[nousaibot]

Есть те у кого реализована схема Lanbilling + MX80 + IPoE, как авторизуете пользователей? (Авторизация по mac, opt82, qnq vlan и тд) поделитесь опытом.

В нашей схеме на данный момент используется связка lanbilling, ISC DHCP Server, MX80 Bras dhcp relay авторизация по mac, планируем перейти с ISC DHCP на LBinet.

У кого нибудь LBinet завелся в качестве dhcp relay?

 

Похожую тему я уже создавал раньше, также завел ее на форуме lanbilling https://forum.lanbilling.ru/viewtopic.php?f=5&t=8250

Edited July 12, 2017 by nousaibot

[nousaibot]

Адресация тестового стенда:

 

IP 192.168.169.10/27 (Адрес аплинка)

IP 192.168.168.50/30 (Адрес заведенный в radius)

IP 192.168.168.7 (Billing, DHCP Server, Radius)

 

IP 192.168.168.33/28 (Шлюз для клиентской подсети 192.168.169.1/28)

IP 192.168.168.1/20 (Серая сеть для неавторизованных пользователей пул 192.168.169.0/20)

 

set version 13.2R2.4

set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" proxy-arp

set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface"

set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address

set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address lo0.0

set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address preferred-source-address 192.168.168.50

set dynamic-profiles INET-SERVICE variables inBW default-value 10000K

set dynamic-profiles INET-SERVICE variables outBW default-value 10000K

set dynamic-profiles INET-SERVICE variables input-filter equals "'INET-' ## $inBW ## '-IN'"

set dynamic-profiles INET-SERVICE variables output-filter equals "'INET-' ## $outBW ## '-OUT'"

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" proxy-arp

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface"

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input "$input-filter"

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 50

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output "$output-filter"

set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 50

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" proxy-arp

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface"

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input LK-IN

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 100

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output accept-all

set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 100

set system host-name test-mx80bras

set system time-zone Europe/Moscow

 

set system services dhcp-local-server traceoptions file dhcplog

set system services dhcp-local-server traceoptions file size 2m

set system services dhcp-local-server traceoptions file files 2

set system services dhcp-local-server traceoptions flag all

deactivate system services dhcp-local-server traceoptions

set system services dhcp-local-server pool-match-order external-authority

set system services dhcp-local-server pool-match-order ip-address-first

set system services dhcp-local-server authentication password rsecret

set system services dhcp-local-server authentication username-include mac-address

set system services dhcp-local-server group local dynamic-profile IPoE-session-profile

set system services dhcp-local-server group local interface ge-1/0/1.103

deactivate system services dhcp-local-server group local interface ge-1/0/1.103

set system syslog user * any emergency

set system syslog file messages any notice

set system syslog file messages authorization info

set system processes general-authentication-service traceoptions file authlog

set system processes general-authentication-service traceoptions file size 2m

set system processes general-authentication-service traceoptions file files 2

set system processes general-authentication-service traceoptions flag address-assignment

set system processes general-authentication-service traceoptions flag framework

set system processes general-authentication-service traceoptions flag local-authentication

set system processes general-authentication-service traceoptions flag radius

set system processes general-authentication-service traceoptions flag configuration

set chassis aggregated-devices ethernet device-count 2

set chassis network-services enhanced-ip

set access-profile LB

 

set interfaces ge-1/0/0 unit 0 family inet address 192.168.169.10/27

set interfaces ge-1/0/1 vlan-tagging

set interfaces ge-1/0/1 unit 102 vlan-id 102

set interfaces ge-1/0/1 unit 103 demux-source inet

set interfaces ge-1/0/1 unit 103 proxy-arp

set interfaces ge-1/0/1 unit 103 vlan-id 103

set interfaces ge-1/0/1 unit 103 family inet unnumbered-address lo0.0

set interfaces ge-1/0/1 unit 103 family inet unnumbered-address preferred-source-address 192.168.168.50

set interfaces lo0 unit 0 family inet address 192.168.168.50/32

set interfaces lo0 unit 0 family inet address 192.168.168.33/32

set interfaces lo0 unit 0 family inet address 192.168.169.1/32

 

