BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба Хотел бы услышать совета, какой из биллингов умеет производить авторизацию по маку+айпи по следующему сценарию Изначально все пользователи в гостевой сети Монтажник приходит к пользователю у него контракт с его логином и паролём После завершения монтажных работ пользователь при открытии любой страницы попадает на портал авторизаци ввводит логин и пароль получает айпи и система запоминает его мак. Т.е. происходит связка мак+айпи В соедущий раз эти данные не запрашиваются До того момента, пока пользователь не сменил мак. И где так можно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 28 сентября, 2009 · Жалоба это все равно что вырезать гланды через задний проход я понимаю, иногда "хочется странного", но лучше не пытайтесь пойти своим особым путем, а изучайте Best practice других эзернетчиков, коих на форуме достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба это все равно что вырезать гланды через задний проход я понимаю, иногда "хочется странного", но лучше не пытайтесь пойти своим особым путем, а изучайте Best practice других эзернетчиков, коих на форуме достаточно. Простите что странного в данном сценарии? Я этот сценарий взял с некоммерческого биллинга и он работает. Нужен такой же, но на коммерческом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 28 сентября, 2009 · Жалоба дело в том, что пользователь - это не mac и даже не ip. Слишком много факторов, которые не подпадают под такой сценарий. Например: У юзера может быть несколько компьютеров, с которых он может работать одновременно, или например у пользователя наружу ходит только какой-нибудь впн по gre протоколу, как он будет авторизовываться в таком случае? Что будет, если кто-то поставит себе ip и mac соседа? Я так понимаю, что весь доступ планируется на неуправляемых свитчах, иначе какой смысл привязываться к маку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба дело в том, что пользователь - это не mac и даже не ip. Слишком много факторов, которые не подпадают под такой сценарий. Например: У юзера может быть несколько компьютеров, с которых он может работать одновременно, или например у пользователя наружу ходит только какой-нибудь впн по gre протоколу, как он будет авторизовываться в таком случае? Что будет, если кто-то поставит себе ip и mac соседа? Я так понимаю, что весь доступ планируется на неуправляемых свитчах, иначе какой смысл привязываться к маку? Доступ на управляемых свитчах DES-3028, я почему не захотел использовать Опцию 82, только по причине того, что если человека несколько компьютеров в доме и например каждый член семьи хочет платить отдельно, поэтому каждый вводил свой логин и пароль и соответственно регестрируется.Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028. Просто не хочется тунелей PPPoe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
КузярБ Опубликовано 28 сентября, 2009 · Жалоба Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.Просто не хочется тунелей PPPoe. Извиняюсь, вопрос немного не в тему - пржде чем искать биллинг вы проверяли, это все реально работает? Просто, скажем у Zyxelя как-то не очень, вот интересно как с этим у Dlink-а. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба Выделенно будет влан на коммутатор доступа, будут использованы İP Source Guard,DHCP snopping и соответственно методы защиты от arp-spoofing применяемые в DES-3028.Просто не хочется тунелей PPPoe. Извиняюсь, вопрос немного не в тему - пржде чем искать биллинг вы проверяли, это все реально работает? Просто, скажем у Zyxelя как-то не очень, вот интересно как с этим у Dlink-а. У D-link работает.Только я всеравно не вижу коммерческого биллинга умеющего работать именно по такому сценарию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 28 сентября, 2009 · Жалоба А как отрабатывать До того момента, пока пользователь не сменил мак.? Что-то я не заметил в 3028 возможность не блочить, а, к примеру, пихать в гостевой влан ACLем.. Или тут фильтр не планируется вообще ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба А как отрабатыватьДо того момента, пока пользователь не сменил мак.? Что-то я не заметил в 3028 возможность не блочить, а, к примеру, пихать в гостевой влан ACLем.. Или тут фильтр не планируется вообще ? Да блокировать можно как угожно и на доступе мак+айпи биндинг и в агрегации ацл-ами. С этти труда нет. Вопросто только в осуществлении автоматизации данной привязки. а все вопросы безопасности весьма успешно решаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 28 сентября, 2009 · Жалоба За деньги можно сделать все что угодно И даже ваш функционал прикрутить ко многим биллингам Но соглашусь с Andrеw это изврат Да и пользователй которые пожелали логинится под своим логином в одной квартире - 2 на 10.000 (им каждому провод протянули) Вы уверены что это вам реально нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
satboy Опубликовано 28 сентября, 2009 · Жалоба как понять изврат? Хочеш 10 компов - ставь роутер или ставь на всех одинаковый мак/ip.. А вообще - идеальный способ привязки - статус ставим активен, сам подхватывает маску/ip если вбит IP или на странице авторизации вбиваем номер договора и автоматом на этот mac будет идти IP такой-то. контакты на биллинг, который примерно так работает - отправил в личку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба За деньги можно сделать все что угодноИ даже ваш функционал прикрутить ко многим биллингам Но соглашусь с Andrеw это изврат Да и пользователй которые пожелали логинится под своим логином в одной квартире - 2 на 10.000 (им каждому провод протянули) Вы уверены что это вам реально нужно? Ну в принципе Вы правы откажусь я от этой затеи. Кому надо пусть себе роутер ставит. А логин и пароль буду использовать для регистрация порта абонента - привязки к нему İP и всё. Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
