Jump to content
Калькуляторы

KaraVan

Активный участник
  • Content Count

    319
  • Joined

  • Last visited

Posts posted by KaraVan


  1. Понаставил семафоров, ориентировочно затык вылез.

     

    Для встроенного в UTM5 радиус проблема решается правкой одной строчки в ISGd.pl:

     

    - if ($rp->vsattributes($rad_dict->vendor_num("Cisco"))) {
    + if ($rp->vsattr($rad_dict->vendor_num("Cisco"), "Cisco-Account-Info")) {
    

  2. Cramac,

    0) Берем последний master. Пересобираем ядро, модуль iptables и прочее. Важно - в kernel нужно заново делать ./configure, иначе не установится один модуль. Изменения внесены пару дней назад.

    1) Создаем файл etc/tc.conf, достаточно одной строки:

    ALL_OTHER	0.0.0.0/0

    2) В etc/config.pl:

    ### Новый параметр
    $cfg{unauth_session_max_duration} = 60;
    
    ### Для всех неавторизованных сессий добавляем сервис REDIR
    $cfg{unauth_service_name_list} = [ "AREDIR" ];
    
    ### Собственно, описание сервиса
    $cfg{srv}{REDIR}{type} = "tagger";
    $cfg{srv}{REDIR}{traffic_classes} = [ "ALL_OTHER" ];

     

    Теперь весь неавторизованный трафик будет считаться авторизованным и помечен сервисом REDIR.

    А что может быть если на неавторизованные сессии не навешивается сервис? Где покопать?

     

    [root@nas etc]# /opt/ISG/bin/ISG.pl
    User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
    192.168.2.99    0.0.0.0         Virtual1      D473B06D77B335C4 1331    37871      88732      20000000   20000000   Main session     A
    192.168.2.98    0.0.0.0         Virtual2      D835297C6FFE7E80 41      2201       2212       0          0          Main session     AZ
    

     

    [root@nas etc]# /opt/ISG/bin/ISG.pl show_services Virtual2

    User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags

     

     

    ИЧСХ после установки системы все навешивалось само нормально, но потом как-то резко перестало.

    При этом если прислать AREDIR через радиус к авторизованной сессии то переадресация работает как по инструкции, значит сам сервис правильный.

    Если закомментировать:

    $cfg{unauth_service_name_list} = [ "AREDIR" ];

    То lISG вообще трафик не пропускает(статус сессии X).

     

     

    Как у него дебаг работает?

  3. Не могу с вами не согласиться, но в масштабе 12 сотрудников типовой набор действий отрабатывается за пару недель и в дальнейшем не вызывает вопросов приотсутствии кардинальных изменений в дизайне.

     

    Люди вон, даже к интерфейсу 1с как-то привыкают.:-)

  4. Есть подобная история в провинции.

    1)все клиенты(~1000)висят на пачке DSLAM

    2)у всех уже забиты статикой IP адреса на модемах

    3)шейпит и авторизует всё это сервер на Линуксе, фактически это уже IPoE

    4)трафик маленький, в районе 300Мбит

     

    Замену доступа пока не рассматриваем.

    Основной вопрос, как на DSLAMах обеспечить безопасность, сравнимую с современными коммутаторами доступа Ethernet.

    Пока что видится топология vlan-per-user, с оборачиванием в QinQ и затаскиванием этого трафика на BRAS.

    У кого-нибудь был успешный опыт по встраиванию DSL сегмента в IPoE?

  5. По сабжу: запилил битрикс24 в коллективе из 12 офисных сотрудников. Решение достаточно удобное, позволило уйти от бесконечных цепочек писем в электропочте.

    я его смотрел пару лет назад. кривая тормозная неповоротливая поделка с вырвиглазным молодежным дизайном. даже teamwox дешевле и лучше.

    посмотрел скриншоты битрикс24 сейчас, дизайн стал еще более отвратительным современным. у него есть лаконичный бизнес стиль оформления?

    Врядли. Я даже не заморачивался над его дизайном. Так мы бы никогда систему не внедрили)

    Впрочем до этого пытался вести проекты в тимере и мегаплане. Там как-то все еще печальнее показалось.

