Neznaika

Из sh работает, пробую в php из system, shell_exec... пишет ошибку, пробую вот так: shell_exec("ssh -i /usr/.ssh/id_rsa -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -p 700 user@host 'ls' 2>&1"); Вывод: Could not create directory '/nonexistent/.ssh'. Warning: Permanently added '[somehost.com]:700' (RSA) to the list of known hosts. Permission denied, please try again. Permission denied, please try again. Permission denied (publickey,password).

Я думал так сделать изначально...я просто думал что так хоть немного но безопасней должно быть, в мир ничего у меня не смотрит все спрятано за nat.

Нет, попробовал но результат такой же, в ответ всегда просто пустая строка, а по отдельности все работает....может это какой то баг? ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP "/system ssh AIROSIP user=ubnt command=\"ls\"" ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP ":system ssh AIROSIP user=ubnt command=\"ls\"" ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP "system ssh AIROSIP user=ubnt command=\"ls\"" не хочет...

1. Работает только без экранирования ' " ' system ssh 192.168.15.2 user=ubnt ls\ 2. Тоже работает но только без " ' " А вот все вместе у меня запустить так и не выходит) Пробую с компа: ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP ':system ssh AIROSIP user=ubnt ls' ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP 'system ssh AIROSIP user=ubnt ls' ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP system ssh AIROSIP user=ubnt \"ls\" ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP \":system ssh AIROSIP user=ubnt ls\" Перепробовал массу вариантов но так и не вышло..

Спасибо!!! Скажите что примерно не так, по отдельности все работает без пароля, но вместе не хочет(выводит просто пустую строку) пробую вот так(пробовал и по всякому но результат один и тот же был): ssh -l SSHKEYUSER -i /.ssh/id_dsa.pub ROUTEROSIP ':system ssh AIROSIP user=ubnt ls'

Тогда и грузить ключ надо было для admin: /user ssh-keys private import private-key-file=id_dsa public-key-file=id_dsa.pub user=admin Если я правильно понял.... В МТ не грузил, но МТ -- это линукс. Я думал что если создал где-то в третьем месте пару ssh ключей, то то устройство куда я их ложу и прикрепляю их там к определенному вновь созданному или существующему пользователю автоматически становиться мне доступным без пароля? Если я работаю где в linux под User1 а ssh ключ прикреплен к User2, то но на любое удаленное устройство(где есть конечно же уже ключ) у меня уже доступа посредством ssh авторизации через ключ не будет?

Запускал от admin (Если я верно понял вопрос, я имею ввиду что я залогинился на mt под admin и под ним запускал ssh клиент) ключ грузил конечно для своего ранее созданного пользователя(права пользователю дал full) Через винду не пробовал это можно будет сделать через неделю примерно...

Выполнил ssh-keygen -t dsa пару ключей кинул на mk после на mk выполнил /user ssh-keys private import private-key-file=id_dsa public-key-file=id_dsa.pub user=myuser закинул id_dsa.pub в AirOS через веб интерфейс, перезагрузил. далее с mk пробую зайти в AiroS system ssh 192.168.0.1 user=wwwstat или system ssh 192.168.0.1 user=ubnt как только не пробовал просит ввести пароль на mk я захожу нормально без пароля а вот с mk в airos требует и все(AirOS: Firmware Version: XM.v5.5.3)

С RouterOS на AirOs по ssh ключу. через веб морду ключ заносил, при вводе в RouterOS system ssh 192.168.0.1 user=ubnt просит пароль.

Здравствуйте, подключаюсь на микротик по ssh ключу(без ввода пароля), далее задача подключится на rocket тоже посредством ssh, клиент на микротике как я понял не поддерживает передачу пароля как параметра(впрочем как и везде)? скопировать что либо я не могу так как файловая система только для чтения.. нашел файл /usr/etc/secret.key но там указано что это rsa ключ, попробовал этот ключ закинуть на микротик и прикрепить к пользователю но микротик говорит что ему нужен только dsa. Как быть? задача подключится на рокету а там уже без разницы по ssh или telnet(поставлю сложный пароль хацкеров вроде пока нет) главное без ввода пароля, так как это подключение будет выполняться из php скрипта.

