SmallFox Опубликовано 15 июля, 2014 (изменено) · Жалоба SmallFox, Регулярка в vlan-mon неправильная. Для начала пробовать так: vlan-mon=eth2.99 interface=re:eth2\.99\.\d* В логах ничего... при ... vlan-mon=eth2.99,100-109 interface=re:eth2\.9[0-9] в логах... [2014-07-15 11:31:59]: info: eth2.99: recv [DHCPv4 Discover xid=1be0ea42 chaddr=bc:ae:c5:09:51:8a ....... [2014-07-15 11:32:00]: warn: eth2.99: authentication failed [2014-07-15 11:32:00]: debug: eth2.99: terminate [2014-07-15 11:32:00]: info: eth2.99: ipoe: session finished ... радиус откликается, не еще не настроен при vlan-mon=eth2,100-109 interface=re:eth2\.10[0-9] создаются автоматически eth2.100 ... eth2.109 Изменено 15 июля, 2014 пользователем SmallFox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 15 июля, 2014 · Жалоба SmallFox Вы как-то плохо читаете. vlan-mon=re:eth2\.9[0-9],100-109 interface=re:eth2\.9[0-9] interface=re:eth2\.9[0-9]\.10[0-9] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmallFox Опубликовано 15 июля, 2014 · Жалоба Сделал как написано: SmallFox Вы как-то плохо читаете. vlan-mon=re:eth2\.9[0-9],100-109 interface=re:eth2\.9[0-9] interface=re:eth2\.9[0-9]\.10[0-9] в логах ... [2014-07-15 12:18:46]: info: eth2.99: recv [DHCPv4 Discover xid=18d7fc24 .... [2014-07-15 12:18:47]: warn: eth2.99: authentication failed [2014-07-15 12:18:47]: debug: eth2.99: terminate [2014-07-15 12:18:47]: info: eth2.99: ipoe: session finished не создаются eth2.99.10X Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 15 июля, 2014 · Жалоба Сделал как написано: kayot (Сегодня, 10:02) писал: SmallFox Вы как-то плохо читаете. vlan-mon=re:eth2\.9[0-9],100-109 interface=re:eth2\.9[0-9] interface=re:eth2\.9[0-9]\.10[0-9] в логах ... [2014-07-15 12:18:46]: info: eth2.99: recv [DHCPv4 Discover xid=18d7fc24 .... [2014-07-15 12:18:47]: warn: eth2.99: authentication failed [2014-07-15 12:18:47]: debug: eth2.99: terminate [2014-07-15 12:18:47]: info: eth2.99: ipoe: session finished не создаются eth2.99.10X Покажите tcpdump -i eth2 -n -v, а то не пойму есть там qinq или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 15 июля, 2014 · Жалоба Значит qinq не работает, у вас явно трафик бегает с 1 тегом и вообще без тегов(какой-то нейтив). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 15 июля, 2014 · Жалоба Многоуважаемый олл. А можно ли в схеме IPOE отключить блокировку вообще? оставить только что бы accel добавлял таких в ipset таблицу? Потому как в текущем варианте не получается открыть доступ к ЛК и другим нужным ресурсам что должны работать всегда. Да и редирект не работает, accel режет все на корню... Мне кажется таких лучше блокировать самим, правилом в iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 15 июля, 2014 · Жалоба Многоуважаемый олл. А можно ли в схеме IPOE отключить блокировку вообще? оставить только что бы accel добавлял таких в ipset таблицу? Потому как в текущем варианте не получается открыть доступ к ЛК и другим нужным ресурсам что должны работать всегда. Да и редирект не работает, accel режет все на корню... Мне кажется таких лучше блокировать самим, правилом в iptables Так а что не так? Мы так и сделали на халтуре, где accel использовали. l4-redirect-ipset=guest-ipoe attr-l4-redirect=L4-Redirect Из радиуса передается l4-redirect атрибут. Есть вторая ipset таблица, где перечислены ресурсы куда ходить можно. Ну и дальше через iptables все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 15 июля, 2014 · Жалоба А какой у вас билд? У меня на последнем не работает. В ипсет добавляет, все блокируется намертво, хотя правил в иптейблс только нат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 июля, 2014 · Жалоба А можно ли в схеме IPOE отключить блокировку вообще? оставить только что бы accel добавлял таких в ipset таблицу? Я бы это делал биллингом. Выдавал бы адрес из отдельного пула к примеру. Сессия-то будет в биллинге висеть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 15 июля, 2014 · Жалоба к сожалению, у меня УТМ, и там особо таких фич нет. Поэтому делаем как есть :) Да и зачем напрягать биллинг, когда accel может ип неплательщика добавить в ipset Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 июля, 2014 · Жалоба UTM - он как, с закрытыми исходниками? Или можно допиливать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 16 июля, 2014 · Жалоба UTM - он как, с закрытыми исходниками? Или можно допиливать? Андрюх, ты чего? Если его исходники открыть - это ж глаза у людей вытекут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 июля, 2014 · Жалоба UTM - он как, с закрытыми исходниками? Или можно допиливать? закрытый. есть API(оплачивается отдельно). какие-то мелочи-костыли можно сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 16 июля, 2014 · Жалоба Cramac Мы тоже используем UTM. Доступ в инет рулим через ipset. В iptables есть соответствующие правила, разрешающие доступ при отключенном Интернет доступ к биллингу и локальным ресурсам. Как только абонент включает доступ к Интернет - шлём на accel coa-запрос. Самое главное, кмк, в связке accel+UTM5 выбросить нафиг UTM`овский радиус и перейти на Freeradius, а с ним можно реализовать практически любую хотелку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
