nousaibot Опубликовано 12 июля, 2017 (изменено) · Жалоба Есть те у кого реализована схема Lanbilling + MX80 + IPoE, как авторизуете пользователей? (Авторизация по mac, opt82, qnq vlan и тд) поделитесь опытом. В нашей схеме на данный момент используется связка lanbilling, ISC DHCP Server, MX80 Bras dhcp relay авторизация по mac, планируем перейти с ISC DHCP на LBinet. У кого нибудь LBinet завелся в качестве dhcp relay? Похожую тему я уже создавал раньше, также завел ее на форуме lanbilling https://forum.lanbilling.ru/viewtopic.php?f=5&t=8250 Изменено 12 июля, 2017 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 (изменено) · Жалоба Адресация тестового стенда: IP 192.168.169.10/27 (Адрес аплинка) IP 192.168.168.50/30 (Адрес заведенный в radius) IP 192.168.168.7 (Billing, DHCP Server, Radius) IP 192.168.168.33/28 (Шлюз для клиентской подсети 192.168.169.1/28) IP 192.168.168.1/20 (Серая сеть для неавторизованных пользователей пул 192.168.169.0/20) set version 13.2R2.4 set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" proxy-arp set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface" set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address lo0.0 set dynamic-profiles IPoE-session-profile interfaces demux0 unit "$junos-interface-unit" family inet unnumbered-address preferred-source-address 192.168.168.50 set dynamic-profiles INET-SERVICE variables inBW default-value 10000K set dynamic-profiles INET-SERVICE variables outBW default-value 10000K set dynamic-profiles INET-SERVICE variables input-filter equals "'INET-' ## $inBW ## '-IN'" set dynamic-profiles INET-SERVICE variables output-filter equals "'INET-' ## $outBW ## '-OUT'" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" proxy-arp set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input "$input-filter" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 50 set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output "$output-filter" set dynamic-profiles INET-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 50 set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" proxy-arp set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" demux-options underlying-interface "$junos-underlying-interface" set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet demux-source $junos-subscriber-ip-address set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input LK-IN set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter input precedence 100 set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output accept-all set dynamic-profiles LK-SERVICE interfaces demux0 unit "$junos-interface-unit" family inet filter output precedence 100 set system host-name test-mx80bras set system time-zone Europe/Moscow set system services dhcp-local-server traceoptions file dhcplog set system services dhcp-local-server traceoptions file size 2m set system services dhcp-local-server traceoptions file files 2 set system services dhcp-local-server traceoptions flag all deactivate system services dhcp-local-server traceoptions set system services dhcp-local-server pool-match-order external-authority set system services dhcp-local-server pool-match-order ip-address-first set system services dhcp-local-server authentication password rsecret set system services dhcp-local-server authentication username-include mac-address set system services dhcp-local-server group local dynamic-profile IPoE-session-profile set system services dhcp-local-server group local interface ge-1/0/1.103 deactivate system services dhcp-local-server group local interface ge-1/0/1.103 set system syslog user * any emergency set system syslog file messages any notice set system syslog file messages authorization info set system processes general-authentication-service traceoptions file authlog set system processes general-authentication-service traceoptions file size 2m set system processes general-authentication-service traceoptions file files 2 set system processes general-authentication-service traceoptions flag address-assignment set system processes general-authentication-service traceoptions flag framework set system processes general-authentication-service traceoptions flag local-authentication set system processes general-authentication-service traceoptions flag radius set system processes general-authentication-service traceoptions flag configuration set chassis aggregated-devices ethernet device-count 2 set chassis