nousaibot Опубликовано 12 июля, 2017 (изменено) Есть те у кого реализована схема Lanbilling + MX80 + IPoE, как авторизуете пользователей? (Авторизация по mac, opt82, qnq vlan и тд) поделитесь опытом. В нашей схеме на данный момент используется связка lanbilling, ISC DHCP Server, MX80 Bras dhcp relay авторизация по mac, планируем перейти с ISC DHCP на LBinet. У кого нибудь LBinet завелся в качестве dhcp relay? Похожую тему я уже создавал раньше, также завел ее на форуме lanbilling https://forum.lanbilling.ru/viewtopic.php?f=5&t=8250 Изменено 12 июля, 2017 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 (изменено) Адресация тестового стенда: IP 192.168.169.10/27 (Адрес аплинка) IP 192.168.168.50/30 (Адрес заведенный в radius) IP 192.168.168.7 (Billing, DHCP Server, Radius) IP 192.168.168.33/28 (Шлюз для клиентской подсети 192.168.169.1/28) IP 192.168.168.1/20 (Серая сеть для неавторизованных пользователей пул 192.168.169.0/20) set version 13.2R2.4 set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" proxy-arp set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface" set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address lo0.0 set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address preferred-source-address 192.168.168.50 set dynamic-profiles INET-SERVICE variables inBW default-value 10000K set dynamic-profiles INET-SERVICE variables outBW default-value 10000K set dynamic-profiles INET-SERVICE variables input-filter equals "'INET-' ## $inBW ## '-IN'" set dynamic-profiles INET-SERVICE variables output-filter equals "'INET-' ## $outBW ## '-OUT'" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" proxy-arp set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input "$input-filter" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 50 set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output "$output-filter" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 50 set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" proxy-arp set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface" set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input LK-IN set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 100 set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output accept-all set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 100 set system host-name test-mx80bras set system time-zone Europe/Moscow set system services dhcp-local-server traceoptions file dhcplog set system services dhcp-local-server traceoptions file size 2m set system services dhcp-local-server traceoptions file files 2 set system services dhcp-local-server traceoptions flag all deactivate system services dhcp-local-server traceoptions set system services dhcp-local-server pool-match-order external-authority set system services dhcp-local-server pool-match-order ip-address-first set system services dhcp-local-server authentication password rsecret set system services dhcp-local-server authentication username-include mac-address set system services dhcp-local-server group local dynamic-profile IPoE-session-profile set system services dhcp-local-server group local interface ge-1/0/1.103 deactivate system services dhcp-local-server group local interface ge-1/0/1.103 set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system processes general-authentication-service traceoptions file authlog set system processes general-authentication-service traceoptions file size 2m set system processes general-authentication-service traceoptions file files 2 set system processes general-authentication-service traceoptions flag address-assignment set system processes general-authentication-service traceoptions flag framework set system processes general-authentication-service traceoptions flag local-authentication set system processes general-authentication-service traceoptions flag radius set system processes general-authentication-service traceoptions flag configuration set chassis aggregated-devices ethernet device-count 2 set chassis network-services enhanced-ip set access-profile LB set interfaces ge-1/0/0 unit 0 family inet address 192.168.169.10/27 set interfaces ge-1/0/1 vlan-tagging set interfaces ge-1/0/1 unit 102 vlan-id 102 set interfaces ge-1/0/1 unit 103 demux-source inet set interfaces ge-1/0/1 unit 103 proxy-arp set interfaces ge-1/0/1 unit 103 vlan-id 103 set interfaces ge-1/0/1 unit 103 family inet unnumbered-address lo0.0 set interfaces ge-1/0/1 unit 103 family inet unnumbered-address preferred-source-address 192.168.168.50 set interfaces lo0 unit 0 family inet address 192.168.168.50/32 set interfaces lo0 unit 0 family inet address 192.168.168.33/32 set interfaces lo0 unit 0 family inet address 192.168.169.1/32 set forwarding-options dhcp-relay traceoptions file dhcprelay set forwarding-options dhcp-relay traceoptions file size 2m set forwarding-options dhcp-relay traceoptions file files 2 set forwarding-options dhcp-relay traceoptions flag packet set forwarding-options dhcp-relay server-group LB 192.168.168.7 set forwarding-options dhcp-relay server-group ISC_DHCP 192.168.168.7 set forwarding-options dhcp-relay group local active-server-group ISC_DHCP set forwarding-options dhcp-relay group local authentication