Делаю все как в этом видео: 1.Cистема-> интернет тарифные планы->ввожу номер(произвольно) и название тарифного плана и жму добавить. 2.Клацаю внизу в списке на этом тарифном плане на значке интервалы(часы) просто жму добавить. 3.Далее в строке интервала(вверху) жму на значке трафика(диаграмма) в строепх IN и OUT указываю к примеру 1024 и жму кнопку добавить. 4.Затем выполняю: /usr/abills/libexec/billd checkspeed mikrotik На микротике появляются правила: TP_4_in_global_speed TP_4_out_global_speed 5.Далее завожу пользователя, выбираю ему этот тарифный план. Далее пользователь авторизуется все проходит нормально, но шейпер не работает, все качают и скорость делиться динамически просто. Подскажите что пропустил! или выполнил не верно!

Не могу создать правила шейпера на микротике с нужными мне ограничениями по скорости, и как их привязать к нужному тарифу в abills(может я не совсем корректно спрашиваю)? Прочитал,но у меня осталось много вопросов, настраиваю первый раз. Как прочитать тело скрипта знаю, в Perl я не особо силен, общий алгоритм возможно пойму, но у меня задача удостоверится что я все сделал по порядку и ничего не пропускаю или недопонимаю. Про тех поддержку в курсе, но буду пробовать разбираться сам. Можно пример действий увидеть для добавления шейпера на mk и создание тарифных планов?

можно просто с консоли запустить /usr/abills/libexec/billd checkspeed mikrotik Запустил? скрипт пошел на микротик.. что он там будет создавать? с какими аргументами?

Есть Микротик rb1100(RouterOS v6), с поднятым на нем pppoe серверов при подключении на который с роутеров фирмы dlink(новых моделей, на старых не тестил) интернет работает час или два после чего спонтано пропадает.. при этом pppoe соединение остается поднятым но трафик через него идти отказывается, mtu на pppoe сервере 1800(по дефолту).

Где должен находится этот скрипт? на микротике или на сервере где установлен ABills? после чего он должен загружаться на миротик посредством этого скрипта(/usr/abills/libexec/billd checkspeed mikrotik) /ip firewall mangle add chain=forward action=mark-packet new-packet-mark=ALLOW_TRAFFIC_CLASS_141_in passthrough=yes src-address-list=CLIENTS_141 dst-address=0.0.0.0/0 /ip firewall mangle add chain=forward action=mark-packet new-packet-mark=ALLOW_TRAFFIC_CLASS_141_out passthrough=yes src-address=0.0.0.0/0 dst-address-list=CLIENTS_141 /queue type add name="TP_141_in_global_speed" kind=pcq pcq-rate=262144 pcq-classifier=src-address /queue type add name="TP_141_out_global_speed" kind=pcq pcq-rate=262144 pcq-classifier=dst-address /queue tree add name="TP_141_in_global" parent=global-out queue="TP_141_in_global_speed" packet-mark=ALLOW_TRAFFIC_CLASS_141_in priority=5 burst-limit=0 burst-threshold=0 burst-time=0s /queue tree add name="TP_141_out_global" parent=global-out queue="TP_141_out_global_speed" packet-mark=ALLOW_TRAFFIC_CLASS_141_out priority=5 burst-limit=0 burst-threshold=0 burst-time=0s

Есть необходимость попадать на рокет из мира, рокет в режиме ap+wds+bridge с ip 192.168.1.23 подключен к порту ether2, ниже я задаю второй Ip на порт на котором сидит рокет, первый ip на ether2 используется dhcp сервером который висит на этом порту и раздает pool 192.168.2.0/24, и делаю проброс на него. add action=dst-nat chain=dstnat comment=forward connection-type="" dst-port=85 in-interface=ether1 protocol=tcp \ to-addresses=192.168.1.23 to-ports=80 add address=192.168.2.1/24 interface=ether2 network=192.168.2.0 add address=192.168.1.1/24 interface=ether2 network=192.168.1.0

Подскажите как спарсить с вывода export только: name=testname password=testpass add customer=admin disabled=no name=[b]testname[/b] password=[b]testpass[/b] shared-users=1 \ wireless-enc-algo=none wireless-enc-key="" wireless-psk="" Буду очень благодарен за дельный пример.

Все сделал, пользователи на радусе авторизацию проходят, подскажите как верно создать тарифные планы?

