[baronzzz]

baronzzz,

1. У вас редирект не включен? Неавторизованные сессии с редиректом именно как Z и выглядят.

2. А попробуйте-ка вообще не выдавать никакого сервиса - заработает ли.

 

 

1. У вас редирект не включен? Неавторизованные сессии с редиректом именно как Z и выглядят.

 

Нет, еще не включал.

Но из вывода радиуса понял что проблема БЫЛА в аккаутинге. Вроде решил проблем нет.

 

2. А попробуйте-ка вообще не выдавать никакого сервиса - заработает ли.

 

Спасибо все заработало.

 

 

 

Только вот такой вопрос родился...

 

Назначаю сервис, судя по тестам он отрабатывает...

 

При просмотре ISG.pl, он не выводит информации в колонках Rate-in Rate-out, но если запустить ISG.pl show_services он отображает сервис и скорость, я что то не уловил видимо, так и должно быть ?

Изменено 18 сентября, 2014 пользователем baronzzz

[baronzzz]

Родился еще один вопрос.

 

ТО что щас имею:

 

iptables

Chain POSTROUTING (policy ACCEPT 12 packets, 3241 bytes)
pkts bytes target     prot opt in     out     source               destination
  19  1549 SNAT       all  --  *      *       172.16.10.4          0.0.0.0/0           to:192.168.0.113

 

ISG.pl

 

User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
172.16.10.4     192.168.0.113   Virtual1      64CAE3F99B4C8698 302     18870      13033      0          0          Main session     A

 

Iptables -nvL

 

 2942  298K ISG        all  --  *      *       172.16.10.0/24       0.0.0.0/0           ISG initiator src mode

Chain FORWARD (policy ACCEPT 295K packets, 541M bytes)
pkts bytes target     prot opt in     out     source               destination
133K 6107K ISG        all  --  *      *       172.16.10.0/24       0.0.0.0/0           ISG initiator src mode
195K  591M ISG        all  --  *      *       0.0.0.0/0            172.16.10.0/24      ISG

 

 

Сеть абонента 172.16.10.0/24

Сеть (интрнет) 192.168.0.0/24

 

Если прописать где обратный маршрут пакетики бегают.

Если снатить (см. выше) то НАТ не отрабатывает...хотя счетчик меняется...В чем может быть проблема ?

Изменено 18 сентября, 2014 пользователем baronzzz

[baronzzz]

Есть некоторая проблема.

 

Если правила в iptables

iptables -A FORWARD -s 10.254.0.0/16 -j ISG --session-init
iptables -A FORWARD -d 10.254.0.0/16 -j ISG
iptables -A FORWARD -s 192.168.99.0/24 -j ISG --session-init
iptables -A FORWARD -d 192.168.99.0/24 -j ISG

 

добавить ручками, iptables их сьедает, все отрабатывает.

 

Если же эти правила сохранить /etc/sysconfig/iptables (centos)

 

Ошибка сохранения

Если ручками добавить их в /etc/sysconfig/iptables, а потом перегрузить iptables то:

iptables: Применяются правила межсетевого экрана: iptables-restore v1.4.7: unknown option `--session-init'
Error occurred at line: 20
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

 

 

Кто подскажет ? Что не так ?

Изменено 18 сентября, 2014 пользователем baronzzz

[Abram]

baronzzz,

Насчет шейпера: резать скорость можно двумя способами. Либо напрямую (вроде Cisco-Account-Info), либо сервисами (тогда можно разные шейперы вешать на разные направления, например). Первый вариант проще. Вы выбрали второй.

По iptables, у меня вот так (Debian):

grep ISG /etc/iptables/rules.v4 
-A FORWARD -m set --match-set lisg_networks src -j ISG --session-init --init-mode src
-A FORWARD -m set --match-set lisg_networks dst -j ISG

Мне кажется, у вас либо где-то очепятка, либо iptables в centos чудит.

[baronzzz]

Т.е. правильно ли я понял, когда я ввожу комманду ISG.pl, и вижу значения скорости, то я вижу значения по 1 варианту (вроде Cisco-Account-Info), а когда ISG.pl show_services то по второму ?

 

 

По iptables, у меня вот так (Debian):

 

А какая версия iptables ?

Изменено 18 сентября, 2014 пользователем baronzzz

[Abram]

Т.е. правильно ли я понял, когда я ввожу комманду ISG.pl, и вижу значения скорости, то я вижу значения по 1 варианту (вроде Cisco-Account-Info), а когда ISG.pl show_services то по второму ?

Именно.

По iptables, у меня вот так (Debian):

А какая версия iptables ?

1.4.14. Debian 7.

[baronzzz]

либо iptables в centos чудит.

 

Странно, за ним такого ни когда не бывало.

 

П.с. совсем забыл о любимом SeLinux. Проблема в нём )))

 

 

У меня вопрос.

 

Люди, кто каким образом осуществил контроль\назначение пользователю ИП?

 

Я так понял в любом случае надо использовать связку: IP+MAC+port(+id Switch`a) ?

 

 

Поделитесь опытом...

Изменено 22 сентября, 2014 пользователем baronzzz

[baronzzz]

Abram подскажи, если в базе появляется значение AREDIR (редирект на дай денег), то если учесть настройки по умолчанию (lISG), через 3 минуты сессия дропниться, клиент авторизуется заново ? Но у него уже появится сервис REDIR. И соответственно он попадет на страничку дай денег ?

 

Соответственно, если AREDIR в базе пропадает, значит услуга дост. в сеть доступна ?

Изменено 22 сентября, 2014 пользователем baronzzz

[Abram]

baronzzz,

Почему lISG должен дропать активную авторизованную сессию? Здесь надо CoA/PoD.