network-services enhanced-ip set access-profile LB set interfaces ge-1/0/0 unit 0 family inet address 192.168.169.10/27 set interfaces ge-1/0/1 vlan-tagging set interfaces ge-1/0/1 unit 102 vlan-id 102 set interfaces ge-1/0/1 unit 103 demux-source inet set interfaces ge-1/0/1 unit 103 proxy-arp set interfaces ge-1/0/1 unit 103 vlan-id 103 set interfaces ge-1/0/1 unit 103 family inet unnumbered-address lo0.0 set interfaces ge-1/0/1 unit 103 family inet unnumbered-address preferred-source-address 192.168.168.50 set interfaces lo0 unit 0 family inet address 192.168.168.50/32 set interfaces lo0 unit 0 family inet address 192.168.168.33/32 set interfaces lo0 unit 0 family inet address 192.168.169.1/32 set forwarding-options dhcp-relay traceoptions file dhcprelay set forwarding-options dhcp-relay traceoptions file size 2m set forwarding-options dhcp-relay traceoptions file files 2 set forwarding-options dhcp-relay traceoptions flag packet set forwarding-options dhcp-relay server-group LB 192.168.168.7 set forwarding-options dhcp-relay server-group ISC_DHCP 192.168.168.7 set forwarding-options dhcp-relay group local active-server-group ISC_DHCP set forwarding-options dhcp-relay group local authentication password rsecret set forwarding-options dhcp-relay group local authentication username-include mac-address set forwarding-options dhcp-relay group local dynamic-profile IPoE-session-profile set forwarding-options dhcp-relay group local overrides trust-option-82 set forwarding-options dhcp-relay group local interface ge-1/0/1.103 set routing-options interface-routes rib-group inet HTTP-RIB-GROUP set routing-options static route 0.0.0.0/0 next-hop 192.168.167.1 set routing-options rib-groups HTTP-RIB-GROUP import-rib inet.0 set routing-options rib-groups HTTP-RIB-GROUP import-rib CAPTIVE-PORTAL.inet.0 set firewall family inet filter LK-IN interface-specific set firewall family inet filter LK-IN term 1 from service-filter-hit set firewall family inet filter LK-IN term 1 then accept set firewall family inet filter LK-IN term 2 from destination-address 192.168.168.7/32 set firewall family inet filter LK-IN term 2 then service-filter-hit set firewall family inet filter LK-IN term 3 from destination-port domain set firewall family inet filter LK-IN term 3 then service-filter-hit set firewall family inet filter LK-IN term 3 then accept set firewall family inet filter LK-IN term 4 from protocol icmp set firewall family inet filter LK-IN term 4 then service-filter-hit set firewall family inet filter LK-IN term 4 then accept set firewall family inet filter LK-IN term 5 from protocol tcp set firewall family inet filter LK-IN term 5 from destination-port http set firewall family inet filter LK-IN term 5 then service-filter-hit set firewall family inet filter LK-IN term 5 then routing-instance CAPTIVE-PORTAL set firewall family inet filter accept-all interface-specific set firewall family inet filter accept-all term 1 then service-filter-hit set firewall family inet filter accept-all term 1 then accept set firewall policer POLICER-5M filter-specific set firewall policer POLICER-5M if-exceeding bandwidth-limit 5m set firewall policer POLICER-5M if-exceeding burst-size-limit 256k set firewall policer POLICER-5M then discard set firewall filter INET-5M-IN interface-specific set firewall filter INET-5M-IN term 1 from service-filter-hit set firewall filter INET-5M-IN term 1 then accept set firewall filter INET-5M-IN term 2 then policer POLICER-5M set firewall filter INET-5M-IN term 2 then service-filter-hit set firewall filter INET-5M-IN term 2 then accept set firewall filter INET-5M-IN term ALL then accept set firewall filter INET-5M-OUT interface-specific set firewall filter INET-5M-OUT term 1 from service-filter-hit set firewall filter INET-5M-OUT term 1 then accept set firewall filter INET-5M-OUT term 2 then policer POLICER-5M set firewall filter INET-5M-OUT term 2 then service-filter-hit set firewall filter INET-5M-OUT term 2 then accept set firewall filter INET-5M-OUT term ALL then accept set access radius-server 192.168.168.7 secret "пароль" set access radius-server 192.168.168.7 source-address 192.168.168.50 set access profile LB accounting-order radius set access profile LB authentication-order radius set access profile LB radius authentication-server 192.168.168.7 set access profile LB radius accounting-server 192.168.168.7 set access profile LB accounting order radius set