     

    KaraVan есть желание согрешить с разработчиками и их руководством.

    :-D

    Меня все устраивает пока. Только приложение по ipad в свежем апдейте сломали и не починили обратно.

  6. Весь топик не читал но заранее осуждаю.

     

    По сабжу: запилил битрикс24 в коллективе из 12 офисных сотрудников. Решение достаточно удобное, позволило уйти от бесконечных цепочек писем в электропочте.

    Регламентные задачи прописаны и сами всплывают по-расписанию. Есть клиенты под планшетники и телефоны.

    В нашем случае система еще и бесплатна.

     

    P.S. Технари варятся в своей тикетнице.

  7. Artur-t

    Вы правы, это не баг, это фича(с).

    Фильтрация с помощью ospf-in успешно чистит /ip routes от мусора и не касается /routing ospf route print

     

     

    Изначально весь сыр бор был из-за того что ospf между четырьмя роутерами тяжело поднимается при количестве префиксов больше 3000, по несколько минут запускается. Префиксы то появляются в LSDB то исчезают из нее.

     

    Никто с таким не сталкивался?

  8. Да вообщем-то какой-то цирк получается, на двух разных версиях РОС проверил, не фильтрует на вход.

    На их форуме поиском сходу не ищется, может никто не фильтрует мусор на входе?

     

    P.S. Нужно чтобы держать блэкхольные префиксы(коих уже тысяч шесть) только на бордере и не раскидывать их по всем маршрутизаторам сети.

  9. Проблема из заголовка темы. Таблица маршрутов OSPF просто никак не реагирует на фильтр ospf-in.

    С ospf-out таких проблем нет, но входящие маршруты не режутся.

     

    Вот все имеющиеся в системе фильтры:

      0   ;;; ACCEPT ONLY THIS  INBOUND ROUTES
        chain=ospf-in prefix=118.180.188.0/20 prefix-length=21-32 invert-match=no 
        action=accept set-bgp-prepend-path="" 
    
    1   ;;; BLOCK ALL INBOUND ROUTES
        chain=ospf-in invert-match=no action=discard set-bgp-prepend-path="" 
    
    2   ;;; DISCARD THIS  OUTBOUND ROUTES
        chain=ospf-out prefix=118.180.188.32/29 prefix-length=29 invert-match=no 
        action=discard set-bgp-prepend-path="" 
    
    3   ;;; ACCEPT ONLY THIS  OUTBOUND ROUTES
        chain=ospf-out prefix=118.180.188.0/20 prefix-length=21-32 invert-match=no 
        action=accept set-bgp-prepend-path="" 
    
    4   ;;; BLOCK ALL OUTBOUND ROUTES
        chain=ospf-out invert-match=no action=discard set-bgp-prepend-path="" 
    

     

    RouterOS v.6.22

     

     

    Куда копать?

  10. Не исключено что NTT умеют считать деньги, поэтому принимают такие решения.

    Кроме того услуги связи за рубежом в основном несколько дороже.

     

    Так в чем проблема этой презентации? Если боты вводят в деньги в систему то есть ли смысл фильтровать их от обычных пользователей?

     

    В каком-то смысле мне видится пересечение с бизнесом оператора в части расчетов затрат на подключение нового района или ведения конкурентной борьбы на насыщенном рынке.

  11. Коллеги, наткнулся на вот этот материал.

    Он в первую очередь относится к интернет-играм, но направление мысли интересное.

     

    Суть в практичном подходе к привлечению клиентов.

     

    Как вы считаете, применима ли методика к бизнесу ШПД?

    Есть ли что-то подобное в операторской практике?

  12. Коллеги, подскажите. Являемся LIRом, есть пара сетей+через нетапа брали еще пару /24 префиксов.

     

    Платить по 2килоевро в год +500 евро нетапу за наши потребности жаба душит. Существуют ли пути оптимизации затрат?

    Чтобы объединить все сети под одним крылом и возможно избавиться от статуса LIR.