[baronzzz]

Abram ну так ведь есть же в настройки lISG параметр

 

### Session inactivity default timeout (disconnect session after this time) (in seconds)
$cfg{session_idle_timeout} = 10;

 

Правильно ли я понимаю, что после этого времени сессия убивается, т.е. клиенту приходиться заново авторизовываться, а соответственно получать новые атрибуты ?

[Abram]

baronzzz,

Session inactivity default timeout

Session inactivity timeout

inactivity timeout

inactivity

 

Нет. Неправильно.

[baronzzz]

Нет. Неправильно. 

Тогда кто может пояснить, что то уже путаюсь...вроде верно перевел...

 

 

Вопрос, на форуме пробигало сообщение о том что кто то пытался подружить lISG с bgbilling, получилось ?

Изменено 23 сентября, 2014 пользователем baronzzz

[Abram]

baronzzz,

Это таймаут, по которому авторизованная сессия закрывается по неактивности (idle). То есть перестали бегать пакеты (абонент отключил компьютер, свитч сгорел, дом рухнул, город захватил Годзилла) - через полчаса, допустим, после этого сессия обрывается. 10 секунд - это нонсенс. Минимально разумное значение - хотя бы 5 минут.

 

У неавторизованных сессий обычно есть лимит времени (скажем, минута), после которого сессия закрывается и производится повторная попытка авторизации - вот там как раз принудительно раз, скажем, в минуту обрывается сессия.

 

Если у вас абонент перешёл из состояния активного в неактивное (допустим, закончилась оплата) - необходимо обрывать сессию через PoD.

[baronzzz]

Значит выводы были правильные, просто дело в разумности ... :-)

[baronzzz]

У кого получилось подружить lISG с bgbilling ?

[C@T]

У кого получилось подружить lISG с bgbilling ?

у меня получилось сдружить с bgbilling 4.6 (при помощи небольшого напильника и такой-то матери)

с bgbilling 5.2 вообще без проблем,

но у меня очень старая версия lISG,

с новым lISG , наверное, еще легче

[Andry_81]

У кого получилось подружить lISG с bgbilling ?

у меня получилось сдружить с bgbilling 4.6 (при помощи небольшого напильника и такой-то матери)

с bgbilling 5.2 вообще без проблем,

но у меня очень старая версия lISG,

с новым lISG , наверное, еще легче

 

 

У меня получилось. Правда использую не самую последнюю версию, так как требуется NAT 1-1.

[wtyd]

Случайно нет инструкции о том, как lisg в бридже заставить работать ?

[twg]

ПРОшу помощи!

Не собирается на ядре 3.17.4

 

make[1]: Entering directory `/usr/src/kernels/linux-3.17.4'
 CC [M]  /usr/src/lISGd/kernel/isg_main.o
 CC [M]  /usr/src/lISGd/kernel/isg_nehash.o
/usr/src/lISGd/kernel/isg_nehash.c: In function ‘nehash_insert’:
/usr/src/lISGd/kernel/isg_nehash.c:100:5: error: implicit declaration of function ‘hlist_add_after’ [-Werror=implicit-function-declaration]
    hlist_add_after(&last_ne->list, &ne->list);
    ^
cc1: some warnings being treated as errors
make[2]: *** [/usr/src/lISGd/kernel/isg_nehash.o] Error 1
make[1]: *** [_module_/usr/src/lISGd/kernel] Error 2
make[1]: Leaving directory `/usr/src/kernels/linux-3.17.4'
make: *** [all] Error 2

 

-I$(KDIR)/include поудалял...

[banec]

Есть странная проблема

Сдружил LISG с netup Radius - вроде как вообще без проблем - авторезирует.

на тесте был один ip - сейчас пробую менять ip lisg и в итоге в логах радиуса

 

Attr: [32] Vendor: [0] Size 11; Data [0x3137322e31362e312e3634]

(NAS-Identifier=STRING:172.16.1.64) -----!!!! где старый ip!!!

 

и вместо пароля кракозябры

Dec 03 14:18:05 ?Debug : 502ec700 AuthMethodPAP: user password <12345> vs PAP password <I,.s........YҠ.>

Dec 03 14:18:05 ERROR : 502ec700 AuthQueue: PAP authentication failed

 

пробывал скомпелить по новой модуль не помогает. меняю обратно ip все работает

где он что привязывает? мозг сломал

[banec]

ip поборол - был в хосте забит

что делать с паролем не понятно

[Abram]

Сверьте shared secret.

Хотя вообще проверку пароля надо отключать - там всё равно какая-то фигня приходит.

[linx]

кто уже пользуеться может скажет как lisg будет работать в смешанной схеме: белые IP (их натить не надо) + серые (их нужно натить) на одном сервере, если будет привязан к радиусу. радиус нетапа обязательно для аутентификации требует Framed-IP-Address, белые lisg тоже будет натить?

 

и второй вопрос: если радиусов два, с разными пользователями - lisg сможет авторизовывать их? просто так сложилось что их два и это уже не изменишь.

[zeleniy]

кто уже пользуеться может скажет как lisg будет работать в смешанной схеме: белые IP (их натить не надо) + серые (их нужно натить) на одном сервере, если будет привязан к радиусу. радиус нетапа обязательно для аутентификации требует Framed-IP-Address, белые lisg тоже будет натить?

 

и второй вопрос: если радиусов два, с разными пользователями - lisg сможет авторизовывать их? просто так сложилось что их два и это уже не изменишь.

серые натит, белые нет, 2 радиуса легко

[linx]

тогда стоит попробовать собрать солянку accel-pptpd (терминация ip unumbered) -> lisg (shaper, nat)