toropyga Опубликовано 15 ноября, 2020 · Жалоба Доброго времени суток! Пытаюсь подружить utm5_radius и Скат. При pppoe подключении тестового аккаунта utm5_radius шлет access-accept при любом состоянии аккаунта, т.е. даже при отрицательном балансе и системной блокировке отсылается access-accept. Подскажите как добиться отправки access-reject при отрицательном балансе или блокировке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
murano Опубликовано 16 ноября, 2020 · Жалоба А правильно ли вообще не давать пользователю подключиться? Надо блокировать на 3 либо 7 уровне, давая возможность оплатить онлайн, а не гонять пользователей по офисам ради оплаты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 16 ноября, 2020 · Жалоба 4 часа назад, murano сказал: Надо блокировать на 3 либо 7 уровне, давая возможность оплатить онлайн, а не гонять пользователей по офисам ради оплаты. Скат в первую очередь DPI, там можно красиво CaptivePortal настроить, куда пускать или рекламу смотреть и т.д.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
murano Опубликовано 17 ноября, 2020 · Жалоба 18 часов назад, bike сказал: Скат в первую очередь DPI, там можно красиво CaptivePortal настроить, куда пускать или рекламу смотреть и т.д.. Я знаю, что такое скат. Потому я и написал, что рубить стоит на 7 уровне (как раз DPI). Я спросил автора - зачем при неоплате рвать сессию ПППоЕ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 17 ноября, 2020 · Жалоба А список социально значимых ресурсов и личный кабинет то должен быть доступен. Так что подключаться всегда должон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morom Опубликовано 17 ноября, 2020 · Жалоба Сам только начал с этим разбираться. 1 вроде как-то связано с VasExperts-Restrict-User 2 а в утм настроили как isg или просто как радиус сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
toropyga Опубликовано 17 ноября, 2020 (изменено) · Жалоба 1 час назад, morom сказал: Сам только начал с этим разбираться. 1 вроде как-то связано с VasExperts-Restrict-User 2 а в утм настроили как isg или просто как радиус сервер? Просто как радиус. 1 час назад, dryukov сказал: А список социально значимых ресурсов и личный кабинет то должен быть доступен. Так что подключаться всегда должон. На данный момент у нас так и работает (т.е. пользователь всегда подключается),а доступом к инету или к белому списку рулит utm_rfw+штатный firewall. А вот как реализовать это используя СКАТ не очень понятно, хотя в доках описывается radius атрибут "VasExperts-Restrict-User", который и передает состояние аккаунта и в примерах интеграции он вешается как раз на access_reject. Изменено 17 ноября, 2020 пользователем toropyga Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dryukov Опубликовано 17 ноября, 2020 · Жалоба Статических клиентов через эмулятор радиуса потом возможно придется цеплять и в этом эмуляторе вынуждены будите реализовывать флаги. Мне кажется лучше уж в utm_rfw через "консоль" СКАТ-а включать, отключать, шейпить. Если UTM сдохнет оторванные клиенты ведь не поднимутся пока радиус не оживет, из за одного компа вся сеть свалится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
toropyga Опубликовано 23 ноября, 2020 · Жалоба Покурив косяк маны utm и Ската решил попробовать подружить эти поделия через rsh, да не тут то было. Как оказалось в Centos 8 rsh удалили из-за несекьюрности. Поставил rsh из стороннего репозитория, но так и не смог его настроить/запустить. Остается правда еще вариант поставить utm_rfw на тачку со Скатом. Может есть все таки умельцы, у которых получилось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
titan Опубликовано 24 ноября, 2020 · Жалоба а на Debian не пробывали, вообще-то netup под debian затачивает utm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