access profile LB accounting immediate-update set access profile LB accounting update-interval 10 set access profile LB accounting statistics volume-time set access address-assignment pool Pool1 family inet network 192.168.168.32/28 set access address-assignment pool Pool1 family inet range 1 low 192.168.168.34 set access address-assignment pool Pool1 family inet range 1 high 192.168.168.46 set access address-assignment pool Pool1 family inet dhcp-attributes maximum-lease-time 3600 set access address-assignment pool Pool1 family inet dhcp-attributes domain-name terralink.su set access address-assignment pool Pool1 family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool Pool1 family inet dhcp-attributes name-server 77.88.8.8 set access address-assignment pool Pool1 family inet dhcp-attributes router 192.168.168.33 set access address-assignment pool Pool1 family inet host staticuser1_example hardware-address "мак адрес" set access address-assignment pool Pool1 family inet host staticuser1_example ip-address 192.168.168.34 set access address-assignment pool Blocked family inet network 192.168.169.0/20 set access address-assignment pool Blocked family inet range 1 low 192.168.169.2 set access address-assignment pool Blocked family inet range 1 high 192.168.175.254 set access address-assignment pool Blocked family inet dhcp-attributes maximum-lease-time 3600 set access address-assignment pool Blocked family inet dhcp-attributes domain-name terralink.su set access address-assignment pool Blocked family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool Blocked family inet dhcp-attributes name-server 77.88.8.8 set access address-assignment pool Blocked family inet dhcp-attributes router 192.168.169.1 set routing-instances CAPTIVE-PORTAL instance-type virtual-router set routing-instances CAPTIVE-PORTAL interface ge-1/0/1.102 set routing-instances CAPTIVE-PORTAL routing-options static route 0.0.0.0/0 next-hop 1.1.1.2 set routing-instances CAPTIVE-PORTAL routing-options static route 0.0.0.0/0 retain set routing-instances INET forwarding-options dhcp-relay server-group nzr 192.168.169.2 set applications application junos-rsh application-protocol shell set applications application junos-rsh protocol tcp set applications application junos-rsh destination-port 514 set applications application exec application-protocol exec set applications application exec protocol tcp set applications application exec destination-port 512 set applications application junos-rlogin application-protocol shell set applications application junos-rlogin protocol tcp set applications application junos-rlogin destination-port 513 Изменено 11 декабря, 2019 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cold Опубликовано 12 июля, 2017 · Жалоба Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 · Жалоба Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 12 июля, 2017 · Жалоба Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua/wiki/doku.php/abills:docs:nas:cisco_isg:ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 · Жалоба Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua/wiki/doku.php/abills:docs:nas:cisco_isg:ru Да это я видел, может у кого есть варианты получше. Abills-сом я пользовался, версия была постарей но впечатления о гибкости и документированности о нем у меня остались лучше чем от lanbilling Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shafiev Опубликовано 12 июля, 2017 · Жалоба Есть рабочая связка LB2.0+ASR1000+IPoE с привязкой по МАС/порт Чессно, встроеный LBinet тот еще гемор. Сейчас все работает с isc dhcp server но синхронизировать статические Ip и прочее приходится скриптами что очень не удобно. Если есть возможность выложи конфиг asr убрав пароли и тд, мне он не нужен но может в тему людей понабежит и кто нибудь поделится решением для mx80. По конфигам реально рабочим можешь смотреть на страницке того же http://abills.net.ua...as:cisco_isg:ru Да это я видел, может у кого есть варианты получше. Abills-сом я пользовался, версия была постарей но впечатления о гибкости и документированности о нем у меня остались лучше чем от lanbilling у меня просто в отличии от его конфига тока VRF добавлены , а это гемор с циско ( там куча ограничений и багов ((( ) Так что юзать можно, я даже знаю в каких ISP этот конфиг крутиться )) И их не мало Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 12 июля, 2017 · Жалоба shafiev Мне нужен рабочий конфиг mx80 bras, ipoe, cisco мне не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 13 июля, 2017 · Жалоба shafiev Мне нужен рабочий конфиг mx80 bras, ipoe, cisco мне не нужен. Нео проснись, серебренной пули не существует люди годами сращивают свой билинг с топовой железкой. Возможно ты первопроходец и не кто в СНГ такое не делал, я тебе скидывал ссылки там есть костыль и думаю для тебя это самый верный вариант через COA досылать атрибуты сприптом да немного больше уйдет лицензий на сабстрайберов, но по другому не как. Тебе нат нужен? З.