера. А авторизацией можно рулить через Always Online.

Always online как-раз не очень по причинам, озвученным нашим пытателем единорогов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не понимаю, почему так много критики

у меня уже несколько лет сделано так:

есть "небольшой веб-сервер" на перле, который сидит на 81 порту. для неавторизированных пользователей - редирект с 80 и 443 порта на 81

веб сервер отдает одну страничку: введите имя-пароль и "включен постоянно"

если "включен постоянно", то запоминаем ИП+МАК и в дальнейшем веб-сервер при появлении трафика от абона автоматом включает его

по крону периодически проверяю трафик абона, если долгий простой - то выключаем через sgconf

вначале пробовал динамические адреса: устанавливал ИП перед включением, потом остановился на статических

 

работает - проблем особых нет

сеть: 1,5к абонов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
не понимаю, почему так много критики

Позырил в календарик, и О УЖАС - 2015-й год на дворе. Давно существуют более приемлемые и вменяемые способы ААА для абонентов.

Кэптив обертки имеют смысл только в вот таких вот публично-офисно-хотспотных решениях, ну или где динамикой сильно пахнет.

 

 

 

по крону периодически проверяю трафик абона, если долгий простой - то выключаем через sgconf

Сами догадаетесь, почему это стремота-стремная, или намекнуть?

 

 

работает - проблем особых нет

сеть: 1,5к абонов

Я не знаю что можно сделать, при таком размере абонбазы, чтобы что-то не работало.

Изменено пользователем nightfly

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...

работает - проблем особых нет

сеть: 1,5к абонов

Ad-hoc решения всегда для кого-то работают. А представьте что у вас 10 сетей в пяти городах и трех странах, физики/юрики, схемы тарификации разные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: pavel03ru
      Подскажите пожалуйста, успешно установил Ubilling на Freebsd 11.1, слишком громоздко оказалось не удобно для маленького офиса до 20 человек.
      Хотел установить чистый stargazer "stg-2.409-rc2" (был в дистрах Ubilling) и "stg-2.409-rc4" на Freebsd 11.1 вылазят ошибки при сборке.
       
      Скажите что есть в скрипте Ubillinga, что позволяет ему ставить СТГ без проблем на Freebsd 11.1.
      Что конкретно нужно сделать перед сборкой СТГ, чтобы лишнего не устанавливать?
       
      Ответ, для минимальной установки на чистую систему:
      1) ставим pkg
      2) Установка expat, libiconv, gmake можно добавить еще бд кому нужно
      pkg install expat libiconv gmake 3) В папку куда распаковали архив
      cd stg-2.409-rc2/projects/stargazer 4) 
      env CC=clang CXX=clang++ sh build 5) 
      gmake gmake install  
    • Автор: 49rpam
      Побскажите пожалуйста в чем может быть проблема? а то уже мозг плавится)
      устанавливаю счет абоненту  84 грн

      захожу через пару минут а счет -2)


      добавляю 82 что бы опять было 84)

      захожу а там

      в логе все выглядит правильно

      что это?
       
       
    • Автор: eleutherius
      Добрый день.
      Недавно установил Ubilling на FreeBSD 11.0X64. Пользовался  стандартным скриптом установки. (версия Ublling 0.83 или 0.84 ... не помню)
      Так как на этом сервере планируется использовать Userside, мне нужно было обновить MySQL до версии 5.7.
      Сделал это я так:
      - сделал дамп базы данных stg.sql
      - Удалил Mysql 5.6, собрал  Mysql 5.7 из портов.
      - удалил содержимое каталога /var/db/mysql, так как без этого не запускался Mysql.
      -  Восстановил базу данных stg.sql, восстановил пароль на Mysql.
      В результате Stargazer не стартует при загрузке.
      В /var/log/stargazer.log было так:
      2017-09-01 15:30:44 -- --------------------------------------------- 2017-09-01 15:31:14 -- Stg v. 2.409 2017-09-01 15:31:14 -- Message queue created successfully. msgKey=5555 msgID=65536 2017-09-01 15:31:14 -- Timer thread started successfully. 2017-09-01 15:31:14 -- [store_mysql] MYSQL_STORE: Current DB schema version: 1 2017-09-01 15:31:14 -- Storage plugin: mysql_store v.0.67. Loading successfull. 2017-09-01 15:31:14 -- Users started successfully. 2017-09-01 15:31:14 -- Traffcounter started successfully. 2017-09-01 15:31:14 -- Module 'Stg Configurator v. 2.0' started successfully. 2017-09-01 15:31:14 -- Module 'Always Online authorizator v.1.0' started successfully. 2017-09-01 15:31:14 -- Module 'cap_nf v. 0.4' started successfully. 2017-09-01 15:31:14 -- Stg started successfully. 2017-09-01 15:31:14 -- +++++++++++++++++++++++++++++++++++++++++++++ 2017-09-01 15:48:42 -- +++++++++++++++++++++++++++++++++++++++++++++ 2017-09-01 15:48:42 -- Module 'cap_nf v. 0.4' stopped successfully. 2017-09-01 15:48:42 -- Module 'Always Online authorizator v.1.0' stopped successfully. 2017-09-01 15:48:42 -- Module 'Stg Configurator v. 2.0' stopped successfully. 2017-09-01 15:48:43 -- Traffcounter: Stop successfull. 2017-09-01 15:48:43 -- Users: Stop successfull. 2017-09-01 15:48:44 -- Queue removed successfully. 2017-09-01 15:48:44 -- StgTimer: Stop successfull. 2017-09-01 15:48:44 -- Stg stopped successfully. 2017-09-01 15:48:44 -- --------------------------------------------- Стало так:
      2017-09-01 16:18:50 -- Stg v. 2.409 2017-09-01 16:18:50 -- Message queue created successfully. msgKey=5555 msgID=65536 2017-09-01 16:18:50 -- Timer thread started successfully. 2017-09-01 16:18:50 -- Storage plugin: 'Error loading plugin '/usr/lib/stg/mod_store_mysql.so': 'Shared object "libm$ 2017-09-01 16:30:53 -- Stg v. 2.409 Третьи сутки курю Интернет. Рябят, как починить данную проблему?
    • Автор: ppv
      Під час зняття абонплати Mikrotik був недоступний, абонентів не виключило.
      Як краще зробити перевірку ?
    • Автор: gogasan
      Здравствуйте.
      Версия веб-морды: 0.7.3 rev 4912
      Версия демона: Stg v. 2.409
       
      Следующий вопрос:
      Исторически сложилось, что на разворачиваемой сети за разными NAS'ами находятся одни и те же подсети.
      Какие костыли нужны для биллинга, чтобы можно было на разные NAS в качестве услуг привязывать разные услуги с одной и той же подсетью?
×