toropyga Опубликовано 24 ноября, 2020 · Жалоба так Скат то на Centos8 крутится и ни на что другое не ставится, а utm у меня так вообще на фряхе. И вариант с установкой utm_rfw на тачку со Скатом тоже не прокатил, utm есть только под 7 Centos. В общем печаль и УГ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 ноября, 2020 · Жалоба 54 минуты назад, toropyga сказал: так Скат то на Centos8 крутится и ни на что другое не ставится, а utm у меня так вообще на фряхе. И вариант с установкой utm_rfw на тачку со Скатом тоже не прокатил, utm есть только под 7 Centos. В общем печаль и УГ. Чой-то ? вот скат6 купленный бандлом у нага root@skat ~]# uname -a Linux skat.xxxxx.ru 2.6.32-504.1.3.el6.x86_64 #1 SMP Tue Nov 11 17:57:25 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux CentOS release 6.6 (Final) Running 'fastdpi' : FastDPI 8.2 Brugge (Feb 19 2019) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 24 ноября, 2020 · Жалоба 17 минут назад, YuryD сказал: Чой-то ? вот скат6 купленный бандлом у нага root@skat ~]# uname -a Linux skat.xxxxx.ru 2.6.32-504.1.3.el6.x86_64 #1 SMP Tue Nov 11 17:57:25 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux CentOS release 6.6 (Final) Все новые инсталляции идут с CentOS 8 и DPDK, хотя, думаю, и на CentOS 6 c PF_Ring можно всё так же поставить. П.С. [root@skat dpi]# uname -a Linux skat.netcs 2.6.32-754.27.1.el6.x86_64 #1 SMP Tue Jan 28 14:11:45 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 ноября, 2020 · Жалоба 1 минуту назад, bike сказал: Все новые инсталляции идут с CentOS 8 и DPDK, хотя, думаю, и на CentOS 6 c PF_Ring можно всё так же поставить. Там в требованиях по версии ядра, мое в минимуме катит, обновляться не хочу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 24 ноября, 2020 · Жалоба В 17.11.2020 в 09:29, toropyga сказал: Просто как радиус. На данный момент у нас так и работает (т.е. пользователь всегда подключается),а доступом к инету или к белому списку рулит utm_rfw+штатный firewall. А вот как реализовать это используя СКАТ не очень понятно, хотя в доках описывается radius атрибут "VasExperts-Restrict-User", который и передает состояние аккаунта и в примерах интеграции он вешается как раз на access_reject. Если я правильно понял, что вы хотите сделать, то создаёте профили для заблокированных абонентов в fastpcrf.conf - # Имя профайла полисинга для неавторизованных пользователей # Этот параметр обязательно должен быть задан # Данный профиль должен ограничивать возможности неавторизованных пользователей default_reject_policing=rate_CaptivePortal_unknown # Default service 5 (whitelist) profile name for unathorized users # Имя профиля услуги 5 (белый список) для неавторизованных пользователей. # Данный профиль задает, к каким ресурсам имеет право обращаться # неавторизованный пользователь. Обычно это личный кабинет, captive portal, # плюс некоторые сайты банков (для оплаты картой) # Этот параметр обязательно должен быть задан default_reject_whitelist=CaptivePortal_unknown И передаёте Access-Accept с нужными для заблокированных атрибутами (Незабываем про CG-Nat и т.д.) + VasExperts-Restrict-User=1, Скат воспримет данных абонентов как Reject и навесит default_reject политику. Самое просто решение всегда слать Access-Accept, только менять атрибуты в зависимости от статуса пользователя. 48 минут назад, YuryD сказал: Там в требованиях по версии ядра, мое в минимуме катит, обновляться не хочу. Там весь смысл не в обновлении ядра, а в переходе с PF_Ring на DPDK. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 ноября, 2020 · Жалоба 2 часа назад, bike сказал: Там весь смысл не в обновлении ядра, а в переходе с PF_Ring на DPDK. В этом и .опа для меня. Обновлять скат нельзя без перехода на centos8+dpdk. Поддержка старых версий центос кончается у ската в 2021. Но если я поменяю центос - слетят драйвера модной сетевухи и вылетит фильтрация ркн:( А этот центос для меня тёмный лес... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 24 ноября, 2020 · Жалоба 22 минуты назад, YuryD сказал: В этом и .опа для меня. Обновлять скат нельзя без перехода на centos8+dpdk. Предположим - [root@skat dpi]# yum info fastdpi Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * vasexperts: pcef.ru Installed Packages Name : fastdpi Arch : x86_64 Version : 9.5 Release : 1 Size : 12 M Repo : installed From repo : vasexperts Summary : CKAT provides DPI platform and VAS for Broadband Internet providers URL : http://fastdpi.ru License : http://vasexperts.ru/vas/docs/lic.dpi.scat.v.1.01.pdf Description : CKAT provides DPI platform and VAS for Broadband Internet providers : Please, visit http://www.fastdpi.ru for information [root@skat dpi]# cat /etc/centos-release CentOS release 6.10 (Final) А вот над миграцией на CentOS 8 и DPDK сам в размышлениях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 ноября, 2020 · Жалоба Там в их вики про конец поддержки старых центос в 2021 :( А за инфо - спасибо, завтра обновлюсь до 9.5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...