Jump to content
Калькуляторы

RADIUS proxy (два разных радиуса) freeradius\radius-proxy\двойная проверка

Всем доброго подскажите как и с помошью чего можно реализовать схему:

 

Имеем:два разделенных радиус сервера (две РАЗНЫХ базы)+1 брас

 

Надо\хочется организовать радиус прокси таким способом чтобы вначале шла проверка у первого радиус сервера (если полуен ответ ACCEPT тогда пускать пользователя в нет,если получен отвер REJECT тогда проверять у второго радиус сервера,если первый дал REJECT а второй дал ACCEPT тогда пускать),скажем так пускать при любом ACCEPTе.

Вы спрашиваете зачем это все,отвечаю есть два билинга и не представляется возможным все быстро перенести с одного билинга на другой (вот и будет работать прокси на момент переноса)

Share this post


Link to post
Share on other sites

Вы описали только процесс аутентификации и авторизации, а как быть с аккаунтингом?

Share this post


Link to post
Share on other sites

акаунтинг также хотелосьбы слать через прокси (если вообще такое реализуемо),вы правы в любом случае мне пакетик ACCT-START нужен на билинге ибо без него сессия скрее всего не создастся.

Share this post


Link to post
Share on other sites

есть два билинга и не представляется возможным все быстро перенести с одного билинга на другой (вот и будет работать прокси на момент переноса)

Сегментировать сеть и переводить абонентов посегментно?

Брас ведь умеет обращаться к разным группам радиус-серверов?

Share this post


Link to post
Share on other sites

Брас ведь умеет обращаться к разным группам радиус-серверов? - нет (брас=accel-ppp)

Share this post


Link to post
Share on other sites

У некоторых клиентов радиус есть интересный формат ааа, типа user идет на дефолтный радиус, а формат user@radius2 идет на второй. Естественно эти оба радиуса должны быть в конфиге клиента.

 

Ну или жуткий костыллинг freeradius-а на предмет pre-autn

Share this post


Link to post
Share on other sites

С аккаунтингом проблем быть не должно , просто при авторизации вам нужно в access-acept добавить новый атрибут class с полем идентификатором радиуса. Тогда , когда вы будите получать аккаунтинг там обязан будет присутствовать этот аттрибут по которому вы сможете определить куда отправлять аккаунтинг.

 

Осталось только разобраться как реализовать схему с авторизацией , тот тут гугл даже выдает какието результаты пи поиске по "freeradius proxy to multiple servers"

Share this post


Link to post
Share on other sites

orlik

просто добавляется в pre-proxy unlang-код, который делает то, что вам надо

Share this post


Link to post
Share on other sites

 

просто добавляется в pre-proxy unlang-код, который делает то, что вам надо

 

Ну наверное просто :) , только это не мне нужно :)

Share this post


Link to post
Share on other sites

orlik

просто добавляется в pre-proxy unlang-код, который делает то, что вам надо

спасибо посмотрю

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this