[vitalvas]

Это можно обойти? Либо подобрать (сбрутить) секрет какой нибудь софтиной на основе запросов НАСа.

Никак. Там сикрет используется для подписи по хешу.

 

Доступ к нас есть, но не полный, в том и загвоздка. Секрет не узнать.

Узнать можно получить получив полный доступ к системы.

 

Если у Вас система работает, то можете как на НАС-е так и на радиус сервере узнать сикрет.

[lidia]

Коллеги, большое спасибо за ваше мнение и интерес, проявленный к теме.

 

Решений озвученной проблемы много, но все они требуют либо перенастройки bras либо определенных навыков со стороны администраторов для настройки freeradius.

Работая с операторами связи, мы наблюдаем тенденцию к снижению квалификации персонала, обслуживающих биллинг, поэтому все чаще хотят видеть "волшебную кнопку", на которую можно нажать, и всё само заработает.

 

Сегодня мы опубликовали модуль для наших клиентов (в автономном режиме модуль может работать с любым биллингом).

Относительно первоначально заявленного функционала была добавлена возможность автоматической настройки базовых параметров модуля на основе текущих настроек RADIUS.

[Ivan_83]

Работая с операторами связи, мы наблюдаем тенденцию к снижению квалификации персонала, обслуживающих биллинг, поэтому все чаще хотят видеть "волшебную кнопку", на которую можно нажать, и всё само заработает.

Снижения квалификации нет, просто к вам больше таких стало обращаться. :)

[myth]

Снижения квалификации нет, просто к вам больше таких стало обращаться. :)

По топику про лагающую сеть не скажешь...

[s.lobanov]

По топику про лагающую сеть не скажешь...

 

да достачно в загончик зайти, там вообще сплошные потоки сознания.

 

конечно, снижение квалификации есть. з/п в ISP становятся всё ниже и ниже по отношению к другим ИТ-сферам, отсюда вымывание специалистов и деградация тех, кто остаётся. а за счёт централизаций, вся работа головой остаётся только в этих централизованных noc-ах, а если вы работаете в регионах, то только прописывание вланов и проключение патчкордов. а в мелких операторах никогда и не было норм. специалистов, в основном костылестроение и изобретение велосипедов там

[myth]

костылестроение и изобретение велосипедов

врятли в больших лучше. Посмотреть хотя бы на местный филиал РТ...

[[anp/hsw]]

а в мелких операторах никогда и не было норм. специалистов, в основном костылестроение и изобретение велосипедов там

Ага-ага, а один из таких костылестроителей в результате и написал freeradius :)

 

Не следует путать интернет сейчас, который должен быть экстремально дешев для потребителя, т.к. потребитель массовый юзер со смешными картинками котят, и интернет 20 лет назад, где потребители это банки, фабрики, научные учреждения.

 

Хорошая квалификация уже соврешенно не нужна, за годы развития интернета уже все, что нужно, было сделано, и осталось только этим воспользоваться.

[pppoetest]

Хорошая квалификация уже соврешенно не нужна, за годы развития <подставить любое новшество> уже все, что нужно, было сделано, и осталось только этим воспользоваться.

Этой фразе уже несколько веков.

[SyJet]

' timestamp='1474187383' post='1324007']

а в мелких операторах никогда и не было норм. специалистов, в основном костылестроение и изобретение велосипедов там

Ага-ага, а один из таких костылестроителей в результате и написал freeradius :)

 

Не следует путать интернет сейчас, который должен быть экстремально дешев для потребителя, т.к. потребитель массовый юзер со смешными картинками котят, и интернет 20 лет назад, где потребители это банки, фабрики, научные учреждения.

 

Хорошая квалификация уже соврешенно не нужна, за годы развития интернета уже все, что нужно, было сделано, и осталось только этим воспользоваться.

Да, и мы видим в загончике к чему это все приводит.

[Ivan_83]

' timestamp='1474187383' post=1324007] Хорошая квалификация уже соврешенно не нужна, за годы развития интернета уже все, что нужно, было сделано, и осталось только этим воспользоваться.

Враки!

У меня TODOшек на годы вперёд :)

[[anp/hsw]]

У меня TODOшек на годы вперёд :)

Регулярно нахожу в разном коде TODO года примерно от 2000. Так что "на годы вперед" это действительно верное утверждение.

[Ivan_83]

В коде TODO ставлю редко, обычно реализую сразу.

Я про TODO в смысле хотелок по софту, не всегда своему, эдакий список желаний.

[s.lobanov]

Ivan_83

это называется roadmap :)

 

TODO-шки это что-то, что сейчас влом кодить (доп. проверки, редковыполняемые условия и т.п.)

[Timax]

Доброго времени суток. Нужно реализовать "тупое" резервирование биллинга, чтобы при его падение freeradius пускал всех в интернет, неважно с каким логином и паролем. Схема следующая: nas-mikrotik, абоненты поднимают pppoe. Может кто подсказать где почитать, или кто то уже реализовывал такую схему?? Знаю что это можно все сделать на freeradius, но пока поиски безуспешны.

[Ivan_83]

Для фрирадиуса почти нет готовых рецептов/конфигов, нужно разбираться самому.

Ваша хотелка это 3-5 строчек, но каких именно не подскажу, уже забыл синтаксис фрирадиуса. Что то на уровне запихать ok или accept в обработчик access запросов и может туда же какие то доп опции строчками выше добавить.

[OK-2004]

Я уже тут писал как это можно сделать на насе в виде микротика, но походу никто не увидел.