Ы. Собрал PPPoE + UTM5 через скрипты COA конфиг на 5к строк + уперся в логирование ната, руководству показалось дорого покупать коллекторы под нат если руками писать правила ната то это еще 1к строк :D. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 · Жалоба pingz NAT мне не нужен, сабскрайберов станет больше на каждую dhcp сессию? Сейчас на боевом bras у меня все работает с внешним isc dhcp server, изначально хотел прикрутить вместо него lbinet, сделать это не представляется возможным поскольку я использую ip unnumbered и несколько подсетей, dhcp запросы приходят c адреса bras и lbinet не хочет выдавать адреса из других подсетей. Из общения с тех поддержкой: Статической привязки MAC к IP нет, агент пытается найти из какой подсети выдать адрес на основе адреса dhcp-relay giaddr=192.168.168.50 Но перебрав все пуллы, не находит ни одного подходящего, поскльку адрес 192.168.168.50 сейчас не входит ни в один из пуллов. Нужно или создать статическую привязку MAC-IP, или присылать в качестве giaddr IP адрес принадлежащей той подсети из которой нужно выдать динамический IP. Предлагают использовать отдельный сабинтерфейс на пул, что крайне не удобно, придется дробить сеть и пропадает всякая необходимость в ip unnumbered Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 (изменено) · Жалоба pingz Про нео я надеюсь ты не мне, есть что сказать по делу пиши, нет давай до свиданья... Я конфиг выложил может кому пригодится, как решить проблему я знаю но чужой пример реализации не помешает, может станет меньше костылей. Изменено 13 июля, 2017 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 13 июля, 2017 · Жалоба nousaibot у нас ipoe на dhcp-local-server с авторизацией в радиусе по SVID-VID. Кмк, это наиболее оптимальная схема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 · Жалоба Еще пример с dhcp-local server https://github.com/mirceaulinic/junos-dhcp-subs purecopper Если можно пример конфига. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 13 июля, 2017 · Жалоба nousaibot Да пожалуйста. Здесь используется opt82, но её можно убрать show system services dhcp-local-server inactive: dhcpv6 { authentication { password 12345; username-include { delimiter "&"; user-prefix ipv6subscriber; interface-name; } } overrides { delegated-pool v6-pd-pool; } group ipv6-stacked-subscribers { dynamic-profile IP-DHCP-PROFILE-1; interface ae0.0; } } pool-match-order { ip-address-first; } duplicate-clients-in-subnet incoming-interface; authentication { password 123; username-include { delimiter "&"; option-82 circuit-id remote-id; interface-name; } } overrides { client-discover-match incoming-interface; } group 1 { dynamic-profile IP-DHCP-PROFILE-1; interface ae0.0; } show access address-assignment pool 192-168-1-0 { family inet { network 192.168.1.0/22; range 1 { low 192.168.1.2; high 192.168.1.254; } dhcp-attributes { maximum-lease-time 180; domain-name ivstar.local; name-server { 192.168.2.2; 192.168.2.3; } router { 192.168.1.1; } } } } Абоненту отдаем Framed-IP-Address и Framed-IP-Netmask Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 · Жалоба Поднял на dhcp-local сессия поднялась. Изменения которые нужно произвести: delete forwarding-options dhcp-relay traceoptions file dhcprelay delete forwarding-options dhcp-relay traceoptions file size 2m delete forwarding-options dhcp-relay traceoptions file files 2 delete forwarding-options dhcp-relay traceoptions flag packet delete forwarding-options dhcp-relay server-group LB 192.168.168.7 delete forwarding-options dhcp-relay server-group ISC_DHCP 192.168.168.7 delete forwarding-options dhcp-relay group local active-server-group ISC_DHCP delete forwarding-options dhcp-relay group local authentication password mxsecret delete forwarding-options dhcp-relay group local authentication username-include mac-address delete forwarding-options dhcp-relay group local dynamic-profile IPoE-session-profile