Владимир320

Про то, что нужно авторизоваться видел инфу, но не придавал значения почему-то). Просто ранее с другими контроллерами было все практически одинаково, что cisco, что mikrotik, что forti AP, а тут авторизоваться стало быть нужным.. Спасибо за инфо, буду делать через авторизацию

Всем салют. Думаю, что вопрос довольно таки непопулярный Есть контроллер Unifi, версия 9.1.105 настроена гостевая сетка в отдельном влане с включенным hotspot + external captive portal. Сам портал самописный и взаимодействует уже с многими вендорами wifi контроллеров. А вот с unifi подружить не получается. Нет толком никаких инструкций, а если что-то и находится подобное, то ничего не работает. Вопрос в том, что посылать на вебсервер unifi? Из последнего что сделал это шлю post json '{"cmd": "authorize-guest", "mac": "<?php echo $id; ?>", "ssid": "<?php echo $ssid; ?>", "siteid": "default"}' на http://x.x.x.x:8880/guest/s/default/" Пока идеи закончились. Может кто подружился с этими unifi) Хелп

Так удалось подружить cisco и snr?) Сейчас стоит вопрос их дружбы и пока не хотят ни в какую. На snr пробовал все типы stp. На cisco режим rpvst.

вот общий план всех действий

пока остановился на схеме с микротиком и до сих пор бьюсь с проблемой, что после аутентификации доступа в инет так и нет. Постоянно требует войдите в сеть, вхожу, инета нет и так по кругу. Такое чувство, что до форта не долетают юзерские credentials, так как смотрю трафик на форте и вижу что выход в инет попадает под правило общего запрета. Можно как-то на форте проверить юзерскую группу? Таким способом типа все норм. Но в моей схеме я сначала обращаюсь к микротику и микротик уже проверяет радиус, а радиус уже может не посылать инфу фортигейту. Очень мутная схема, но истинна где-то рядом) Вот как это все происходит: Страница загружается, ввожу лог пасс, жму подключиться и все гуд, тока вот инета нет((. Слушаю трафик на форте и вижу, что он типа улетает и не прилетате, так как попадает под правило запрета

Использую микротик так как на нем уже есть функционал взаимодействия вебсервера с радиусом. Если поднимать отдельный веб сервер на каком нить линуксе, то нужно продумать этот механизм с нуля взаимодействие радиуса и вебсервера. Хотя мне нужно просто сделат страницу, чтоб она могла вносить данные на радиус, а фортигей уже сам проверяет пользаков на радиусе. Надо подумать, как лучше Как на форте статус пользователей проверить? нигде не нашел этого механизма. На ус-ве(мобила, комп) постоянно пишет "войдите в сеть" от этого избавляюсь

Mikrotik ROS v7.15.3 на нем поднят hotspot в связке с радиусом. Radius крутится на debian 12.4 На микроте активен 1 интерфейс, он же для связи с радиусом и он же для сервера hotspot. Микротик и радиус в разных сетях, связь по l3. На удаленных площадка есть фортигейты с wifi точками fortiAP и своим интернетом. Настроил сеть wifi, где указал captive portal адрес HotSpot сервера и также создал группу юзеров радиус сервера. ДХЦП поднят на фортигейте и выход в инет должен быть через фортигейт а не через hotspot микротика. В фаерволе фортигейта само собой разрешил трафик выхода в инет + группу пользаков радиуса. При попытке подключении к этому wifi перенаправляет на страницу аутентификации hotspot, далее ввожу лог пас и типо пишет, что подключен, но интернета по факту нет, и пишет, что необходимо войти в сеть. Нажимаю войти и пишет опять войдите в сеть. Слушал трафик на радиусе и вижу, что приходил запрос с флагом 1 и уходил ответ с флагом 3, то есть доступ разрешен, но инет не работает при этом( Кто сталкивался с подобной связкой железок и подобным вопросом очень хелп. Могу скинуть необходимый конфиг, который щас есть

Делал я такой вариант и мне стали быть доступны все команды. Непонятно, что тут можно еду было упустить

Видел тема уже обсуждалась, но подходящего не нашел поднял такакс+, создал группу и юзера group = support { default service = deny service = exec { priv-lvl = 2 } cmd = show { permit .* } cmd = configure { permit terminal } cmd = interface { permit .* } cmd = shutdown { permit .* } } user = test { member = support login = cleartext 12345678 } cisco WS-C2960-24TT-L aaa group server tacacs+ tac_test server name Tacacs_Server aaa authentication login default group tac_test local aaa authorization console aaa authorization exec default group tac_test local aaa accounting update newinfo aaa accounting commands 0 default start-stop group tac_test aaa accounting commands 15 default start-stop group tac_test tacacs-server directed-request tacacs server Tacacs_Server address ipv4 10.10.10.10 key 12345678 Цель давать доступ на некоторые команды, но работает только show, видимо не отрабатывает: cmd = show { permit .* } cmd = configure { permit terminal } cmd = interface { permit .* } cmd = shutdown { permit .* } Перечитал уже все маны и пока застыл на месте. Подскажите чего я упускаю?

