Перейти к содержимому
Калькуляторы

ещё в шейпере

Он используется как u32 priority, так что не критично.

А насчёт первого вопроса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Опять вопрос к Xeb.

Не планировали добавить в запросы радиуса IPOE(авторизации и аккаунтинга) remoteId и circutid, по аналогии с tr101.

 

Например

У cisco ASR это

(с вендором и атрибутом тут всё понятно)

cisco-avpair=circuit-id-tag=000407d00018

cisco-avpair=remote-id-tag=010931302e31312e342e33

 

у redback

vendor 2352

String 96 Agent-Remote-Id

String 97 Agent-Circuit-Id

 

Agent-Remote-Id=00060022B004515D

Agent-Circuit-Id=000400DE0019

 

и у первого и у второго присутствуют эти атрибуты и в авторизации и в аккаунтинге. И эти атрибуты просто копируются из dhcp опций.

Изменено пользователем brodayga

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не проходит авторизация

ms-chap-v2 работает

pap работает

chap не работает.

 

 

вот лог билинга

Attributes:
 User-Name=admin2
 CHAP-Password={01 FD 88 83 0E 3A 28 24 DA 7B B4 07 86 03 1F 9F FC}
 NAS-IP-Address=192.168.0.34
 NAS-Port=76
 Service-Type=2
 Framed-Protocol=1
 Calling-Station-Id=f0:de:f1:9d:2b:f0
 NAS-Port-Type=5
 CHAP-Challenge=vYp|���qf�\u28����
 Called-Station-Id=a0:36:9f:2c:08:7a

 

[2014-03-18 15:29:47]:  info: ppp76: recv [CHAP Response id=1 <fd8883e3a2824da7bb478631f9ffc>, name="admin2"]
[2014-03-18 15:29:47]:  info: ppp76: send [RADIUS(8) Access-Request id=1 <User-Name "admin2"> <NAS-IP-Address 192.168.0.34> <NAS-Port 76> <NAS-Port-Type Virtual> <Service-Type F
ramed-User> <Framed-Protocol PPP> <Calling-Station-Id "f0:de:f1:9d:2b:f0"> <Called-Station-Id "a0:36:9f:2c:08:7a"> <CHAP-Challenge > <CHAP-Password >]
[2014-03-18 15:29:47]:  info: ppp76: recv [RADIUS(8) Access-Reject id=1 <Reply-Message "3">]
[2014-03-18 15:29:47]:  info: ppp76: send [CHAP Failure id=1 "Authentication failed"]
[2014-03-18 15:29:47]:  info: ppp76: admin2: authentication failed

 

модули прописаны и ошибок в core нет.

[modules]

auth_mschap_v2

auth_mschap_v1

auth_chap_md5

auth_pap

radius

 

 

P.S для ясности.

Билинг отвечает что пароль не верен. Но абонент подключающийся через nas-cisco-38xx авторизуется по chap

 

P.S.S вот авторизация через cisco

Time: 18.03.2014 17:09:44
Packet type: Access-Request
Identifier: 14
Authenticator: {44 6C 7A B2 63 E3 60 7D CC 0A DF 00 89 C0 86 99}
Attributes:
 User-Name=admin2
 NAS-Port-Id=0/0/1/379
 CHAP-Password={01 25 7C 7F 18 A9 3A 43 CD EC D1 2E EA 06 18 9C 68}
 NAS-IP-Address=192.168.0.157
 NAS-Port=6056057
 Service-Type=2
 Framed-Protocol=1
 NAS-Port-Type=15
 cisco-avpair=client-mac-address=f0de.f19d.2bf0
 cisco-NAS-Port=0/0/1/379

Time: 18.03.2014 17:09:44
Packet type: Access-Accept
Identifier: 14
Authenticator: {32 A2 5A 91 39 3D 0B 17 1C 88 14 9C 06 0F A2 8E}
Attributes:
 Acct-Interim-Interval=60
 Framed-IP-Address=192.168.11.252
 Session-Timeout=604800
 Ascend-Client-Secondary-DNS=8.8.8.8
 cisco-avpair=lcp:interface-config=rate-limit input 36700000 6881280 6881280 conform-action transmit exceed-action drop
 cisco-avpair=lcp:interface-config=rate-limit output 36700000 6881280 6881280 conform-action transmit exceed-action drop

