[SmallFox]

SmallFox,

Регулярка в vlan-mon неправильная. Для начала пробовать так:

vlan-mon=eth2.99
interface=re:eth2\.99\.\d*

 

В логах ничего...

 

при ...

vlan-mon=eth2.99,100-109
interface=re:eth2\.9[0-9]

в логах...

[2014-07-15 11:31:59]:  info: eth2.99: recv [DHCPv4 Discover xid=1be0ea42 chaddr=bc:ae:c5:09:51:8a  .......
[2014-07-15 11:32:00]:  warn: eth2.99: authentication failed
[2014-07-15 11:32:00]: debug: eth2.99: terminate
[2014-07-15 11:32:00]:  info: eth2.99: ipoe: session finished

 

 

... радиус откликается, не еще не настроен

 

 

при

vlan-mon=eth2,100-109

interface=re:eth2\.10[0-9]

создаются автоматически eth2.100 ... eth2.109

Изменено 15 июля, 2014 пользователем SmallFox

[kayot]

SmallFox

Вы как-то плохо читаете.

vlan-mon=re:eth2\.9[0-9],100-109
interface=re:eth2\.9[0-9]
interface=re:eth2\.9[0-9]\.10[0-9]

[SmallFox]

Сделал как написано:

SmallFox

Вы как-то плохо читаете.

vlan-mon=re:eth2\.9[0-9],100-109
interface=re:eth2\.9[0-9]
interface=re:eth2\.9[0-9]\.10[0-9]

в логах ...

[2014-07-15 12:18:46]:  info: eth2.99: recv [DHCPv4 Discover xid=18d7fc24 ....
[2014-07-15 12:18:47]:  warn: eth2.99: authentication failed
[2014-07-15 12:18:47]: debug: eth2.99: terminate
[2014-07-15 12:18:47]:  info: eth2.99: ipoe: session finished

не создаются eth2.99.10X

[Dimka88]

Сделал как написано:

kayot (Сегодня, 10:02) писал:

SmallFox

Вы как-то плохо читаете.

vlan-mon=re:eth2\.9[0-9],100-109

interface=re:eth2\.9[0-9]

interface=re:eth2\.9[0-9]\.10[0-9]

 

 

в логах ...

[2014-07-15 12:18:46]:  info: eth2.99: recv [DHCPv4 Discover xid=18d7fc24 ....

[2014-07-15 12:18:47]:  warn: eth2.99: authentication failed

[2014-07-15 12:18:47]: debug: eth2.99: terminate

[2014-07-15 12:18:47]:  info: eth2.99: ipoe: session finished

 

не создаются eth2.99.10X

Покажите tcpdump -i eth2 -n -v, а то не пойму есть там qinq или нет.

[kayot]

Значит qinq не работает, у вас явно трафик бегает с 1 тегом и вообще без тегов(какой-то нейтив).

[Cramac]

Многоуважаемый олл.

А можно ли в схеме IPOE отключить блокировку вообще? оставить только что бы accel добавлял таких в ipset таблицу?

Потому как в текущем варианте не получается открыть доступ к ЛК и другим нужным ресурсам что должны работать всегда. Да и редирект не работает, accel режет все на корню...

 

Мне кажется таких лучше блокировать самим, правилом в iptables

[h1vs2]

Многоуважаемый олл.

А можно ли в схеме IPOE отключить блокировку вообще? оставить только что бы accel добавлял таких в ipset таблицу?

Потому как в текущем варианте не получается открыть доступ к ЛК и другим нужным ресурсам что должны работать всегда. Да и редирект не работает, accel режет все на корню...

 

Мне кажется таких лучше блокировать самим, правилом в iptables

 

Так а что не так?

 

Мы так и сделали на халтуре, где accel использовали.

 

l4-redirect-ipset=guest-ipoe
attr-l4-redirect=L4-Redirect

 

Из радиуса передается l4-redirect атрибут.

 

Есть вторая ipset таблица, где перечислены ресурсы куда ходить можно. Ну и дальше через iptables все.

[Cramac]

А какой у вас билд? У меня на последнем не работает. В ипсет добавляет, все блокируется намертво, хотя правил в иптейблс только нат.

[NiTr0]

А можно ли в схеме IPOE отключить блокировку вообще? оставить только что бы accel добавлял таких в ipset таблицу?

Я бы это делал биллингом. Выдавал бы адрес из отдельного пула к примеру. Сессия-то будет в биллинге висеть...

[Cramac]

к сожалению, у меня УТМ, и там особо таких фич нет. Поэтому делаем как есть :)

Да и зачем напрягать биллинг, когда accel может ип неплательщика добавить в ipset

[NiTr0]

UTM - он как, с закрытыми исходниками? Или можно допиливать?