больше вопрос к такому виду правила PSH,ACK PSH,ACK. рассматриваем покеты с флагами PSH,ACK и в тоже время они должны быть установлены, а значение остальных флагов SYN,RST,FIN,URG нам не важно, оно может иметь значение либо 0 либо 1...?

Как работает эта запись? Ведь слева мы указали те флаги, которые мы рассматриваем и которые должны быть неустановлены, с справа список установленных флагов. Тут какое-то противоречие получается. Или слева список, который мы просто рассматриваем

к примеру я хочу ловить трафик где установлены PSH, ACK флаги я могу написать правила согласно инструкции: -p tcp --tcp-flags ALL ACK,PSH -j LOG -p tcp --tcp-flags FIN,SYN,RST ACK,PSH -j LOG -p tcp --tcp-flags RST ACK,PSH -j LOG и этот пакет, будет попадать под эти три правила или же не будет? Смысл вообще в первой части правила? Типа рассматриваем пакеты в которых есть такие флаги, если всегда во всех пакетах есть все флаги)) взрыв мозга

1 syn/fin=1, urg/ack/psh/rst=любые 2 syn/fin=1, urg/ack/psh/rst=0 3 syn/fin=1, rst/ack=0, psh/rst=любые Спасибо за ответы, но все же я не понимаю разницы в правилах этих, так как в пакетах всегда есть все флаги, но установлены некоторые. Зачем тогда мне указывать какие то флаги, когда будет равнозначное правило --tcp-flag all какой то флак

данная комбинация флагов мне не нужна) Мне нужно понять как эти правила работают) допустим такое правило -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP тут дропаем трафик с установленными флагами syn,fyn, а как понять первую часть правила?? так как если ваершарком развернуть пакет, то там всегда будут все флаги и установлены тока некоторые, в зависимости от трафика в чем тогда разница если я напишу такие правила: -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP -p tcp --tcp-flags ALL SYN,FIN -j DROP -p tcp --tcp-flags FIN,SYN,RST,ACK SYN,FIN -j DROP мы по сути всегда смотрим в покет со всеми флагами, но выбираем тока нужные установленные флаги. Либо я чет не понимаю

а тут разве не один из трех установлен? Или правильней любые из FIN,PSH,URG установлены

а в этом случаем? --tcp-flags ALL FIN,PSH,URG -j DROP - тое есть берем все пакеты где есть любой из флагов и дропаем где есть один из трех FIN,PSH,URG?

С чего это я перестал мочь отвечать с цитированием в этом форуме???? не работает кнопка. Ок, если взять правило из мана: --tcp-flags SYN,ACK,FIN,RST SYN зачем нам рассматривать пакеты с флагами SYN,ACK,FIN,RST в котором должен быть установлен тока SYN. Как вообще формируется первый список? У меня же в голове что я могу написать какие флаги установлены и далее дропать или нет

Всем салют, мучает вопрос с правила iptables + tcp flag из официально прочитанного мануала как-то я до сих пор не догоняю как правильно писать правила с различными флагами, подскажите плиз, кто разобрался с этим) Для примера есть такого рода правила, которые гуглятся везде, но мне пока ещё не совсем понятны: /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP как бы есть офицbальный мануал по этим флагам: --tcp-flags mask comp Match when the TCP flags are as specified. The first argument mask is the flags which we should examine, written as a comma-separated list, and the second argument comp is a comma-separated list of flags which must be set. Flags are: SYN ACK FIN RST URG PSH ALL NONE. Hence the command iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN will only match packets with the SYN flag set, and the ACK, FIN and RST flags unset. Что здесь является первым аргументом?, то что идет сразу после --tcp-flags и до первой запятой? а следующий аргумент это все остальное? Для примера возьму в разбор это правило iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP Что я тут проверяю? пакет с установленным флагом FIN и неустановленными влагами RST FIN,RST?

Это все понятно. Меня мучает вопрос как длина при разборе tcp может так прыгать? Слушаю трафик на проксмоксе с другой тачкой и вижу нормальную картину: где len имеет одинаковое значение. У меня остается мысль это насильно изменять mss, чтобы чудес не прилетало...