Повторю ещё раз.

Вот конкретный и работающий пример:

Дано : стопка нас-серверов на микротике. Радиус-сервер и база - от Bgbilling-a, но это роли не играет.

Раз в 10-15 мин сей скрипт готовит файлики с логинами и паролями для каждого наса и закидывает их на нас-ы.

В микротиках есть одно замечательное свойство - если связка логин-пароль есть в базе /ppp/secrets - то радиус не опрашивается.

Если радиус падает- остаётся перевести /ppp/secrets в состояние enable, хотите в ручную, хотите скриптом..

#!/bin/bash
d=`date +%d%m%g_%M%H`
rm -f /tmp/vpn_*.rsc
rm -f /tmp/vpn_*.txt
#
# /tmp/vpn_logins.txt - связки логин-пароль из базы:
#
mysql -uroot -ppassword_db  -B -N -e '
select login, password from inet_serv_10
where inet_serv_10.typeid="3" and (inet_serv_10.status in (0,1) or inet_serv_10.deviceState in (0,1));
' bgbilling > /tmp/vpn_logins.txt
#
# /tmp/vpn_conn.txt - привязки логин-пароль к конкретному насу по его id:
#
mysql -uroot -ppassword_db  -B -N -e ' select username, deviceid from inet_connection_10 where calledStationId is not null;' bgbilling >> /tmp/vpn_conn.0.txt
cat /tmp/vpn_conn.0.txt|sort -k 1|uniq > /tmp/vpn_conn.txt

echo "/ppp secret remove [/ppp secret find]" > /tmp/vpn_*.rsc
#
# /tmp/vpn_*.rsc - файлы формирующие /ppp/secrets:
#
while read line
do
login=`echo "${line}"|awk '{print $1}'`
dev=`echo "${line}"|awk '{print $2}'`
pasw=`cat /tmp/vpn_logins.txt|grep -w "$login"|awk '{print $2}'`
if [ -z $pasw ]
then
:
else
case $dev in
14)
echo "/ppp secret add name=$login password=\"$pasw\" profile=default service=pptp disabled=yes" >> /tmp/vpn_26.254.rsc
;;
15)
echo "/ppp secret add name=$login password=\"$pasw\" profile=default service=pptp disabled=yes" >> /tmp/vpn_26.253.rsc
;;
16)
echo "/ppp secret add name=$login password=\"$pasw\" profile=default service=pptp disabled=yes" >> /tmp/vpn_26.252.rsc
;;
;;
esac
fi
done < /tmp/vpn_conn.txt
for ip in 26.254 26.253 26.252
do
if [ -s /tmp/vpn_$ip.rsc ]
then
sed -i 's/\$/\\$/g;s/(/\\28/g;s/)/\\29/g' /tmp/vpn_$ip.rsc
ncftpput -u admin -p password_nas 192.168.$ip / /tmp/vpn_$ip.rsc
sleep 5
export SSH_ASKPASS="/root/p.sh"
export DISPLAY=":0"
setsid ssh admin@192.168.$ip "import vpn_$ip.rsc"
else
:
fi
done
exit 0

Изменено 20 сентября, 2016 пользователем OK-2004

[Timax]

Для фрирадиуса почти нет готовых рецептов/конфигов, нужно разбираться самому.

Ваша хотелка это 3-5 строчек, но каких именно не подскажу, уже забыл синтаксис фрирадиуса. Что то на уровне запихать ok или accept в обработчик access запросов и может туда же какие то доп опции строчками выше добавить.

Жаль что не помните. Может подскажите где посмотреть??

[lidia]

Доброго времени суток. Нужно реализовать "тупое" резервирование биллинга, чтобы при его падение freeradius пускал всех в интернет, неважно с каким логином и паролем. Схема следующая: nas-mikrotik, абоненты поднимают pppoe. Может кто подсказать где почитать, или кто то уже реализовывал такую схему?? Знаю что это можно все сделать на freeradius, но пока поиски безуспешны.

 

Добрый день,

разработанный сервис, которому посвящена данная тема, полностью выполняет Ваши требования и прост в настройке и установке. Если интересно, напишите мне, я скину ссылку на него и документацию.

[saaremaa]

lidia, не могу найти в Вашем хедпдеске ссылку на сервис.

[lidia]

lidia, не могу найти в Вашем хедпдеске ссылку на сервис.

Версия 2.0.20, файлы lbarcd-bypass-1.0.0-*

[[anp/hsw]]

Жаль что не помните. Может подскажите где посмотреть??

1. Создаете пул failover, где основным будет ваш удаленный радиус, резервным - локальный.

2. На локальном радиусе отвечаете access-accept всем, и раздаете адреса из заранее заготовленого локального пула адресов.

 

Написать такой конфиг можно после получасового чтения wiki по freeradius.

Если вы и этого не можете осилить, то я вам могу помочь платно, пишите в ЛС :)

[saaremaa]

Версия 2.0.20, файлы lbarcd-bypass-1.0.0-*

Спасибо, глянул действительно удобно.

[Ivan_83]

Жаль что не помните. Может подскажите где посмотреть??

Вики, доки, и дефолтные конфиги перечитать с коментами.

[Saab95]

А что сетевые БД уже отменили? Ставите 2-3-4 радиус сервера, 1-2 сервера БД и все прекрасно работает без каких-то проблем, можно что угодно выключать и включать. А вообще лучше посмотреть как у крупных операторов узлы связи устроены.