Вопрос по связке utm5_radius и СКАТ DPI

[toropyga]

Доброго времени суток! Пытаюсь подружить utm5_radius и Скат. При pppoe подключении тестового аккаунта utm5_radius шлет access-accept при любом состоянии аккаунта, т.е. даже при отрицательном балансе и системной блокировке отсылается access-accept. Подскажите как добиться отправки access-reject при отрицательном балансе или блокировке?

[murano]

А правильно ли вообще не давать пользователю подключиться? Надо блокировать на 3 либо 7 уровне, давая возможность оплатить онлайн, а не гонять пользователей по офисам ради оплаты.

[bike]

4 часа назад, murano сказал:

Надо блокировать на 3 либо 7 уровне, давая возможность оплатить онлайн, а не гонять пользователей по офисам ради оплаты.

Скат в первую очередь DPI, там можно красиво CaptivePortal настроить, куда пускать или рекламу смотреть и т.д..

[murano]

18 часов назад, bike сказал:

Скат в первую очередь DPI, там можно красиво CaptivePortal настроить, куда пускать или рекламу смотреть и т.д..

Я знаю, что такое скат. Потому я и написал, что рубить стоит на 7 уровне (как раз DPI). Я спросил автора - зачем при неоплате рвать сессию ПППоЕ?

[dryukov]

А список социально значимых ресурсов и личный кабинет то должен быть доступен.
Так что подключаться всегда должон.

[morom]

Сам только начал с этим разбираться.

1 вроде как-то связано с VasExperts-Restrict-User

2 а в утм настроили как isg или просто как радиус сервер?

[toropyga]

1 час назад, morom сказал:

Сам только начал с этим разбираться.

1 вроде как-то связано с VasExperts-Restrict-User

2 а в утм настроили как isg или просто как радиус сервер?

Просто как радиус. 

 

1 час назад, dryukov сказал:

А список социально значимых ресурсов и личный кабинет то должен быть доступен.
Так что подключаться всегда должон.

На данный момент у нас так и работает (т.е. пользователь всегда подключается),а доступом к инету или к белому списку рулит utm_rfw+штатный firewall. А вот как реализовать это используя СКАТ не очень понятно, хотя в доках описывается radius атрибут "VasExperts-Restrict-User", который и передает состояние аккаунта и в примерах интеграции он вешается как раз на access_reject.

Edited November 17, 2020 by toropyga

[dryukov]

Статических клиентов через эмулятор радиуса потом возможно придется цеплять и в этом эмуляторе вынуждены будите реализовывать флаги.
Мне кажется лучше уж в utm_rfw через "консоль" СКАТ-а включать, отключать, шейпить.
Если UTM сдохнет оторванные клиенты ведь не поднимутся пока радиус не оживет, из за одного компа вся сеть свалится.

[toropyga]

Покурив косяк маны utm и Ската решил попробовать подружить эти поделия через rsh, да не тут то было. Как оказалось в Centos 8  rsh удалили из-за несекьюрности. Поставил rsh из стороннего репозитория, но так и не смог его настроить/запустить. Остается правда еще вариант поставить utm_rfw на тачку со Скатом. Может есть все таки умельцы, у которых получилось?

[titan]

а на Debian не пробывали, вообще-то netup под debian затачивает utm

[toropyga]

так Скат то на Centos8 крутится и ни на что другое не ставится, а utm у меня так вообще на фряхе. И вариант с установкой utm_rfw на тачку со Скатом тоже не прокатил, utm есть только под 7 Centos. В общем печаль и УГ.

[YuryD]

54 минуты назад, toropyga сказал:

так Скат то на Centos8 крутится и ни на что другое не ставится, а utm у меня так вообще на фряхе. И вариант с установкой utm_rfw на тачку со Скатом тоже не прокатил, utm есть только под 7 Centos. В общем печаль и УГ.