password rsecret set forwarding-options dhcp-relay group local authentication username-include mac-address set forwarding-options dhcp-relay group local dynamic-profile IPoE-session-profile set forwarding-options dhcp-relay group local overrides trust-option-82 set forwarding-options dhcp-relay group local interface ge-1/0/1.103 set routing-options interface-routes rib-group inet HTTP-RIB-GROUP set routing-options static route 0.0.0.0/0 next-hop 192.168.167.1 set routing-options rib-groups HTTP-RIB-GROUP import-rib inet.0 set routing-options rib-groups HTTP-RIB-GROUP import-rib CAPTIVE-PORTAL.inet.0 set firewall family inet filter LK-IN interface-specific set firewall family inet filter LK-IN term 1 from service-filter-hit set firewall family inet filter LK-IN term 1 then accept set firewall family inet filter LK-IN term 2 from destination-address 192.168.168.7/32 set firewall family inet filter LK-IN term 2 then service-filter-hit set firewall family inet filter LK-IN term 3 from destination-port domain set firewall family inet filter LK-IN term 3 then service-filter-hit set firewall family inet filter LK-IN term 3 then accept set firewall family inet filter LK-IN term 4 from protocol icmp set firewall family inet filter LK-IN term 4 then service-filter-hit set firewall family inet filter LK-IN term 4 then accept set firewall family inet filter LK-IN term 5 from protocol tcp set firewall family inet filter LK-IN term 5 from destination-port http set firewall family inet filter LK-IN term 5 then service-filter-hit set firewall family inet filter LK-IN term 5 then routing-instance CAPTIVE-PORTAL set firewall family inet filter accept-all interface-specific set firewall family inet filter accept-all term 1 then service-filter-hit set firewall family inet filter accept-all term 1 then accept set firewall policer POLICER-5M filter-specific set firewall policer POLICER-5M if-exceeding bandwidth-limit 5m set firewall policer POLICER-5M if-exceeding burst-size-limit 256k set firewall policer POLICER-5M then discard set firewall filter INET-5M-IN interface-specific set firewall filter INET-5M-IN term 1 from service-filter-hit set firewall filter INET-5M-IN term 1 then accept set firewall filter INET-5M-IN term 2 then policer POLICER-5M set firewall filter INET-5M-IN term 2 then service-filter-hit set firewall filter INET-5M-IN term 2 then accept set firewall filter INET-5M-IN term ALL then accept set firewall filter INET-5M-OUT interface-specific set firewall filter INET-5M-OUT term 1 from service-filter-hit set firewall filter INET-5M-OUT term 1 then accept set firewall filter INET-5M-OUT term 2 then policer POLICER-5M set firewall filter INET-5M-OUT term 2 then service-filter-hit set firewall filter INET-5M-OUT term 2 then accept set firewall filter INET-5M-OUT term ALL then accept set access radius-server 192.168.168.7 secret "пароль" set access radius-server 192.168.168.7 source-address 192.168.168.50 set access profile LB accounting-order radius set access profile LB authentication-order radius set access profile LB radius authentication-server 192.168.168.7 set access profile LB radius accounting-server 192.168.168.7 set access profile LB accounting order radius set access profile LB accounting immediate-update set access profile LB accounting update-interval 10 set access profile LB accounting statistics volume-time set access address-assignment pool Pool1 family inet network 192.168.168.32/28 set access address-assignment pool Pool1 family inet range 1 low 192.168.168.34 set access address-assignment pool Pool1 family inet range 1 high 192.168.168.46 set access address-assignment pool Pool1 family inet dhcp-attributes maximum-lease-time 3600 set access address-assignment pool Pool1 family inet dhcp-attributes domain-name terralink.su set access address-assignment pool Pool1 family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool Pool1 family inet dhcp-attributes name-server 77.88.8.8 set access address-assignment pool Pool1 family inet dhcp-attributes router 192.168.168.33 set access address-assignment pool Pool1 family inet host staticuser1_example hardware-address "мак адрес" set access address-assignment pool Pool1 family inet host staticuser1_example ip-address 192.168.168.34 set access address-assignment pool Blocked family inet network 192.168.169.0/20 set access address-assignment pool Blocked family inet range 1 low 192.168.169.2 set access address-assignment pool Blocked family inet range 1 high 192.168.175.254 set access address-assignment pool Blocked family inet dhcp-attributes maximum-lease-time 3600 set access address-assignment pool Blocked family inet dhcp-attributes domain-name terralink.su set access address-assignment pool Blocked family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool Blocked family inet dhcp-attributes name-server 77.88.8.8 set access address-assignment pool Blocked family inet dhcp-attributes router 192.168.169.1 set routing-instances CAPTIVE-PORTAL instance-type virtual-router set routing-instances CAPTIVE-PORTAL interface ge-1/0/1.102 set routing-instances CAPTIVE-PORTAL routing-options static route 0.0.0.0/0 next-hop 1.1.1.2 set routing-instances CAPTIVE-PORTAL routing-options