если посмотреть поток tcp, то такая картина: страсти какие-то. на сколько я понимаю len должет быть в пределах mtu, а тут постоянно космические значения

инфо о сервере: Manufacturer: Supermicro Product Name: SYS-5019P-MR cpu: Model name: Intel(R) Xeon(R) Bronze 3204 CPU @ 1.90GHz ОЗУ: 32 гига сетевая карта: b5:00.0 Ethernet controller: Intel Corporation Ethernet Connection X722 (rev 09) b5:00.2 Ethernet controller: Intel Corporation Ethernet Connection X722 for 1GbE (rev 09) b5:00.3 Ethernet controller: Intel Corporation Ethernet Connection X722 for 1GbE (rev 09) Поднят Proxmox на GNU/Linux и с недавнего времени на одной из виртуалок стала очень низкая скорость передачи ну и записи файлов. Файлы передает рабочая станция, которая включена в тот же свич(cisco 2960), никаких ошибок на портах свича нету. решил послушать трафик на самом proxmos и вот, что обнаружил: бесконечные ретрансмиты. С такого рода странностью пока ещё не сталкивался, наведите на мысль, плиз). файл с дампом могу отправить

да, все норм, спасибо

НЕ стал создавать новую тему, продолжение к старому). В общем сливаю трафик с фортигейтов и ловлю его на сервере с помощью nfdump. Трафик ловится, складурется, но если я просто сделаю просмотр файла командой "nfdump -r nfcapd.202310060700" то вижу: 1970-01-01 03:00:00.000 INVALID Ignore TCP 10.154.14.130:60150 -> 10.40.1.9:445 0.0.0.0:0 -> 0.0.0.0:0 5123 5123 1970-01-01 03:00:00.000 INVALID Ignore UDP 10.154.14.130:52540 -> 10.154.16.32:389 0.0.0.0:0 -> 0.0.0.0:0 202 202 1970-01-01 03:00:00.000 INVALID Ignore TCP 10.154.14.130:60152 -> 92.118.67.2:443 212.164.74.147:60152 -> 0.0.0.0:0 2280 2280 вопрос к времени, время не меняется в дефолте стоит, как я понимаю. но если сделать просмотр трафика более умный, к примеру "nfdump -r nfcapd.202310060700 -s srcip 'host 10.154.14.130'", то со временем все норм: Date first seen Duration Proto Src IP Addr Flows(%) Packets(%) Bytes(%) pps bps bpp 2023-10-06 06:35:23.770 01:24:22.740 any 10.154.14.130 1450(50.0) 65652(25.2) 13.8 M(20.5) 12 21794 210 2023-10-06 06:57:04.450 00:59:53.570 any 10.154.17.37 418(14.4) 418( 0.2) 55256( 0.1) 0 123 132 2023-10-06 07:15:31.760 00:44:06.110 any 10.40.1.106 77( 2.7) 2052( 0.8) 1.2 M( 1.8) 0 3595 579 втф? так как мне чаще нужно использовать обычный вывод, как в первом случае настройка nfcupd: options='-z -T all -S 7 -l /srv/netflow/nfcap -t 3600 -p 2055'

В общем перепрошил я Huawei P7 и все стабильно

Пользуясь случаем, озвучу вопрос по поводу site-id. (исходя из официального описания, он должен быть уникальным для каждого сайта) То есть уникальный site-id для одного vpls или достаточно использовать один site-id на всех vpls в сторону одного соседа? Из моего примера, между PE1 и PE2 поднята bgp сессия и поднято три bgp vpls интерфейса, и в каждом vpls я указал одинаковые site-id. Пример: PE1: /interface vpls bgp-vpls add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 site-id=50 add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=65530:800 site-id=50 add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 site-id=50 PE2: /interface vpls bgp-vpls add bridge=bridge_vpls_vlan53 bridge-horizon=5 export-route-targets=65530:53 import-route-targets=65530:53 name=vpls_53 route-distinguisher=65530:53 site-id=51 add bridge=bridge_vpls_vlan800 bridge-horizon=5 export-route-targets=65530:800 import-route-targets=65530:800 name=vpls_800 route-distinguisher=65530:800 site-id=51 add bridge=bridge_vpls_vlan85 bridge-horizon=5 export-route-targets=65530:85 import-route-targets=65530:85 name=vpls_85 route-distinguisher=65530:85 site-id=51 Это нормальная практика? или все-равно лучше указывать разные site-id даже между двумя соседями? У меня как бы все работает при такой схеме, но не совсем понятен этот site-id