[Abram]

UTM - он как, с закрытыми исходниками? Или можно допиливать?

Андрюх, ты чего? Если его исходники открыть - это ж глаза у людей вытекут.

[s.lobanov]

UTM - он как, с закрытыми исходниками? Или можно допиливать?

закрытый. есть API(оплачивается отдельно). какие-то мелочи-костыли можно сделать

[purecopper]

Cramac

Мы тоже используем UTM.

Доступ в инет рулим через ipset. В iptables есть соответствующие правила, разрешающие доступ при отключенном Интернет доступ к биллингу и локальным ресурсам.

Как только абонент включает доступ к Интернет - шлём на accel coa-запрос.

Самое главное, кмк, в связке accel+UTM5 выбросить нафиг UTM`овский радиус и перейти на Freeradius, а с ним можно реализовать практически любую хотелку.

[911]

Cramac

Мы тоже используем UTM.

Доступ в инет рулим через ipset. В iptables есть соответствующие правила, разрешающие доступ при отключенном Интернет доступ к биллингу и локальным ресурсам.

Как только абонент включает доступ к Интернет - шлём на accel coa-запрос.

Самое главное, кмк, в связке accel+UTM5 выбросить нафиг UTM`овский радиус и перейти на Freeradius, а с ним можно реализовать практически любую хотелку.

для фрирадиуса надо же покупать лицензию на api ?

[purecopper]

911

Ничего не надо - все данные берем напрямую из SQL.

За основу брали вариант

http://www.netup.ru/phpbb/viewtopic.php?t=7948

и творчески его переработали.

Изменено 16 июля, 2014 пользователем purecopper

[Cramac]

это все координальные переделки, как мне кажется проще убрать в accel дроп всех неавторизированных и все :)

[nik247]

это все координальные переделки, как мне кажется проще убрать в accel дроп всех неавторизированных и все :)

А это Вам не подойдет?

[ipoe]

noauth=1

[Cramac]

предполагаю что это совсем отключит авторизацию? оно мне не надо.

Хочу что бы accel авторизованных пускал как и пускает, а НЕ авторизованных просто добавлял в ipset но трафик не дропал. Дропать хочу сам правилом в iptables

[purecopper]

Cramac

С UTM radius это точно не получится. Проще потратить пару дней и переделать на Freeradius, чем пользоваться этой поделкой.

[Cramac]

Почему же? Поискать с исходниках модуля где там дропает и убрать :)

[s.lobanov]

Cramac

Мы тоже используем UTM.

Доступ в инет рулим через ipset. В iptables есть соответствующие правила, разрешающие доступ при отключенном Интернет доступ к биллингу и локальным ресурсам.

Как только абонент включает доступ к Интернет - шлём на accel coa-запрос.

Самое главное, кмк, в связке accel+UTM5 выбросить нафиг UTM`овский радиус и перейти на Freeradius, а с ним можно реализовать практически любую хотелку.

для фрирадиуса надо же покупать лицензию на api ?

 

Либо покупать API и удобным способом выгружать всё во фрирадиус, либо самому разбираться в структуре БД и писать sql-запросы, при обновлениях биллинга, ваши запросы могут перестать работать

 

Ну ещё можно разреверсить код их личного кабинета на php, там вызываются функции API по номеру (обфускация)

[purecopper]

s.lobanov

Есть ещё вариант использовать ourfa или php urfa.

[roysbike]

предполагаю что это совсем отключит авторизацию? оно мне не надо.

Хочу что бы accel авторизованных пускал как и пускает, а НЕ авторизованных просто добавлял в ipset но трафик не дропал. Дропать хочу сам правилом в iptables

я так и сделал, через freeradius , отдаю guest pool а для guest pool redirect на регистрацию

 

if ("%{sql:SELECT COUNT(*) FROM `radcheck` WHERE username = '%{User-Name}' AND mac = '%{Calling-Station-Id}'}" >= 1 && NAS-Identifier == "ipoe") {
ok

update control {
        Auth-Type := "Accept"
}
}

elsif (NAS-Identifier == "mpd") {
ok
}

elsif (NAS-Identifier == "accel-ppp") {
ok
}


else {
update control {
        Auth-Type := "Accept"
        Pool-Name:= main_pool
}

update reply {
         Framed-IP-Address !* ANY
         Framed-IP-Netmask !* ANY
         Reply-Message = "Hello ,CVLAN + %{User-name} not allowed or  %{User-Name} not registered"

        }
}

Изменено 16 июля, 2014 пользователем roysbike

[NiTr0]

Хочу что бы accel авторизованных пускал как и пускает, а НЕ авторизованных просто добавлял в ipset но трафик не дропал.

Есть же какой-то rejected pool что ли (лень маны поднимать)...