  13. Ну не смешно же. Как я неоднократно в этой теме говорил, пользователь получает сервис мгновенно после совершения платежа.

    Тут вопрос бухгалтерский: как отражать эквайринговые платежи в 1с.

  14. Аналогия ошибочная.

     

    Приходит продавщица в бухгалтерию за получкой, а там ей говорят что деньги на р\сч магазина за проданную по карте и отгруженную клиенту колбасу еще не упали и получка будет как только деньги придут. :-)

     

    Как разрешить эту коллизию?

  15. Всё бы хорошо, пользователи довольны. Но в 1С из биллинга все платежи попадают с датами клиентской операции, а не датами фактического прихода денег на расчетный счет организации. А это неправильно.

    C какого перепугу это неправильно? Пользователь в 2:00 после 4-й банки пиваса отправил бабло через эквайринг, значит его платёж и должен зачисляться именно в 2:00, а не в дату приходя бабла на ваш р/с. Информация о том, когда бабки легли на ваш р/с - это ваша внутренняя информация и должна учитываться только бухгалтерией, которое приходы оформляет, но никак не биллингом., работающим с платежами пользователей.

     

    Спокойно =)

    Речь идет о участке биллинг-1с, пользователь на своем лс деньги получает моментально.

     

    Эквайрингов у нас несколько, каждый ежедневно шлет реестр. В них нет ничего касающегося поступления денег на р/сч.

    Согласно правилам бухучета платеж находится "в пути" пока не поступит на р/сч провайдера. Тут то и должна ему проставиться в 1с правильная дата.

     

    Я не думаю что первый сталкиваюсь с подобными вопросами, ведь у многих есть три заветных компонента: эквайринг, биллинг, 1с.

  16. Коллеги, приветствую.

     

    Жил был биллинг, интегрированный с системой 1С и горя не знал, пока не появилась возможность оплаты услуг здесь и сейчас в любое время суток, через смс или банковскую карту.

     

    Всё бы хорошо, пользователи довольны. Но в 1С из биллинга все платежи попадают с датами клиентской операции, а не датами фактического прихода денег на расчетный счет организации. А это неправильно.

    Банк шлет деньги раз в неделю одной кучей, в описании платежа конкретики нет. Разгребать каждый платеж банка вручную не вариант.

     

    Хотелось бы узнать как умные люди подружили эквайринг, биллинг и 1С. М.б. какой-то парсер выписок или еще что-то?

    Буду благодарен за совет в каком направлении копать, можем обсудить решение вопроса на сдельной основе.

  17. NFQ_FILTER собрался на Centos, но не могу понять почему не фильтрует

     

    Запустил:

    [root@alpha nfq]# ps ax | grep nfq
    2011 ?        Ssl    0:00 /usr/local/bin/nfq_filter -c /etc/nfq/nfq_filter.cfg -d
    2042 pts/0    S+     0:00 tail -f /tmp/nfq_debug.txt
    

    Проверил логи(влючен debug 4):

    [root@alpha ~]# tail -f /tmp/nfq_filter.log
    01.04.2015 16:05:57:
    --------------------------
    Starting program.
    
    Buffer size:    8388608
    Log file:       /tmp/nfq_filter.log
    Debug:          4
    Multiqueued:    false
    Queue:          0
    01.04.2015 16:07:37:    Parent memory usage:    134597360
    

     

    Настроил iptables:

    [root@alpha nfq]# iptables -vL -n -t mangle
    Chain PREROUTING (policy ACCEPT 323 packets, 26984 bytes)
    pkts bytes target     prot opt in     out     source               destination
      24  1440 NFQUEUE    tcp  --  eth2   *       214.234.44.0/21     0.0.0.0/0           tcp dpt:80 NFQUEUE num 0 bypass
    

    Пакетики на правило приходят, счетчик pkts увеличивается.

     

    В nfq_debug пусто:

    [root@alpha ~]# tail -f /tmp/nfq_debug.txt
    
    

     

     

    Сервер с одним интерфейсом, без роутинга, просто для теста.

     

    Как можно убедиться что nfq_filter вообще что-то получает для фильтрации и где искать затык?