 

set forwarding-options dhcp-relay traceoptions file dhcprelay

set forwarding-options dhcp-relay traceoptions file size 2m

set forwarding-options dhcp-relay traceoptions file files 2

set forwarding-options dhcp-relay traceoptions flag packet

set forwarding-options dhcp-relay server-group LB 192.168.168.7

set forwarding-options dhcp-relay server-group ISC_DHCP 192.168.168.7

set forwarding-options dhcp-relay group local active-server-group ISC_DHCP

set forwarding-options dhcp-relay group local authentication password rsecret

set forwarding-options dhcp-relay group local authentication username-include mac-address

set forwarding-options dhcp-relay group local dynamic-profile IPoE-session-profile

set forwarding-options dhcp-relay group local overrides trust-option-82

set forwarding-options dhcp-relay group local interface ge-1/0/1.103

 

set routing-options interface-routes rib-group inet HTTP-RIB-GROUP

set routing-options static route 0.0.0.0/0 next-hop 192.168.167.1

set routing-options rib-groups HTTP-RIB-GROUP import-rib inet.0

set routing-options rib-groups HTTP-RIB-GROUP import-rib CAPTIVE-PORTAL.inet.0

 

set firewall family inet filter LK-IN interface-specific

set firewall family inet filter LK-IN term 1 from service-filter-hit

set firewall family inet filter LK-IN term 1 then accept

set firewall family inet filter LK-IN term 2 from destination-address 192.168.168.7/32

set firewall family inet filter LK-IN term 2 then service-filter-hit

set firewall family inet filter LK-IN term 3 from destination-port domain

set firewall family inet filter LK-IN term 3 then service-filter-hit

set firewall family inet filter LK-IN term 3 then accept

set firewall family inet filter LK-IN term 4 from protocol icmp

set firewall family inet filter LK-IN term 4 then service-filter-hit

set firewall family inet filter LK-IN term 4 then accept

set firewall family inet filter LK-IN term 5 from protocol tcp

set firewall family inet filter LK-IN term 5 from destination-port http

set firewall family inet filter LK-IN term 5 then service-filter-hit

set firewall family inet filter LK-IN term 5 then routing-instance CAPTIVE-PORTAL

set firewall family inet filter accept-all interface-specific

set firewall family inet filter accept-all term 1 then service-filter-hit

set firewall family inet filter accept-all term 1 then accept

 

 

set firewall policer POLICER-5M filter-specific

set firewall policer POLICER-5M if-exceeding bandwidth-limit 5m

set firewall policer POLICER-5M if-exceeding burst-size-limit 256k

set firewall policer POLICER-5M then discard

 

set firewall filter INET-5M-IN interface-specific

set firewall filter INET-5M-IN term 1 from service-filter-hit

set firewall filter INET-5M-IN term 1 then accept

set firewall filter INET-5M-IN term 2 then policer POLICER-5M

set firewall filter INET-5M-IN term 2 then service-filter-hit

set firewall filter INET-5M-IN term 2 then accept

set firewall filter INET-5M-IN term ALL then accept

set firewall filter INET-5M-OUT interface-specific

set firewall filter INET-5M-OUT term 1 from service-filter-hit

set firewall filter INET-5M-OUT term 1 then accept

set firewall filter INET-5M-OUT term 2 then policer POLICER-5M

set firewall filter INET-5M-OUT term 2 then service-filter-hit

set firewall filter INET-5M-OUT term 2 then accept

set firewall filter INET-5M-OUT term ALL then accept

 

set access radius-server 192.168.168.7 secret "пароль"

set access radius-server 192.168.168.7 source-address 192.168.168.50

set access profile LB accounting-order radius

set access profile LB authentication-order radius

set access profile LB radius authentication-server 192.168.168.7

set access profile LB radius accounting-server 192.168.168.7

set access profile LB accounting order radius

set access profile LB accounting immediate-update

set access profile LB accounting update-interval 10

set access profile LB accounting statistics volume-time

 

set access address-assignment pool Pool1 family inet network 192.168.168.32/28

set access address-assignment pool Pool1 family inet range 1 low 192.168.168.34

set access address-assignment pool Pool1 family inet range 1 high 192.168.168.46

set access address-assignment pool Pool1 family inet dhcp-attributes maximum-lease-time 3600

set access address-assignment pool Pool1 family inet dhcp-attributes domain-name terralink.su

set access address-assignment pool Pool1 family inet dhcp-attributes name-server 8.8.8.8

set access address-assignment pool Pool1 family inet dhcp-attributes name-server 77.88.8.8