Не пойму. У Вас прямая связь между сервером радиуса и микротиком есть? или только через НАТ??? через nat только

Я понял, спасибо... скажите то что я написал оно технически не верно и работать не может просто? Если все таки под рукой три наноса только.

с этим разрьрался уже вроде.... cокет уже занят запущенным радиусом, он у меня в автозапуске просто.... останавливаю и перезапускаю с -X пишет вот что rlm_perl: Added pair NAS-IP-Address = 192.168.0.10 rlm_perl: Added pair NAS-Port-Id = bridge-local rlm_perl: Added pair Reply-Message = Unknow server '192.168.0.10' Микротик за nat у меня и внешний ip у него другой в настройках радиуса на микротике в src.address указал 192.168.0.10 (его внутренний ip) В /usr/local/etc/raddb/clients.conf у меня секции (это хоть тот конфиг?) client 192.168.0.10 { secret = radsecret } client внешнийipмикротика { secret = radsecret } с этим разрьрался уже вроде.... cокет уже занят запущенным радиусом, он у меня в автозапуске просто.... останавливаю и перезапускаю с -X пишет вот что rlm_perl: Added pair NAS-IP-Address = 192.168.0.10 rlm_perl: Added pair NAS-Port-Id = bridge-local rlm_perl: Added pair Reply-Message = Unknow server '192.168.0.10' Микротик за nat у меня и внешний ip у него другой в настройках радиуса на микротике в src.address указал 192.168.0.10 (его внутренний ip) В /usr/local/etc/raddb/clients.conf у меня секции (это хоть тот конфиг?) client 192.168.0.10 { secret = radsecret } client внешнийipмикротика { secret = radsecret }