delete forwarding-options dhcp-relay group local overrides trust-option-82 delete forwarding-options dhcp-relay group local interface ge-1/0/1.103 set system services dhcp-local-server pool-match-order external-authority set system services dhcp-local-server pool-match-order ip-address-first set system services dhcp-local-server authentication password mxsecret set system services dhcp-local-server authentication username-include mac-address set system services dhcp-local-server group local dynamic-profile IPoE-session-profile set system services dhcp-local-server group local interface ge-1/0/1.103 set system services dhcp-local-server group local interface demux0.0 purecopper Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 13 июля, 2017 · Жалоба nousaibot нзчт :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 13 июля, 2017 · Жалоба purecopper Можно узнать версию прошивки mx? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 14 июля, 2017 · Жалоба nousaibot да пожалуйста Junos: 15.1R5-S4.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 14 июля, 2017 (изменено) · Жалоба Может кому будет полезен, скрипт сброса сессий. vg.stop #!/bin/bash LOG='/usr/local/billing/scripts/vg.log' PARAMS="$*" RADCLIENT='/usr/bin/radclient -t1 -r1 -c1 -x' SESSION_ID="$1" echo "[`date +'%d-%m-%Y %H:%M:%S'`] VG.STOP - ${PARAMS} ">> ${LOG} echo "Acct-Session-Id =\"${SESSION_ID}\"" | ${RADCLIENT} 192.168.168.50:3799 disconnect radsecret >> ${LOG} Изменено 14 июля, 2017 пользователем nousaibot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 17 июля, 2017 · Жалоба Тема благополучно заглохла) purecopper Поскольку вы единственный кто проявляет активность, могу я узнать как блокируете абонентов, используете пулы для не авторизованных и заблокированных пользователей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ima Опубликовано 17 июля, 2017 · Жалоба Мы используем гостевые сети, но у нас PPPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 17 июля, 2017 · Жалоба ima Пул адресов в vrf заворачиваете? Есть редирект на личный кабинет? Если есть возможность киньте конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 17 июля, 2017 (изменено) · Жалоба nousaibot Мы накладываем сервис типа INET-OFF chassis { aggregated-devices { ethernet { device-count 3; } } fpc 0 { pic 0 { inline-services { bandwidth 10g; <- так делать не надо ) } } } network-services enhanced-ip; } services { captive-portal-content-delivery { rule R1 { match-direction input; term 1 { then { redirect http://block.page; } } } profile P1 { cpcd-rules R1; } } service-set SS1 { service-set-options { subscriber-awareness; routing-engine-services; } captive-portal-content-delivery-profile P1; interface-service { service-interface si-0/0/0; } } } firewall { family inet { service-filter skip { term 1 { then skip; } } service-filter walled { term portal { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then skip; } term redirect { from { protocol tcp; destination-port [ 80 443 8080 ]; } then service; } term skip { then skip; } } dynamic-profile { INET_OFF { variables { filter_in uid; filter_in_v6 uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet { filter { input "$filter_in" precedence 50; } service { input { service-set SS1 service-filter walled; } output { service-set SS1 service-filter skip; } } } } } } firewall { family inet { filter "$filter_in" { interface-specific; term 1 { from { protocol udp; port bootpc; } then accept; } term 2 { from { destination-address { Здесь ip адреса, куда пользователь может выйти } } then accept; } term 3 { from { destination-address { 8.8.8.8/32; 8.8.4.4/32; 77.88.8.8/32; 77.88.8.1/32; 77.88.8.88/32; 77.88.8.2/32; 77.88.8.7/32; 77.88.8.3/32; } protocol udp; port 53; } then accept; } term 4 { from { protocol tcp; destination-port 80; } then accept; } term 100 { then { reject administratively-prohibited; } } } } } } } Изменено 17 июля, 2017 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ima Опубликовано 18 июля, 2017 · Жалоба ima Пул адресов в vrf заворачиваете? Есть редирект на личный кабинет? Если есть возможность киньте конфиг. Прошу прощения. Забыл указать, что у нас абоненты авторизуются на MikroTik. Там же и происходят редиректы для гостевых сетей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nousaibot Опубликовано 18 июля, 2017 · Жалоба purecopper Спасибо. С вами приятно иметь дело) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...