set access address-assignment pool Pool1 family inet dhcp-attributes router 192.168.168.33

set access address-assignment pool Pool1 family inet host staticuser1_example hardware-address "мак адрес"

set access address-assignment pool Pool1 family inet host staticuser1_example ip-address 192.168.168.34

set access address-assignment pool Blocked family inet network 192.168.169.0/20

set access address-assignment pool Blocked family inet range 1 low 192.168.169.2

set access address-assignment pool Blocked family inet range 1 high 192.168.175.254

set access address-assignment pool Blocked family inet dhcp-attributes maximum-lease-time 3600

set access address-assignment pool Blocked family inet dhcp-attributes domain-name terralink.su

set access address-assignment pool Blocked family inet dhcp-attributes name-server 8.8.8.8

set access address-assignment pool Blocked family inet dhcp-attributes name-server 77.88.8.8

set access address-assignment pool Blocked family inet dhcp-attributes router 192.168.169.1

 

set routing-instances CAPTIVE-PORTAL instance-type virtual-router

set routing-instances CAPTIVE-PORTAL interface ge-1/0/1.102

set routing-instances CAPTIVE-PORTAL routing-options static route 0.0.0.0/0 next-hop 1.1.1.2

set routing-instances CAPTIVE-PORTAL routing-options static route 0.0.0.0/0 retain

set routing-instances INET forwarding-options dhcp-relay server-group nzr 192.168.169.2

set applications application junos-rsh application-protocol shell

set applications application junos-rsh protocol tcp

set applications application junos-rsh destination-port 514

set applications application exec application-protocol exec

set applications application exec protocol tcp

set applications application exec destination-port 512

set applications application junos-rlogin application-protocol shell

set applications application junos-rlogin protocol tcp

set applications application junos-rlogin destination-port 513

Edited December 11, 2019 by nousaibot

[Cold]

Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт

Чессно, встроеный LBinet тот еще гемор.

[nousaibot]

Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт

Чессно, встроеный LBinet тот еще гемор.

 

Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно.

 

Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80.

[shafiev]

Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт

Чессно, встроеный LBinet тот еще гемор.

 

Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно.

 

Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80.

 

 

По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua/wiki/doku.php/abills:docs:nas:cisco_isg:ru

[nousaibot]

Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт

Чессно, встроеный LBinet тот еще гемор.

 

Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно.

 

Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80.

 

 

По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua/wiki/doku.php/abills:docs:nas:cisco_isg:ru

 

 

Да это я видел, может у кого есть варианты получше. Abills-сом я пользовался, версия была постарей но впечатления о гибкости и документированности о нем у меня остались лучше чем от lanbilling

[shafiev]

Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт

Чессно, встроеный LBinet тот еще гемор.

 

Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно.

 

Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80.

 

 

По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua...as:cisco_isg:ru

 

 

Да это я видел, может у кого есть варианты получше. Abills-сом я пользовался, версия была постарей но впечатления о гибкости и документированности о нем у меня остались лучше чем от lanbilling

 

у меня просто в отличии от его конфига тока VRF добавлены , а это гемор с циско ( там куча ограничений и багов ((( )

Так что юзать можно, я даже знаю в каких ISP этот конфиг крутиться )) И их не мало

[nousaibot]

shafiev

Мне нужен рабочий конфиг mx80 bras, ipoe, cisco мне не нужен.

[pingz]

shafiev

Мне нужен рабочий конфиг mx80 bras, ipoe, cisco мне не нужен.

Нео проснись, серебренной пули не существует люди годами сращивают свой билинг с топовой железкой. Возможно ты первопроходец и не кто в СНГ такое не делал, я тебе скидывал ссылки там есть костыль и думаю для тебя это самый верный вариант через COA досылать атрибуты сприптом да немного больше уйдет лицензий на сабстрайберов, но по другому не как.

Тебе нат нужен?

 

З.Ы. Собрал PPPoE + UTM5 через скрипты COA конфиг на 5к строк + уперся в логирование ната, руководству показалось дорого покупать коллекторы под нат если руками писать правила ната то это еще 1к строк :D.

[nousaibot]

pingz

 

NAT мне не нужен, сабскрайберов станет больше на каждую dhcp сессию? Сейчас на боевом bras у меня все работает с внешним isc dhcp server, изначально хотел прикрутить вместо него lbinet, сделать это не представляется возможным поскольку я использую ip unnumbered и несколько подсетей, dhcp запросы приходят c адреса bras и lbinet не хочет выдавать адреса из других подсетей.