ping radiushostfrommikrotik sent=3 received=3 packet-loss=0% min-rtt=31ms avg-rtt=31ms max-rtt=31ms radiusd -X FreeRADIUS Version 2.2.0, for host i386-portbld-freebsd9.2, built on Nov 9 2013 at 17:22:58 Copyright (C) 1999-2012 The FreeRADIUS server project and contributors. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License v2. Starting - reading configuration files ... including configuration file /usr/local/etc/raddb/radiusd.conf including configuration file /usr/local/etc/raddb/clients.conf including files in directory /usr/local/etc/raddb/modules/ including configuration file /usr/local/etc/raddb/modules/wimax including configuration file /usr/local/etc/raddb/modules/always including configuration file /usr/local/etc/raddb/modules/attr_filter including configuration file /usr/local/etc/raddb/modules/attr_rewrite including configuration file /usr/local/etc/raddb/modules/cache including configuration file /usr/local/etc/raddb/modules/chap including configuration file /usr/local/etc/raddb/modules/checkval including configuration file /usr/local/etc/raddb/modules/counter including configuration file /usr/local/etc/raddb/modules/cui including configuration file /usr/local/etc/raddb/modules/detail including configuration file /usr/local/etc/raddb/modules/detail.example.com including configuration file /usr/local/etc/raddb/modules/detail.log including configuration file /usr/local/etc/raddb/modules/dhcp_sqlippool including configuration file /usr/local/etc/raddb/sql/mysql/ippool-dhcp.conf including configuration file /usr/local/etc/raddb/modules/digest including configuration file /usr/local/etc/raddb/modules/dynamic_clients including configuration file /usr/local/etc/raddb/modules/echo including configuration file /usr/local/etc/raddb/modules/etc_group including configuration file /usr/local/etc/raddb/modules/exec including configuration file /usr/local/etc/raddb/modules/expiration including configuration file /usr/local/etc/raddb/modules/expr including configuration file /usr/local/etc/raddb/modules/files including configuration file /usr/local/etc/raddb/modules/inner-eap including configuration file /usr/local/etc/raddb/modules/ippool including configuration file /usr/local/etc/raddb/modules/krb5 including configuration file /usr/local/etc/raddb/modules/ldap including configuration file /usr/local/etc/raddb/modules/linelog including configuration file /usr/local/etc/raddb/modules/otp including configuration file /usr/local/etc/raddb/modules/logintime including configuration file /usr/local/etc/raddb/modules/mac2ip including configuration file /usr/local/etc/raddb/modules/mac2vlan including configuration file /usr/local/etc/raddb/modules/mschap including configuration file /usr/local/etc/raddb/modules/ntlm_auth including configuration file /usr/local/etc/raddb/modules/opendirectory including configuration file /usr/local/etc/raddb/modules/pam including configuration file /usr/local/etc/raddb/modules/pap including configuration file /usr/local/etc/raddb/modules/passwd including configuration file /usr/local/etc/raddb/modules/perl including configuration file /usr/local/etc/raddb/modules/policy including configuration file /usr/local/etc/raddb/modules/preprocess including configuration file /usr/local/etc/raddb/modules/radrelay including configuration file /usr/local/etc/raddb/modules/radutmp including configuration file /usr/local/etc/raddb/modules/realm including configuration file /usr/local/etc/raddb/modules/redis including configuration file /usr/local/etc/raddb/modules/rediswho including configuration file /usr/local/etc/raddb/modules/replicate including configuration file /usr/local/etc/raddb/modules/smbpasswd including configuration file /usr/local/etc/raddb/modules/smsotp including configuration file /usr/local/etc/raddb/modules/soh including configuration file /usr/local/etc/raddb/modules/sql_log including configuration file /usr/local/etc/raddb/modules/sqlcounter_expire_on_login including configuration file /usr/local/etc/raddb/modules/sradutmp including configuration file /usr/local/etc/raddb/modules/unix including configuration file /usr/local/etc/raddb/modules/acct_unique including configuration file /usr/local/etc/raddb/policy.conf including configuration file /usr/local/etc/raddb/sites-enabled/abills_default main { user = "freeradius" group = "freeradius" allow_core_dumps = no } including dictionary file /usr/local/etc/raddb/dictionary main { name = "radiusd" prefix = "/usr/local" localstatedir = "/var" sbindir = "/usr/local/sbin" logdir = "/var/log" run_dir = "/var/run/radiusd" libdir = "/usr/local/lib/freeradius-2.1.6" radacctdir = "/var/log/radacct" hostname_lookups = no max_request_time = 30 cleanup_delay = 5 max_requests = 512000 pidfile = "/var/run/radiusd/radiusd.pid" checkrad = "/usr/local/sbin/checkrad" debug_level = 0 proxy_requests = no log { stripped_names = no auth = no auth_badpass = no auth_goodpass = no } security { max_attributes = 200 reject_delay = 1 status_server = yes } } radiusd: #### Loading Realms and Home Servers #### radiusd: #### Loading Clients #### client localhost { ipaddr = 127.0.0.1 require_message_authenticator = no secret = "radsecret" nastype = "other" } client IPМОЕГОМИКРОТИКАСPPPOEСЕРВЕРОМ { require_message_authenticator = no secret = "radsecret" } radiusd: #### Instantiating modules #### instantiate { Module: Linked to module rlm_exec Module: Instantiating module "exec" from file /usr/local/etc/raddb/modules/exec exec { wait = no input_pairs = "request" shell_escape = yes } Module: Linked to module rlm_expiration Module: Instantiating module "expiration" from file /usr/local/etc/raddb/modules/expiration expiration { reply-message = "Password Has Expired " } Module: Linked to module rlm_logintime Module: Instantiating module "logintime" from file /usr/local/etc/raddb/modules/logintime logintime { reply-message = "You are calling outside your allowed timespan " minimum-timeout = 60 } } radiusd: #### Loading Virtual Servers #### server { # from file /usr/local/etc/raddb/radiusd.conf modules { Module: Creating Auth-Type = Perl Module: Creating Post-Auth-Type = REJECT Module: Checking authenticate {...} for more modules to load Module: Linked to module rlm_pap Module: Instantiating module "pap" from file /usr/local/etc/raddb/modules/pap pap { encryption_scheme = "auto" auto_header = no } Module: Linked to module rlm_mschap Module: Instantiating module "mschap" from file /usr/local/etc/raddb/modules/mschap mschap { use_mppe = yes require_encryption = no require_strong = no with_ntdomain_hack = no allow_retry = yes } Module: Linked to module rlm_perl Module: Instantiating module "perl" from file /usr/local/etc/raddb/modules/perl perl { module = "/usr/abills/libexec/rlm_perl.pl" func_authorize = "authorize" func_authenticate = "authenticate" func_accounting = "accounting" func_preacct = "preacct" func_checksimul = "checksimul" func_detach = "detach" func_xlat = "xlat" func_pre_proxy = "pre_proxy" func_post_proxy = "post_proxy" func_post_auth = "post_auth" func_recv_coa = "recv_coa" func_send_coa = "send_coa" } Module: Checking authorize {...} for more modules to load Module: Linked to module rlm_preprocess Module: Instantiating module "preprocess" from file /usr/local/etc/raddb/modules/preprocess preprocess { huntgroups = "/usr/local/etc/raddb/huntgroups" hints = "/usr/local/etc/raddb/hints" with_ascend_hack = no ascend_channels_per_line = 23 with_ntdomain_hack = no with_specialix_jetstream_hack = no with_cisco_vsa_hack = no with_alvarion_vsa_hack = no } reading pairlist file /usr/local/etc/raddb/huntgroups reading pairlist file /usr/local/etc/raddb/hints Module: Linked to module rlm_files Module: Instantiating module "files" from file /usr/local/etc/raddb/modules/files files { usersfile = "/usr/local/etc/raddb/users" acctusersfile = "/usr/local/etc/raddb/acct_users" preproxy_usersfile = "/usr/local/etc/raddb/preproxy_users" compat = "no" } reading pairlist file /usr/local/etc/raddb/users reading pairlist file /usr/local/etc/raddb/acct_users reading pairlist file /usr/local/etc/raddb/preproxy_users Module: Checking preacct {...} for more modules to load Module: Checking accounting {...} for more modules to load Module: Checking post-auth {...} for more modules to load } # modules } # server radiusd: #### Opening IP addresses and Ports #### listen { type = "auth" ipaddr = * port = 0 Failed binding to authentication address * port 1812: Address already in use /usr/local/etc/raddb/radiusd.conf[120]: Error binding to port for 0.0.0.0 port 1812 ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2008<VLAN_MTU,WOL_MAGIC> ether ac:f1:df:40:25:3d inet МОЙВНЕШНИЙБЕЛЫЙIP netmask 0xff000000 broadcast X.255.255.255 inet6 fe80::aef1:dfff:fe40:253d%rl0 prefixlen 64 scopeid 0x2 nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> media: Ethernet autoselect (100baseTX <full-duplex>) status: active re0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE> ether 74:d0:2b:2a:5a:66 nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> media: Ethernet autoselect (none) status: no carrier plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500 nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6> inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6 inet 127.0.0.1 netmask 0xff000000 nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL> ipfw show ipfw: getsockopt(IP_FW_GET): Protocol not available [admin@MikroTik] > radius print detail Flags: X - disabled 0 service=ppp called-id="" domain="" address=ip компьютера с радиусом secret="пароль" authentication-port=1812 accounting-port=1813 timeout=300ms accounting-backup=no realm="" [admin@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; default configuration 192.168.2.1/24 192.168.2.0 bridge-local 1 192.168.0.10/24 192.168.0.0 ether1-gateway