Изменено пользователем yazero

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RADIUS(8) Access-Reject id=1 <Reply-Message "3">

Ищите, почему биллинг запрещает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя погодите. У вас почему-то CHAP-Password в логах биллинга явно в HEX, а CHAP-Challenge - строка. Проверьте типы атрибутов в словарях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2Abram Билинг запрещает потому как пароль не верен. Добавил логи с другого nas, отличие в том что нет chap-challange

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотя погодите. У вас почему-то CHAP-Password в логах биллинга явно в HEX, а CHAP-Challenge - строка. Проверьте типы атрибутов в словарях.

 

 

в accel-ppp нет же словарей(хотя да в папке лежат /usr/local/share/accel-ppp/radius/dictionary

, он при компиляции берет из rfc наверно.

 

в билинге есть словарик , вот что там

 

attribute name="CHAP-Challenge" type="string" code="60"

attribute name="CHAP-Password" type="octets" code="3"

 

P.S. поменял в билинге (bgbilling) на octets и заробило... спс Abram

Изменено пользователем yazero

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тестирую L3 режим ipoe

столкнулся с тем что клиенту в качестве siaddr выдаётся адрес основного шлюза(релея), хотя адресом дшсп сервера должен стать аксел.

В итоге лиза не продляется по юникасту, и начинает запрашивать продление по мультикаст.

в ipoe.c

static void __ipoe_session_start(struct ipoe_session *ses)

if (!ses->siaddr && ses->router != ses->yiaddr)
ses->siaddr = ses->router;

if (!ses->siaddr)
find_gw_addr(ses);

if (!ses->siaddr)
ses->siaddr = ses->serv->opt_src;

if (!ses->siaddr && ses->serv->dhcpv4_relay)
ses->siaddr = ses->serv->dhcpv4_relay->giaddr;

 

Такой порядок справедлив для L2 но не для l3.

ввести параметр в конфиге siaddr аналогично src, или src подставлять в первую очередь я не думаю, что это будет не правильно.

Поправте если ошибаюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В MPD я делал через CoA отправлял атрибут mpd-table-static,где номер таблицы и Framed-IP заносился в table N и в фаерволе было правило , блокировать трафик и делать редирект на веб сервер со страницей "ЗАПЛАТИ". Возможно ли реализовать это на linux и с помощью accel? Кто делал?
есть возможность выполнить скрипт при получении CoA:

[pppd-compat]

ip-change=

Xeb, подскажите как передать параметр через CoA. На nas использую ipset -A $ip для редиректа на страницу, ipset -D $ip для удаления ip. Можете показать пример как вызвать ip-change=my.sh с параметрами. Билинг будет отправлять CoA пакет используя Framed-IP-Address или User-Name.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike,

Подскажу я.

Вводите любой аттрибут (а-ля My-Custom-Redirect-Attribute), обрабатываете его в скрипте ip-change.

Важный момент: аттрибуты лежат в /var/run/radattr* .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

Для ipset и ip rule есть штатный механизм l4-redirect-ipset/l4-redirect-table

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

Вроде же есть l4-redirect

l4-redirect-ipset=наименование

Задаёт наименование ipset списка для L4-redirect

Или не то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

Вроде же есть l4-redirect

l4-redirect-ipset=наименование

Задаёт наименование ipset списка для L4-redirect

Или не то?

походу это для IPoE. Но попробую , спасибо.

 

roysbike,

Подскажу я.

Вводите любой аттрибут (а-ля My-Custom-Redirect-Attribute), обрабатываете его в скрипте ip-change.

Важный момент: аттрибуты лежат в /var/run/radattr* .

Спасибо за помощь. Например вызавать так /bin/echo "My-Custom-Redirect-Attribute+=\"172.30.100.1\""  | /usr/bin/radclient -x 172.29.0.12:3799 coa testing123

 

вот в скрипте , как ловить переменную?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

Да, точно.

Ну тогда как Abram советует :)

Изменено пользователем purecopper

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike,

К сожалению, я уже точно не помню - давно это было :).

Где-то в аргументах скрипту ip-change (так же, как ip-up, ip-down и тд) приходит имя интерфейса.