 

Из общения с тех поддержкой:

Статической привязки MAC к IP нет, агент пытается найти из какой подсети выдать адрес на основе адреса dhcp-relay giaddr=192.168.168.50 Но перебрав все пуллы, не находит ни одного подходящего, поскльку адрес 192.168.168.50 сейчас не входит ни в один из пуллов.

Нужно или создать статическую привязку MAC-IP, или присылать в качестве giaddr IP адрес принадлежащей той подсети из которой нужно выдать динамический IP.

 

Предлагают использовать отдельный сабинтерфейс на пул, что крайне не удобно, придется дробить сеть и пропадает всякая необходимость в ip unnumbered

[nousaibot]

pingz

Про нео я надеюсь ты не мне, есть что сказать по делу пиши, нет давай до свиданья...

Я конфиг выложил может кому пригодится, как решить проблему я знаю но чужой пример реализации не помешает, может станет меньше костылей.

Edited July 13, 2017 by nousaibot

[purecopper]

nousaibot

у нас ipoe на dhcp-local-server с авторизацией в радиусе по SVID-VID. Кмк, это наиболее оптимальная схема.

[nousaibot]

Еще пример с dhcp-local server

https://github.com/mirceaulinic/junos-dhcp-subs

 

purecopper

Если можно пример конфига.

[purecopper]

nousaibot

Да пожалуйста. Здесь используется opt82, но её можно убрать

 show system services dhcp-local-server
inactive: dhcpv6 {
   authentication {
       password 12345;
       username-include {
           delimiter "&";
           user-prefix ipv6subscriber;
           interface-name;
       }
   }
   overrides {
       delegated-pool v6-pd-pool;
   }
   group ipv6-stacked-subscribers {
       dynamic-profile IP-DHCP-PROFILE-1;
       interface ae0.0;
   }
}
pool-match-order {
   ip-address-first;
}
duplicate-clients-in-subnet incoming-interface;
authentication {
   password 123;
   username-include {
       delimiter "&";
       option-82 circuit-id remote-id;
       interface-name;
   }
}
overrides {
   client-discover-match incoming-interface;
}
group 1 {
   dynamic-profile IP-DHCP-PROFILE-1;
   interface ae0.0;
}

 

show access address-assignment

pool 192-168-1-0 {
   family inet {
       network 192.168.1.0/22;
       range 1 {
           low 192.168.1.2;
           high 192.168.1.254;
       }
       dhcp-attributes {
           maximum-lease-time 180;
           domain-name ivstar.local;
           name-server {
               192.168.2.2;
               192.168.2.3;
           }
           router {
               192.168.1.1;
           }
       }
   }
}

 

Абоненту отдаем Framed-IP-Address и Framed-IP-Netmask

[nousaibot]

Поднял на dhcp-local сессия поднялась.

 

Изменения которые нужно произвести:

 

delete forwarding-options dhcp-relay traceoptions file dhcprelay

delete forwarding-options dhcp-relay traceoptions file size 2m

delete forwarding-options dhcp-relay traceoptions file files 2

delete forwarding-options dhcp-relay traceoptions flag packet

delete forwarding-options dhcp-relay server-group LB 192.168.168.7

delete forwarding-options dhcp-relay server-group ISC_DHCP 192.168.168.7

delete forwarding-options dhcp-relay group local active-server-group ISC_DHCP

delete forwarding-options dhcp-relay group local authentication password mxsecret

delete forwarding-options dhcp-relay group local authentication username-include mac-address

delete forwarding-options dhcp-relay group local dynamic-profile IPoE-session-profile

delete forwarding-options dhcp-relay group local overrides trust-option-82

delete forwarding-options dhcp-relay group local interface ge-1/0/1.103

 

set system services dhcp-local-server pool-match-order external-authority

set system services dhcp-local-server pool-match-order ip-address-first

set system services dhcp-local-server authentication password mxsecret

set system services dhcp-local-server authentication username-include mac-address

set system services dhcp-local-server group local dynamic-profile IPoE-session-profile

set system services dhcp-local-server group local interface ge-1/0/1.103

set system services dhcp-local-server group local interface demux0.0

 

purecopper

Спасибо.

[purecopper]

nousaibot нзчт :)

[nousaibot]

purecopper

Можно узнать версию прошивки mx?