Служба запущена и порты открыты(sockstat -4) а вот что пишет radiusd -X Abills у меня в /usr/local/abills а в /usr/ у меня просто ссылка с именем abills на /usr/local/abills конфиг радиуса в котором я вписал ip микротика в роли nas клиента находиться /usr/local/etc/raddb/clients.confadius/ есть еще /usr/local/abills/misc/freeradius/clients.conf может не тот конфиг?

Я немного не пойму, микротик у нас выступает в роли Radius клиента? как на нем могут быть открыты порты? это же не сервер. Abills у меня в /usr/local/abills а в /usr/ у меня просто ссылка с именем abills на /usr/local/abills конфиг радиуса в котором я вписал ip микротика в роли nas клиента находиться /usr/local/etc/raddb/clients.confadius/ есть еще /usr/local/abills/misc/freeradius/clients.confможет не тот конфиг?

Есть три наноса m2 необходимо с помощью них покрыть все на 360 градусов, нужно что бы они работали на одном канале к примеру(1,6 или 12 вообщем не пересекающиеся в 2.4Ghz) общий алгоритм действий будет такой? На первом наносе AP-REPEATER+WDS+BRIDGE и в PEERS добавляем MAC второго, на втором тоже самое и в PEERS MAC первого, на третьем тоже AP-REPEATER+WDS+BRIDGE, и в PEERS MAC второго. Скажите таким способом выйдет организовать покрытие на 360 градусов? с помощью трех наносов, если что то не так, то напишите ваш пример, буду очень благодарен.