911 Опубликовано 16 июля, 2014 · Жалоба Cramac Мы тоже используем UTM. Доступ в инет рулим через ipset. В iptables есть соответствующие правила, разрешающие доступ при отключенном Интернет доступ к биллингу и локальным ресурсам. Как только абонент включает доступ к Интернет - шлём на accel coa-запрос. Самое главное, кмк, в связке accel+UTM5 выбросить нафиг UTM`овский радиус и перейти на Freeradius, а с ним можно реализовать практически любую хотелку. для фрирадиуса надо же покупать лицензию на api ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 16 июля, 2014 (изменено) · Жалоба 911 Ничего не надо - все данные берем напрямую из SQL. За основу брали вариант http://www.netup.ru/phpbb/viewtopic.php?t=7948 и творчески его переработали. Изменено 16 июля, 2014 пользователем purecopper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 июля, 2014 · Жалоба это все координальные переделки, как мне кажется проще убрать в accel дроп всех неавторизированных и все :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 16 июля, 2014 · Жалоба это все координальные переделки, как мне кажется проще убрать в accel дроп всех неавторизированных и все :) А это Вам не подойдет? [ipoe] noauth=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 июля, 2014 · Жалоба предполагаю что это совсем отключит авторизацию? оно мне не надо. Хочу что бы accel авторизованных пускал как и пускает, а НЕ авторизованных просто добавлял в ipset но трафик не дропал. Дропать хочу сам правилом в iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 16 июля, 2014 · Жалоба Cramac С UTM radius это точно не получится. Проще потратить пару дней и переделать на Freeradius, чем пользоваться этой поделкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 июля, 2014 · Жалоба Почему же? Поискать с исходниках модуля где там дропает и убрать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 июля, 2014 · Жалоба Cramac Мы тоже используем UTM. Доступ в инет рулим через ipset. В iptables есть соответствующие правила, разрешающие доступ при отключенном Интернет доступ к биллингу и локальным ресурсам. Как только абонент включает доступ к Интернет - шлём на accel coa-запрос. Самое главное, кмк, в связке accel+UTM5 выбросить нафиг UTM`овский радиус и перейти на Freeradius, а с ним можно реализовать практически любую хотелку. для фрирадиуса надо же покупать лицензию на api ? Либо покупать API и удобным способом выгружать всё во фрирадиус, либо самому разбираться в структуре БД и писать sql-запросы, при обновлениях биллинга, ваши запросы могут перестать работать Ну ещё можно разреверсить код их личного кабинета на php, там вызываются функции API по номеру (обфускация) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
purecopper Опубликовано 16 июля, 2014 · Жалоба s.lobanov Есть ещё вариант использовать ourfa или php urfa. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 16 июля, 2014 (изменено) · Жалоба предполагаю что это совсем отключит авторизацию? оно мне не надо. Хочу что бы accel авторизованных пускал как и пускает, а НЕ авторизованных просто добавлял в ipset но трафик не дропал. Дропать хочу сам правилом в iptables я так и сделал, через freeradius , отдаю guest pool а для guest pool redirect на регистрацию if ("%{sql:SELECT COUNT(*) FROM `radcheck` WHERE username = '%{User-Name}' AND mac = '%{Calling-Station-Id}'}" >= 1 && NAS-Identifier == "ipoe") { ok update control { Auth-Type := "Accept" } } elsif (NAS-Identifier == "mpd") { ok } elsif (NAS-Identifier == "accel-ppp") { ok } else { update control { Auth-Type := "Accept" Pool-Name:= main_pool } update reply { Framed-IP-Address !* ANY Framed-IP-Netmask !* ANY Reply-Message = "Hello ,CVLAN + %{User-name} not allowed or %{User-Name} not registered" } } Изменено 16 июля, 2014 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 июля, 2014 · Жалоба Хочу что бы accel авторизованных пускал как и пускает, а НЕ авторизованных просто добавлял в ipset но трафик не дропал. Есть же какой-то rejected pool что ли (лень маны поднимать)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...