Потом нужно разбирать файл /var/run/radattr.$IFACE - там будет список всех этих ваших атрибутов. Можно сделать grep My-Custom-Redirect-Attribute /var/run/radattr.$IFACE и потом cut/awk.

Но вообще вот именно так

/bin/echo "My-Custom-Redirect-Attribute+=\"172.30.100.1\""  | /usr/bin/radclient -x 172.29.0.12:3799 coa testing123

делать нельзя, т.к. в CoA конкретно должен быть указан пользователь (либо acct-session-id) и nas ip address.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, честно прошерстил форум, ответа не нашел.

Используем связку Lanbilling+Accel-pppd. Сейчас используем встроенный в accel-pppd шейпер. На нем бы и остались пожалуй.

Планируем запустить ночное удвоение скорости. Ланбиллинг умеет передавать радиус-атрибуты для accel-pppd. Сейчас он передает параметры скорости, которая постоянна в любое время суток. Здесь - http://sourceforge.net/apps/trac/accel-ppp/wiki/ShaperAdvanced - расписано, как использовать разные скорости в разное время суток, но эти скорости жестко задаются в файле конфигурации. Есть ли возможность использовать радиус-атрибуты для задания скорости по временным промежуткам? Ну, например, как-то так:

attr=Filter-Id

time-range=1,1:00-3:00

time-range=2,3:00-5:00

time-range=3,5:00-7:00

Filter-Id=1,PPPD-Downstream-Speed-Limit

Filter-Id=2,PPPD-Downstream-Speed-Limit-1

Filter-Id=3,PPPD-Downstream-Speed-Limit-2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike,

К сожалению, я уже точно не помню - давно это было :).

Где-то в аргументах скрипту ip-change (так же, как ip-up, ip-down и тд) приходит имя интерфейса.

Потом нужно разбирать файл /var/run/radattr.$IFACE - там будет список всех этих ваших атрибутов. Можно сделать grep My-Custom-Redirect-Attribute /var/run/radattr.$IFACE и потом cut/awk.

Но вообще вот именно так

/bin/echo "My-Custom-Redirect-Attribute+=\"172.30.100.1\""  | /usr/bin/radclient -x 172.29.0.12:3799 coa testing123

делать нельзя, т.к. в CoA конкретно должен быть указан пользователь (либо acct-session-id) и nas ip address.

Сделал , coa отпрваляется без ошибок, атрибут добавил в словарь . но в /var/run/radattr.$IFACE видно только Framed-IP-Address.

 

echo "ip-change=1,Framed-IP-Address=172.30.0.200" | radclient -d /usr/local/share/accel-ppp/radius/ -x 10.10.0.2:3799 coa testing123

Как я понял , должен появится атрубут ip-change=1 в /var/run/radattr.$IFACE ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, честно прошерстил форум, ответа не нашел.

Используем связку Lanbilling+Accel-pppd. Сейчас используем встроенный в accel-pppd шейпер. На нем бы и остались пожалуй.

Планируем запустить ночное удвоение скорости. Ланбиллинг умеет передавать радиус-атрибуты для accel-pppd. Сейчас он передает параметры скорости, которая постоянна в любое время суток. Здесь - http://sourceforge.net/apps/trac/accel-ppp/wiki/ShaperAdvanced - расписано, как использовать разные скорости в разное время суток, но эти скорости жестко задаются в файле конфигурации. Есть ли возможность использовать радиус-атрибуты для задания скорости по временным промежуткам? Ну, например, как-то так:

attr=Filter-Id

time-range=1,1:00-3:00

time-range=2,3:00-5:00

time-range=3,5:00-7:00

Filter-Id=1,PPPD-Downstream-Speed-Limit

Filter-Id=2,PPPD-Downstream-Speed-Limit-1

Filter-Id=3,PPPD-Downstream-Speed-Limit-2

 

 

[shaper]

attr=Filter-Id

time-range=1,1:00-3:00

time-range=2,3:00-5:00

time-range=3,5:00-7:00

 

и передавать

в аксепте три атрибута

Filter-Id=2000

Filter-Id=1,2000

Filter-Id=2,3000

Filter-Id=3,4000

Изменено пользователем brodayga

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

[shaper]

attr=Filter-Id

time-range=1,1:00-3:00

time-range=2,3:00-5:00

time-range=3,5:00-7:00

 

и передавать

в аксепте три атрибута

Filter-Id=2000

Filter-Id=1,2000

Filter-Id=2,3000

Filter-Id=3,4000

т.е 2000, 3000, 4000 - это на самом деле номера радиус-атрибутов, а не скорость в кб?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е 2000, 3000, 4000 - это на самом деле номера радиус-атрибутов, а не скорость в кб?