 Чой-то ? вот скат6 купленный бандлом у нага

 

root@skat ~]# uname -a
Linux skat.xxxxx.ru 2.6.32-504.1.3.el6.x86_64 #1 SMP Tue Nov 11 17:57:25 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

 

CentOS release 6.6 (Final)

 

Running 'fastdpi' : FastDPI 8.2 Brugge (Feb 19 2019)

 

 

 

[bike]

17 минут назад, YuryD сказал:

Чой-то ? вот скат6 купленный бандлом у нага

 

root@skat ~]# uname -a
Linux skat.xxxxx.ru 2.6.32-504.1.3.el6.x86_64 #1 SMP Tue Nov 11 17:57:25 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux

 

CentOS release 6.6 (Final)

Все новые инсталляции идут с CentOS 8 и DPDK, хотя, думаю, и на CentOS 6 c PF_Ring можно всё так же поставить.

П.С.

[root@skat dpi]# uname -a
Linux skat.netcs 2.6.32-754.27.1.el6.x86_64 #1 SMP Tue Jan 28 14:11:45 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

 

[YuryD]

1 минуту назад, bike сказал:

Все новые инсталляции идут с CentOS 8 и DPDK, хотя, думаю, и на CentOS 6 c PF_Ring можно всё так же поставить.

 Там в требованиях по версии ядра, мое в минимуме катит, обновляться не хочу.

[bike]

В 17.11.2020 в 09:29, toropyga сказал:

Просто как радиус. 

 

На данный момент у нас так и работает (т.е. пользователь всегда подключается),а доступом к инету или к белому списку рулит utm_rfw+штатный firewall. А вот как реализовать это используя СКАТ не очень понятно, хотя в доках описывается radius атрибут "VasExperts-Restrict-User", который и передает состояние аккаунта и в примерах интеграции он вешается как раз на access_reject.

 

Если я правильно понял, что вы хотите сделать, то создаёте профили для заблокированных абонентов в fastpcrf.conf -

 

    # Имя профайла полисинга для неавторизованных пользователей
    # Этот параметр обязательно должен быть задан
    # Данный профиль должен ограничивать возможности неавторизованных пользователей
default_reject_policing=rate_CaptivePortal_unknown

    # Default service 5 (whitelist) profile name for unathorized users
    # Имя профиля услуги 5 (белый список) для неавторизованных пользователей.
    # Данный профиль задает, к каким ресурсам имеет право обращаться
    # неавторизованный пользователь. Обычно это личный кабинет, captive portal,
    # плюс некоторые сайты банков (для оплаты картой)
    # Этот параметр обязательно должен быть задан
default_reject_whitelist=CaptivePortal_unknown

 

И передаёте Access-Accept с нужными для заблокированных атрибутами (Незабываем про CG-Nat и т.д.) + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject и навесит default_reject политику.

Самое просто решение всегда слать Access-Accept, только менять атрибуты в зависимости от статуса пользователя.

 

48 минут назад, YuryD сказал:

 Там в требованиях по версии ядра, мое в минимуме катит, обновляться не хочу. 

Там весь смысл не в обновлении ядра, а в переходе с PF_Ring на DPDK.

[YuryD]

2 часа назад, bike сказал:

Там весь смысл не в обновлении ядра, а в переходе с PF_Ring на DPDK.

В этом и .опа для меня. Обновлять скат  нельзя без перехода на centos8+dpdk. Поддержка старых версий центос кончается у ската в 2021. Но если я поменяю центос - слетят драйвера модной сетевухи  и вылетит фильтрация ркн:( А этот центос для меня тёмный лес...

[bike]

22 минуты назад, YuryD сказал:

В этом и .опа для меня. Обновлять скат  нельзя без перехода на centos8+dpdk.

Предположим -

 

[root@skat dpi]# yum info fastdpi
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * vasexperts: pcef.ru
Installed Packages
Name        : fastdpi
Arch        : x86_64
Version     : 9.5
Release     : 1
Size        : 12 M
Repo        : installed
From repo   : vasexperts
Summary     : CKAT provides DPI platform and VAS for Broadband Internet providers
URL         : http://fastdpi.ru
License     : http://vasexperts.ru/vas/docs/lic.dpi.scat.v.1.01.pdf
Description : CKAT provides DPI platform and VAS for Broadband Internet providers
            : Please, visit http://www.fastdpi.ru for information

[root@skat dpi]# cat /etc/centos-release
CentOS release 6.10 (Final)
 

А вот над миграцией на CentOS 8 и DPDK сам в размышлениях.

[YuryD]

 Там в их вики про конец поддержки старых центос в 2021 :( А за инфо - спасибо, завтра обновлюсь до 9.5