satboy Опубликовано 28 сентября, 2009 (изменено) · Жалоба Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.почему одну? хоть 10, на каждый комп.. У вас нет уже коммуналок? Абонент Иван Петрович, два звонка :) Не во всех коммуналках додумались ставить общий роутер на всех... или не все готовы в отдельных квартирах делить свой инет с домашними - например когда старший брат не хочет свой трафик, лимитированный по объему делить с младшим - который засирает 1(5)мегабитную полосу и готов за это получить второй аккаунт зы - Иногда в коммуналках даже встречаются персональные трубки домофонов.. например квартира 30, и общая трубка у входа - 30... а внутри у народа - 301,302, 303 :) Изменено 28 сентября, 2009 пользователем satboy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 28 сентября, 2009 · Жалоба Ведь не могу же я закручать контракт с разными абонентами проживающими по одному адресу, физическую линию даю ведь им одну.почему одну? хоть 10, на каждый комп.. У вас нет уже коммуналок? Абонент Иван Петрович, два звонка :) Не во всех коммуналках додумались ставить общий роутер на всех... или не все готовы в отдельных квартирах делить свой инет с домашними - например когда старший брат не хочет свой трафик, лимитированный по объему делить с младшим - который засирает 1(5)мегабитную полосу и готов за это получить второй аккаунт зы - Иногда в коммуналках даже встречаются персональные трубки домофонов.. например квартира 30, и общая трубка у входа - 30... а внутри у народа - 301,302, 303 :) Да у нас коммуналки полностью ликвидированы. Ни одной осталось. Все в отдельных квартирах живут. Надо мне почитать закон о телекоммуникациях. Но видимо Вы правы каждый гражданини с адрессом проживания имеет право получать услугу отдельно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 29 сентября, 2009 · Жалоба Не вижу никаких проблем, костыль для нетап утм написать, и будет регаться и авторизовываться, как захотите))) а если заплатите писателю денег то будет вам комерческий продукт) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dk_ Опубликовано 29 сентября, 2009 · Жалоба У нас в «Гидре» так можно сделать с помощью штатного API. Задача несложная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 29 сентября, 2009 · Жалоба BudushiyISP, вопрос, как вы собираетесь переадресовывать запросы с порта без привязки на портал регистрации мака? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jp1111 Опубликовано 29 сентября, 2009 (изменено) · Жалоба И где так можно ?Правильно Вам подсказывают коллега, не надо велосипед придумывать, уже все за Вас придумали. Во-первых есть способ отказаться от туннелей с привязкой к порту вот так http://www.lanbilling.ru/dhcp_radius.htmlВо-вторых, ту ситуацию под которую Вы расчитываете "свой" алгоритм массовой назвать рот не открывается. Изменено 29 сентября, 2009 пользователем jp1111 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 30 сентября, 2009 · Жалоба Ух ребята, благо письмом мне сегодня сообщили из компитентных органов сертифитированный биллинг уже не нужен. Только сам сервер с сертикатом должен быть. Всё можно использовать Abills или Nodenу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
micros Опубликовано 30 сентября, 2009 · Жалоба О nodeny на форуме не лестно отзывались. Поищите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 30 сентября, 2009 · Жалоба О nodeny на форуме не лестно отзывались. ПоищитеКто это о Nodeny не лестно? я сам его использую пока бесплатную версию. Очень продуманный билинг.Просто нужно модуля там мне нет и поэтому пока, что обычный PPPoE, VLAN на пользователя. Т.е. два сценария подключения. PPPoE хочу избавиться, VLAN именно на пользователя мне не нужен. Хочу именно сценарий описанный выше. Почему именно этот сценарий ? чтобы пользователя сделать мобильным и меньше следить за портами. Где ввёл свой логин и пароль там и прошёл регистрацию и пользуются. Вот так то :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 30 сентября, 2009 · Жалоба Как делал я ( без привязки к биллингу вообще ) -Стоит отдельный сервер. На свитчах D-LINK включен IP-MAC-Binding на всех абонентских портах. -При обнаружении свитчем неавторизованной связи MAC-IP-Port свитч отсылает SNMP Trap на выделенный сервер. -Сервер проверяет связку по своей базе данных, и в случае если данный IP или MAC еще не занят каким-то абонентом - сохраняет информацию в базу данных и прописывает IP-MAC-связку в свитче. То есть с точки зрения монтажника выглядит так -- он приходит к абоненту с уже прописанным в договоре IP и настраивает его на компьютере абонента. Дальше IP привязывается на свитче и в базе данных абсолютно прозрачно. У технической поддержки есть страница поисковых запросов к базе с историй привязок IP к портам и коммутаторам ( вместе с геобазой коммутаторов ) , а так же история отказов в привязке. При обращении абонента у них есть единственная кнопка "разрушить привязку". Если абонент например сетевую плату поменял или его в другой порт переткнули. В реальности там конечно сложнее и есть ряд тонкостей и вспомогательных скриптов разных. Но общая суть такая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jp1111 Опубликовано 30 сентября, 2009 · Жалоба мне сегодня сообщили из компитентных органов сертифитированный биллинг уже не нужен. Только сам сервер с сертикатом должен быть.Коллеги! Да это ж БОМБА :) .... если это правда :), к сожалению, это врядли. Вы сами-то верите в альтруизм нашего государства? Ррррраз, в один день, и отказались от института сертификации. Испытательные лаборатории, органы, управление - все уволились теперь ? Я Вас расстрою коллега. Сказки закончились. Еще в детстве. Да, и еще 152 ФЗ почитайте к слову. Так что Вам путь либо к обезличке либо к _дважды_ сертифицированному биллингу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
abutkeev Опубликовано 30 сентября, 2009 · Жалоба Да, и еще 152 ФЗ почитайте к слову. Так что Вам путь либо к обезличке либо к _дважды_ сертифицированному биллингу. Кстати, может подскажете, где в 152 ФЗ и связанной с ним нормативке написано хоть слово про обязательную сертификацию. Трижды всё прочитал - не нашел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 30 сентября, 2009 · Жалоба да он вообще не в России :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...