[purecopper]

nousaibot да пожалуйста

Junos: 15.1R5-S4.2

[nousaibot]

Может кому будет полезен, скрипт сброса сессий.

vg.stop

 

#!/bin/bash

LOG='/usr/local/billing/scripts/vg.log'

PARAMS="$*"

RADCLIENT='/usr/bin/radclient -t1 -r1 -c1 -x'

SESSION_ID="$1"

 

echo "[`date +'%d-%m-%Y %H:%M:%S'`] VG.STOP - ${PARAMS} ">> ${LOG}

echo "Acct-Session-Id =\"${SESSION_ID}\"" | ${RADCLIENT} 192.168.168.50:3799 disconnect radsecret >> ${LOG}

Edited July 14, 2017 by nousaibot

[nousaibot]

Тема благополучно заглохла)

 

purecopper

Поскольку вы единственный кто проявляет активность, могу я узнать как блокируете абонентов, используете пулы для не авторизованных и заблокированных пользователей?

[ima]

Мы используем гостевые сети, но у нас PPPoE

[nousaibot]

ima

Пул адресов в vrf заворачиваете? Есть редирект на личный кабинет?

Если есть возможность киньте конфиг.

[purecopper]

nousaibot

Мы накладываем сервис типа INET-OFF

chassis {
   aggregated-devices {
       ethernet {
           device-count 3;
       }
   }
   fpc 0 {
       pic 0 {
           inline-services {
               bandwidth 10g; <- так делать не надо ) 
           }
       }
   }
   network-services enhanced-ip;
}

services {
   captive-portal-content-delivery {
       rule R1 {
           match-direction input;
           term 1 {
               then {
                   redirect http://block.page;
               }
           }
       }
       profile P1 {
           cpcd-rules R1;
       }
   }
   service-set SS1 {
       service-set-options {
           subscriber-awareness;
           routing-engine-services;
       }
       captive-portal-content-delivery-profile P1;
       interface-service {
           service-interface si-0/0/0;
       }
   }
}
firewall {
   family inet {
       service-filter skip {
           term 1 {
               then skip;
           }
       }
       service-filter walled {
           term portal {
               from {
                   destination-address {
                        Здесь ip адреса, куда пользователь может выйти
                   }
               }
               then skip;
           }
           term redirect {
               from {
                   protocol tcp;
                   destination-port [ 80 443 8080 ];
               }
               then service;
           }
           term skip {
               then skip;
           }
       }

dynamic-profile {
   INET_OFF {
       variables {
           filter_in uid;
           filter_in_v6 uid;
       }
       interfaces {
           "$junos-interface-ifd-name" {
               unit "$junos-interface-unit" {
                   family inet {
                       filter {
                           input "$filter_in" precedence 50;
                       }
                       service {
                           input {
                               service-set SS1 service-filter walled;
                           }
                           output {
                               service-set SS1 service-filter skip;
                           }
                       }
                   }
               }
           }
       }
       firewall {
           family inet {
               filter "$filter_in" {
                   interface-specific;
                   term 1 {
                       from {
                           protocol udp;
                           port bootpc;
                       }
                       then accept;
                   }
                   term 2 {
                       from {
                           destination-address {
                                Здесь ip адреса, куда пользователь может выйти
                           }
                       }
                       then accept;
                   }
                   term 3 {
                       from {
                           destination-address {
                               8.8.8.8/32;
                               8.8.4.4/32;
                               77.88.8.8/32;
                               77.88.8.1/32;
                               77.88.8.88/32;
                               77.88.8.2/32;
                               77.88.8.7/32;
                               77.88.8.3/32;
                           }
                           protocol udp;
                           port 53;
                       }
                       then accept;
                   }
                   term 4 {
                       from {
                           protocol tcp;
                           destination-port 80;
                       }
                       then accept;
                   }
                   term 100 {
                       then {
                           reject administratively-prohibited;
                       }
                   }
               }
           }
       }
   }
}

Edited July 17, 2017 by purecopper

[ima]

ima

Пул адресов в vrf заворачиваете? Есть редирект на личный кабинет?

Если есть возможность киньте конфиг.

 

Прошу прощения.

Забыл указать, что у нас абоненты авторизуются на MikroTik. Там же и происходят редиректы для гостевых сетей.

[nousaibot]

purecopper

Спасибо.

С вами приятно иметь дело)