static route 0.0.0.0/0 retain set routing-instances INET forwarding-options dhcp-relay server-group nzr 192.168.169.2 set applications application junos-rsh application-protocol shell set applications application junos-rsh protocol tcp set applications application junos-rsh destination-port 514 set applications application exec application-protocol exec set applications application exec protocol tcp set applications application exec destination-port 512 set applications application junos-rlogin application-protocol shell set applications application junos-rlogin protocol tcp set applications application junos-rlogin destination-port 513 Изменено 11 декабря, 2019 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cold Опубликовано 12 июля, 2017 Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 12 июля, 2017 Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua/wiki/doku.php/abills:docs:nas:cisco_isg:ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua/wiki/doku.php/abills:docs:nas:cisco_isg:ru Да это я видел, может у кого есть варианты получше. Abills-сом я пользовался, версия была постарей но впечатления о гибкости и документированности о нем у меня остались лучше чем от lanbilling Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 12 июля, 2017 Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua...as:cisco_isg:ru Да это я видел, может у кого есть варианты получше. Abills-сом я пользовался, версия была постарей но впечатления о гибкости и документированности о нем у меня остались лучше чем от lanbilling у меня просто в отличии от его конфига тока VRF добавлены , а это гемор с циско ( там куча ограничений и багов ((( ) Так что юзать можно, я даже знаю в каких ISP этот конфиг крутиться )) И их не мало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 shafiev Мне нужен рабочий конфиг mx80 bras, ipoe, cisco мне не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 июля, 2017 shafiev Мне нужен рабочий конфиг mx80 bras, ipoe, cisco мне не нужен. Нео проснись, серебренной пули не существует люди годами сращивают свой билинг с топовой железкой. Возможно ты первопроходец и не кто в СНГ такое не делал, я тебе скидывал ссылки там есть костыль и думаю для тебя это самый верный вариант через COA досылать атрибуты сприптом да немного больше уйдет лицензий на сабстрайберов, но по другому не как. Тебе нат нужен? З.Ы. Собрал PPPoE + UTM5 через скрипты COA конфиг на 5к строк + уперся в логирование ната, руководству показалось дорого покупать коллекторы под нат если руками писать правила ната то это еще 1к строк :D. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 pingz NAT мне не нужен, сабскрайберов станет больше на каждую dhcp сессию? Сейчас на боевом bras у меня все работает с внешним isc dhcp server, изначально хотел прикрутить вместо него lbinet, сделать это не представляется возможным поскольку я использую ip unnumbered и несколько подсетей, dhcp запросы приходят c адреса bras и lbinet не хочет выдавать адреса из других подсетей. Из общения с тех поддержкой: Статической привязки MAC к IP нет, агент пытается найти из какой подсети выдать адрес на основе адреса dhcp-relay giaddr=192.168.168.50 Но перебрав все пуллы, не находит ни одного подходящего, поскльку адрес 192.168.168.50 сейчас не входит ни в один из пуллов. Нужно или создать статическую привязку MAC-IP, или присылать в качестве giaddr IP адрес принадлежащей той подсети из которой нужно выдать динамический IP. Предлагают использовать отдельный сабинтерфейс на пул, что крайне не удобно, придется дробить сеть и пропадает всякая необходимость в ip unnumbered Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 (изменено) pingz Про нео я надеюсь ты не мне, есть что сказать по делу пиши, нет давай до свиданья... Я конфиг выложил может кому пригодится, как решить проблему я знаю но чужой пример реализации не помешает, может станет меньше костылей. Изменено 13 июля, 2017 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 13 июля, 2017 nousaibot у нас ipoe на dhcp-local-server с авторизацией в радиусе по SVID-VID. Кмк, это наиболее оптимальная схема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 Еще пример с dhcp-local server https://github.com/mirceaulinic/junos-dhcp-subs purecopper Если можно пример конфига. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 13 июля, 2017 nousaibot Да пожалуйста. Здесь используется opt82, но её можно убрать show system services dhcp-local-server inactive: dhcpv6 { authentication { password 12345; username-include { delimiter "&"; user-prefix ipv6subscriber; interface-name; } } overrides { delegated-pool v6-pd-pool; } group ipv6-stacked-subscribers { dynamic-profile IP-DHCP-PROFILE-1; interface ae0.0; } } pool-match-order { ip-address-first; } duplicate-clients-in-subnet incoming-interface; authentication { password 123; username-include { delimiter "&"; option-82 circuit-id remote-id; interface-name; } } overrides { client-discover-match incoming-interface; } group 1 { dynamic-profile IP-DHCP-PROFILE-1; interface ae0.0; } show access address-assignment pool 192-168-1-0 { family inet { network 192.168.1.0/22; range 1 { low 192.168.1.2; high 192.168.1.254; } dhcp-attributes { maximum-lease-time 180; domain-name ivstar.local; name-server { 192.168.2.2; 192.168.2.3; } router { 192.168.1.1; } } } } Абоненту отдаем Framed-IP-Address и Framed-IP-Netmask Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 Поднял на dhcp-local сессия поднялась. Изменения которые нужно произвести: delete forwarding-options dhcp-relay traceoptions file dhcprelay delete forwarding-options dhcp-relay traceoptions file size 2m delete forwarding-options dhcp-relay traceoptions file files 2 delete forwarding-options dhcp-relay traceoptions flag packet delete forwarding-options dhcp-relay server-group LB 192.168.168.7 delete forwarding-options dhcp-relay server-group ISC_DHCP 192.168.168.7 delete forwarding-options dhcp-relay group local active-server-group ISC_DHCP delete forwarding-options dhcp-relay group local authentication password mxsecret delete forwarding-options dhcp-relay group local authentication username-include mac-address delete forwarding-options dhcp-relay group local dynamic-profile IPoE-session-profile delete forwarding-options dhcp-relay group local overrides trust-option-82 delete forwarding-options dhcp-relay group local interface ge-1/0/1.103 set system services dhcp-local-server pool-match-order external-authority set system services dhcp-local-server pool-match-order ip-address-first set system services dhcp-local-server authentication password mxsecret set system services dhcp-local-server authentication username-include mac-address set system services dhcp-local-server group local dynamic-profile IPoE-session-profile set system services dhcp-local-server group local interface ge-1/0/1.103 set system services dhcp-local-server group local interface demux0.0 purecopper Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 13 июля, 2017 nousaibot нзчт :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 purecopper Можно узнать версию прошивки mx? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 14 июля, 2017 nousaibot да пожалуйста Junos: 15.1R5-S4.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 14 июля, 2017 (изменено) Может кому будет полезен, скрипт сброса сессий. vg.stop #!/bin/bash LOG='/usr/local/billing/scripts/vg.log' PARAMS="$*" RADCLIENT='/usr/bin/radclient -t1 -r1 -c1 -x' SESSION_ID="$1" echo "[`date +'%d-%m-%Y %H:%M:%S'`] VG.STOP - ${PARAMS} ">> ${LOG} echo "Acct-Session-Id =\"${SESSION_ID}\"" | ${RADCLIENT} 192.168.168.50:3799 disconnect radsecret >> ${LOG} Изменено 14 июля, 2017 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 17 июля, 2017 Тема благополучно заглохла) purecopper Поскольку вы единственный кто проявляет активность, могу я узнать как блокируете абонентов, используете пулы для не авторизованных и заблокированных пользователей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ima Опубликовано 17 июля, 2017 Мы используем гостевые сети, но у нас PPPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 17 июля, 2017 ima Пул адресов в vrf заворачиваете? Есть редирект на личный кабинет? Если есть возможность киньте конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 17 июля, 2017 (изменено) nousaibot Мы накладываем сервис типа INET-OFF chassis { aggregated-devices { ethernet { device-count 3; } } fpc 0 { pic 0 { inline-services { bandwidth 10g; <- так делать не надо ) } } } network-services enhanced-ip; } services { captive-portal-content-delivery { rule R1 { match-direction input; term 1 { then { redirect http://block.page; } } } profile P1 { cpcd-rules R1; } } service-set SS1 { service-set-options { subscriber-awareness; routing-engine-services; } captive-portal-content-delivery-profile P1; interface-service { service-interface si-0/0/0; } } } firewall { family inet { service-filter skip { term 1 { then skip; } } service-filter walled { term portal { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then skip; } term redirect { from { protocol tcp; destination-port [ 80 443 8080 ]; } then service; } term skip { then skip; } } dynamic-profile { INET_OFF { variables { filter_in uid; filter_in_v6 uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet { filter { input "$filter_in" precedence 50; } service { input { service-set SS1 service-filter walled; } output { service-set SS1 service-filter skip; } } } } } } firewall { family inet { filter "$filter_in" { interface-specific; term 1 { from { protocol udp; port bootpc; } then accept; } term 2 { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then accept; } term 3 { from { destination-address { 8.8.8.8/32; 8.8.4.4/32; 77.88.8.8/32; 77.88.8.1/32; 77.88.8.88/32; 77.88.8.2/32; 77.88.8.7/32; 77.88.8.3/32; } protocol udp; port 53; } then accept; } term 4 { from { protocol tcp; destination-port 80; } then accept; } term 100 { then { reject administratively-prohibited; } } } } } } } Изменено 17 июля, 2017 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ima Опубликовано 18 июля, 2017 ima Пул адресов в vrf заворачиваете? Есть редирект на личный кабинет? Если есть возможность киньте конфиг. Прошу прощения. Забыл указать, что у нас абоненты авторизуются на MikroTik. Там же и происходят редиректы для гостевых сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 18 июля, 2017 purecopper Спасибо. С вами приятно иметь дело) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...