brab

Как то так вроде бы: http://puck.nether.net/pipermail/cisco-nas...une/001347.html м-да... механизм наверное хороший, но увы - мне не подходит. Дело в том что клиенты подключаются по ppp через l2tp от другого провайдера - и даже при физическом отрубании клиента LCP ECHOREP на мой NAS приходят как ни в чем не бывало....

а можно чуть по подробнее? сделал вот так - не помогает nterface Virtual-Template1 ip unnumbered Serial1/0:0.100 no ip route-cache cef no ip route-cache no peer default ip address keepalive 1 2 ppp disconnect-cause keepalive lost-carrier ppp authentication pap chap VPDN ppp timeout idle 120 увы, не вариант, сессии должны дохнуть автоматом...

Собственно сабж обственно сабж. Я знаю что можно сделать вот так: interface Virtual-Template1 ip unnumbered Serial1/0:0.100 ppp timeout idle 120 но этот параметр работает только если нет никакой активности. А если сессия сдохла (например модем выключился по питанию) но кто-то из вне обращается на адреса за модемом (например пингует), то счетчик не растет и как следствие - сессия не рвется... Спасибо

Хм... В упор не понимаю чем не нравиться. И зачем считать чем-то другим если сам радиус хорошо считает. да и думается что максимальная перекачка в вашем случае будет больше - на хорошем канале за минуту можно прокачать несколько метров. Ну если сильно надо - рубить можно грохая процесс. или интерфейс. или как угодно. если вы трафик радиусом не считаете, то и корректность завершения сессии вам не важна

Расскажи расскажи :) Рад что кому-то надо :) мож даже опишу где-нибудь как енто всё получилось... а то вроде всё написано - а без напильника не работает Мне нужно было чтобы по превышению какого-то объёма соединение рвалось и не пущало. Сначала думал считать скриптом и ронять интерфейс. Нифига - соединение остаётся и данные о сессии в базу не попадают. Однако если прибить вот такой процесс: /usr/sbin/pppd local file /etc/ppp/options.VPN 115200 192.168.0.212 то всё ок. Но это есть неправильно! Вот как проще/лучше. есть таблицы (я говорю про mysql - до postgresql я не дорос ещё) radcheck и radreply Содержимое первой мне подсказал sirmax за что я ему жутко благодарен. mysql> select * from radcheck; +----+----------+-----------+----+---------+ | id | UserName | Attribute | op | Value | +----+----------+-----------+----+---------+ | 1 | test | Password | == | test | | 2 | test | Auth-Type | := | MS-CHAP | +----+----------+-----------+----+---------+ А вот вторая: +----+----------+----------------------+----+---------------+ | id | UserName | Attribute | op | Value | +----+----------+----------------------+----+---------------+ | 3 | test | Framed-IP-Address | := | 192.168.0.212 | | 4 | test | Session-Octets-Limit | := | 8000 | +----+----------+----------------------+----+---------------+ Session-Octets-Limit - это как раз и есть ограничение на сессию! т. е. когда с/на интерфейс пройдёт 8000 байт - соединение отвалиться само. присчём корректно, с записью всей инфы. в логе это выглядет так: Apr 13 15:01:06 test pppd[16606]: Traffic limit reached. Limit: 8000 Used: 8027 Apr 13 15:01:06 test pppd[16606]: Connection terminated. Apr 13 15:01:06 test pppd[16606]: Connect time 0.9 minutes. Apr 13 15:01:06 test pppd[16606]: Sent 3833 bytes, received 4194 bytes. Я не уверен работает это везде или как-то зависит от версии ppp. Это тестилось на ASP Linux 10. НО! к радиусу нужен файлик dictionary.ppp который и содержит в себе определение Session-Octets-Limit. Там ещё есть другие ограничения - по входящему, исходящему и т. д., но пока с ними я не разобрался. Файлик этот я выдрал из системы Cake http://npj.ru/cake - там кстати вообще хорошо эта тема расписана, но для Postgre. Так что задавая таким образом ограничения можно контролировать трафик и отрубать клиентов. Думаю, аоспользовавшись ещё и Octets-Direction можно обойтись и без дополнительных скриптов. но пока - не проверял. всем ещё раз спасибо :) думаю, мне найдёться ещё что спросить

Всё, сделал. Оказывается есть элегантное автоматическое решение :) отключает само и на ура. :)

а можно ли подать команду на разрыв соединения? чтобы радиус записал в базу ту же инфу что и при розрыве соединения со стороны клиента?

Hi All! Понадобился мне VPN с авторизацией через Радиус (FreeRadius) и Mysql. Сначала настроил всё без mysql. Работало и по PAP и по MS-CHAP. Подключил Mysql, использовал PAP. работало. Hо гонять пароли по сети в открытом виде не хочется. Изменяю на MS-CHAP - и всё, болт. Радиус не хочет авторизовывать на основе данных из базы. При этом, если не использовать базу а просто в файде users указать: test Auth-Type:=MS-CHAP, User-Password == "test1" то соединение устанавливается и всё нормально! Есть ощущение что я записываю неправильные данные в таблицу radcheck. Сейчас там так: mysql> SELECT id,UserName,Attribute,Value,op FROM radcheck WHERE Username = 'test' ORDER BY id; +----+----------+---------------+-------+----+ | id | UserName | Attribute | Value | op | +----+----------+---------------+-------+----+ | 1 | test | User-Password | test1 | == | +----+----------+---------------+-------+----+ наверное поля Attribute и Value должны быть для MS-CHAP другие, но какие? перерыл всё, но упоминаний нигде не нашёл. Если будет полезной, вот вывод радиуса при попытке авторизоваться по MS-CHAP Ready to process requests. rad_recv: Access-Request packet from host 127.0.0.1:1049, id=82, length=124 Service-Type = Framed-User Framed-Protocol = PPP User-Name = "test" MS-CHAP-Challenge = 0xf9f08e82531502bf MS-CHAP-Response = 0x51010000000000000000000000000000000000000000000000008900ce5efa095a0d32635536f 8f41ec02fab62c93267 NAS-IP-Address = 192.168.0.4 NAS-Port = 0 rlm_sql (cake_sql): Reserving sql socket id: 29 rlm_sql_mysql: query: SELECT id,UserName,Attribute,Value,op FROM radcheck WHERE Username = 'test' ORDER BY id; rlm_sql (cake_sql): Released sql socket id: 29 Login incorrect: [test/<no User-Password attribute>] (from client localhost port 0) rad_recv: Access-Request packet from host 127.0.0.1:1049, id=82, length=124 Sending Access-Reject of id 82 to 127.0.0.1:1049

http://squid.opennet.ru там это все подробно описанно. я там уже все перерыл....ну нет там того что мне нужно Всё уже украдено до вас :) посмотрите личные сообщения