нет это скорости

ATTRIBUTE Filter-Id 11 string

 

Любой атрибут. Главное чтоб он был в словаре или добавлен в словарь.

какой атрибут использовать

attr=Filter-Id

 

 

 

Пример ответа радиуса

Type=AUTHENTICATION_ACCEPT
Attributes:
Acct-Interim-Interval=120
Service-Type=2
Framed-Protocol=1
Filter-Id=1000
Filter-Id=1,2000
Filter-Id=2,3000
Filter-Id=3,4000

 

можно сделать и отправлять

attr=PPPD-Downstream-Speed-Limit

тогда будет

Type=AUTHENTICATION_ACCEPT
Attributes:
Acct-Interim-Interval=120
Service-Type=2
Framed-Protocol=1
PPPD-Downstream-Speed-Limit=1000
PPPD-Downstream-Speed-Limit=1,2000
PPPD-Downstream-Speed-Limit=2,3000
PPPD-Downstream-Speed-Limit=3,4000

 

только PPPD-Downstream-Speed-Limit нет в словарях аксела и его нужно будет добавить.

Изменено пользователем brodayga

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите , чем шейпить в конфиге есть tbf и htb.

 

Не режет исх скорость

[shaper]
up-limiter=tbf
down-limiter=tbf
attr-down=PPPD-Downstream-Speed-Limit
attr-up=PPPD-Upstream-Speed-Limit
verbose=1

 

Режет все ок.

[shaper]
attr-down=PPPD-Downstream-Speed-Limit
attr-up=PPPD-Upstream-Speed-Limit
down-burst-factor=0.1
up-burst-factor=1.0
latency=50
mpu=0
r2q=10
quantum=1500
cburst=1534
ifb=ifb0
up-limiter=htb
down-limiter=htb
leaf-qdisc=sfq perturb 10
verbose=8

Изменено пользователем roysbike

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Xeb, при старте PPPoE . accel-ppp может передать ADSL-Agent-Circuit-Id, NAS-Port-Id? accel передает NAS-Port-Type = Virtual, а для PPPoE вроде должно быть Ethernet , возможно ли заменить(в биллинге у нас проверка) ?

 

ADSL-Agent-Circuit-Id = "00:19:66:5C:9E:3A::172.16.16.155::10"(mac клиента:IP_Коммутатор::Порт)

NAS-Port-Id=vlan48

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

up-limiter не может быть tbf. должен быть police

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

странная авторизация абонента на accel-ppp по chap

 

 

 

03-19/09:39:05 INFO [rdsLstnr-p-7-t-1] RadiusListenerWorker - REQUEST:

Packet type: Access-Request

Identifier: 1

Authenticator: {5A BF D2 68 B6 53 C1 1E 40 80 5E CF EA C4 EF 28}

Attributes:

User-Name=gmpr

NAS-IP-Address=192.168.0.34

NAS-Port=49

Service-Type=2

Framed-Protocol=1

Calling-Station-Id=28:10:7b:40:07:32

NAS-Port-Type=5

Called-Station-Id=a0:36:9f:2c:08:7a

MS-CHAP-Response={01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 06 A4 06 1B F2 7D 87 42 4E 48 4B 6F 39 B4 7B 7E 8A 05 BE 37 60 44 18 7C}

MS-CHAP-Challenge={AD 74 B9 75 15 B0 C4 99}

 

03-19/09:39:05 INFO [rdsLstnr-p-7-t-1] InetRadiusProcessor - REQUEST_AFTER_PREPROCESS:

Packet type: Access-Request

Identifier: 1

Authenticator: {5A BF D2 68 B6 53 C1 1E 40 80 5E CF EA C4 EF 28}

Attributes:

User-Name=gmpr

NAS-IP-Address=192.168.0.34

NAS-Port=49

Service-Type=2

Framed-Protocol=1

Calling-Station-Id=28:10:7b:40:07:32

NAS-Port-Type=5

Called-Station-Id=a0:36:9f:2c:08:7a

MS-CHAP-Response={01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 06 A4 06 1B F2 7D 87 42 4E 48 4B 6F 39 B4 7B 7E 8A 05 BE 37 60 44 18 7C}

MS-CHAP-Challenge={AD 74 B9 75 15 B0 C4 99}

 

 

 

он же на cisco

 

 

03-19/09:53:57 INFO [rdsLstnr-p-7-t-2] RadiusListenerWorker - REQUEST:

Packet type: Access-Request

Identifier: 168

Authenticator: {F4 B9 23 66 87 CB 60 C7 CC 0A DF 00 DD 3D DF F7}

Attributes:

User-Name=gmpr

NAS-Port-Id=0/0/1/379

CHAP-Password={01 4A 20 86 0D FB 0E 68 15 E1 C0 7C FA E0 A5 91 4C}

NAS-IP-Address=192.168.0.157

NAS-Port=6059641

Service-Type=2

Framed-Protocol=1

NAS-Port-Type=15

cisco-avpair=client-mac-address=f0de.f19d.2bf0

cisco-NAS-Port=0/0/1/379

 

03-19/09:53:57 INFO [rdsLstnr-p-7-t-2] InetRadiusProcessor - REQUEST_AFTER_PREPROCESS:

Packet type: Access-Request

Identifier: 168

Authenticator: {F4 B9 23 66 87 CB 60 C7 CC 0A DF 00 DD 3D DF F7}

Attributes:

User-Name=gmpr

NAS-Port-Id=0/0/1/379

CHAP-Password={01 4A 20 86 0D FB 0E 68 15 E1 C0 7C FA E0 A5 91 4C}

NAS-IP-Address=192.168.0.157

NAS-Port=6059641

Service-Type=2

Framed-Protocol=1

NAS-Port-Type=15

cisco-avpair=client-mac-address=f0de.f19d.2bf0

cisco-NAS-Port=0/0/1/379

Common options: {macAddress=f0de.f19d.2bf0}

 

 

 

и тот же абонент с тестовой машины логинится на accel-ppp.

 

 

 

 

3-18/17:28:29 INFO [rdsLstnr-p-7-t-3] RadiusListenerWorker - REQUEST:

Packet type: Access-Request

Identifier: 1

Authenticator: {46 65 68 AC 6F 46 23 DB F9 53 D5 47 83 9B 9F 2A}

Attributes:

User-Name=gmpr

CHAP-Password={01 1E 21 57 63 EB 7B AE B5 4C DF 8F 0D E9 C0 5D 5B}

NAS-IP-Address=192.168.0.34

NAS-Port=31

Service-Type=2

Framed-Protocol=1

Calling-Station-Id=f0:de:f1:9d:2b:f0

NAS-Port-Type=5

CHAP-Challenge={46 65 68 AC 6F 46 23 DB F9 53 D5 47 83 9B 9F 2A}

Called-Station-Id=a0:36:9f:2c:08:7a

 

03-18/17:28:29 INFO [rdsLstnr-p-7-t-3] InetRadiusProcessor - REQUEST_AFTER_PREPROCESS:

Packet type: Access-Request

Identifier: 1

Authenticator: {46 65 68 AC 6F 46 23 DB F9 53 D5 47 83 9B 9F 2A}

Attributes:

User-Name=gmpr

CHAP-Password={01 1E 21 57 63 EB 7B AE B5 4C DF 8F 0D E9 C0 5D 5B}

NAS-IP-Address=192.168.0.34

NAS-Port=31

Service-Type=2

Framed-Protocol=1

Calling-Station-Id=f0:de:f1:9d:2b:f0

NAS-Port-Type=5

CHAP-Challenge={46 65 68 AC 6F 46 23 DB F9 53 D5 47 83 9B 9F 2A}

Called-Station-Id=a0:36:9f:2c:08:7a

 

 

вижу только отличие в том что пароль от абонента не приходит на accel.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.