arni Опубликовано 23 октября, 2012 · Жалоба arni, Я где-то здесь выкладывал патч. У меня ISGd.pl переписан под себя, но все равно гляну. спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 23 октября, 2012 · Жалоба У меня ISGd.pl переписан под себя, но все равно гляну. спасибо! Там важный момент - патч модуля ядра; иначе в ISGd не приходит событие о закрытии неавторизованной сессии по таймауту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sk1f Опубликовано 25 октября, 2012 · Жалоба Всем доброго времени суток. А кто нибудь над темой полисинга для нескольких ип адресов работает? Как можно организовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 26 октября, 2012 · Жалоба Всем доброго времени суток. А кто нибудь над темой полисинга для нескольких ип адресов работает? Как можно организовать? Где-то в этой теме выкладывали патч - я ставил и оно работает как надо. В продакшн можно ставить. в патче были инструкции как это дело привязывать к радиусу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telcomnet Опубликовано 2 ноября, 2012 (изменено) · Жалоба Можно ли как то при отрицательном балансе пользователя редиректить его на личный кабинет? Если есть то подскажите как включить/активировать. и есть ли возможность авторизовать клиента через веб Изменено 2 ноября, 2012 пользователем telcomnet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfedu Опубликовано 2 ноября, 2012 · Жалоба Можно ли как то при отрицательном балансе пользователя редиректить его на личный кабинет? Если есть то подскажите как включить/активировать. и есть ли возможность авторизовать клиента через веб Автор не допилил указанный функционал, и вероятней всего уже не допилит, если только самописные костыли у народа, просмотри всю ветку, где-то есть патчи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 21 ноября, 2012 · Жалоба "Основа" работает. Но.. Дошёл до изменения параметров полиси "на летУ".. Отправляю.. echo User-name=10.0.216.34,NAS-Identifier="lISG",Cisco-Account-Info="QU;2560000;480000;D;2560000;480000" | /usr/bin/radclient -x 127.0.0.1:3799 coa мой_хитрый_пароль Sending CoA-Request of id 242 to 127.0.0.1 port 3799 User-Name = "10.0.216.34" NAS-Identifier = "lISG" rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=242, length=20 Как-бы всё прекрасно. Ничто ничем не ругается, "какбЭ" всё скушало успешно. Но.. Вместо "ЩАСЬя" вижу это... ./ISG.pl User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 10.0.216.34 10.0.216.34 Virtual1 1AF930B5B1C4B09E 1092 29788 168038 0 0 Undefined A "До того как" у клиента было успешно установлено из биллинга (и _РАБОТАЛО_) 512К. Непосредственно с Radius-сервера атрибут "Cisco-Account-Info = "QU;512000;96000;D;512000;96000"" отправляется, принимается и работает успешно. А вот с СоА ... засада.. :( ЧЯДНТ? P.S. "Сервисы" для клиента пока не использую, только "персональные Radius атрибуты". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 22 ноября, 2012 · Жалоба AlKov, У меня вот так работает: /bin/echo NAS-IP-Address=$nasip,Acct-Session-Id=$session,Cisco-Account-Info="QU;2560000;480000;D;2560000;480000"|/usr/local/bin/radclient -x $nasip:3799 coa $naspw Возможно, нужно будет заключить Cisco-Account-Info в кавычки (т.е. в такой строке просто экранировать а-ля \"). Если я не ошибаюсь, NAS-IP-Address - обязательный атрибут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 22 ноября, 2012 · Жалоба [ AlKov, У меня вот так работает: /bin/echo NAS-IP-Address=$nasip,Acct-Session-Id=$session,Cisco-Account-Info="QU;2560000;480000;D;2560000;480000"|/usr/local/bin/radclient -x $nasip:3799 coa $naspw Возможно, нужно будет заключить Cisco-Account-Info в кавычки (т.е. в такой строке просто экранировать а-ля \"). Разобрался. Грёбаный bash!! Экранировать надо не только кавычки, но и ";", плюс ко всему еще "включить" это в echo (опция -е). Что примечательно, в NAS-identifier кавычки можно не экранировать, а вот в Cisco-Account-Info - обязательно. Вообщем, получилась такая строка echo -e User-Name=10.0.216.34,NAS-identifier="lISG",Cisco-Account-Info=\"QU\;6144000\;1152000\;D\;6144000\;1152000\" | /usr/bin/radclient -x 127.0.0.1:3799 coa пароль Если я не ошибаюсь, NAS-IP-Address - обязательный атрибут. Походу в последней версии не обязателен, а вот без NAS-identifier ругаетсяError-Cause = NAS-Identification-Mismatch P.S. Я так понял, что REDIRECT "заблокированных" автор так и не допилил и уже не собирается? И Вы выкладывали здесь патч под это дело, это он? Подойдёт ли патч под последнюю авторскую версию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 23 ноября, 2012 · Жалоба P.S. Я так понял, что REDIRECT "заблокированных" автор так и не допилил и уже не собирается? И Вы выкладывали здесь патч под это дело, это он? Подойдёт ли патч под последнюю авторскую версию? Это древний, я посвежее выкладывал - посмотрите здесь, где-то есть. Там версия уже то ли 8, то ли 9. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 23 ноября, 2012 · Жалоба Это древний, я посвежее выкладывал - посмотрите здесь, где-то есть. Там версия уже то ли 8, то ли 9. Не нашел.. Может этот (7-я версия)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 23 ноября, 2012 · Жалоба AlKov, Вот последний, что я у себя нашел: https://dl.dropbox.com/u/12495607/web_auth_v9.patch . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 24 ноября, 2012 (изменено) · Жалоба AlKov, Вот последний, что я у себя нашел: https://dl.dropbox.com/u/12495607/web_auth_v9.patch . Спасибо! Установил, но.. Весь мозг сломал, как редирект реализовать, нифига не пашет.. :( Сначала было так: в ipset IP заблокированного юзера не появляется, в логах демона вот это - Nov 24 22:41:17 router-fttx ISG[31352]: Timeout waiting RADIUS reply for '10.0.216.34' from '10.254.213.9:1812' Nov 24 22:41:17 router-fttx ISG[31352]: No more servers to retry for '10.0.216.34', give up С этим ("..Timeout waiting RADIUS..") разобрался.. Увеличил таймаут для радиуса (не пойму, почему он так долго отвечает при блокировке) $cfg{radius_auth}{0} = { server => "10.254.213.9:1812", timeout => 30, secret => "пароль" }; $cfg{radius_acct}{0} = { server => "10.254.213.9:1813", timeout => 30, secret => "пароль" }; в ipset IP стал добавляться и в логе соотв. инфа есть Nov 24 23:25:26 router-fttx ISG[31452]: Session '10.0.216.34' rejected by '10.254.213.9:1812' Nov 24 23:25:26 router-fttx ISG[31452]: Adding 10.0.216.34 to web auth list Дальше начались чудеса - в браузере "зациклилась" ссылка на страничку "дай денег".. Пока не въехал, где накосячил. Спать хочется.. :) Изменено 24 ноября, 2012 пользователем AlKov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 25 ноября, 2012 · Жалоба а COA отправить минимум по 2 аттрибутам ? NAS-IDENT и ACC-SESS-ID ? можно как-то реализовать NAS-IDENT + USER-NAME ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 25 ноября, 2012 · Жалоба AlKov, В iptables -j REDIRECT на локальный nginx добавили (конфиг приложен с патчем в папке contrib)? iptables REDIRECT-ит на nginx, который уже, в свою очередь отправляет HTTP Redirect-ом (во избежание cache poisoning в браузере) на страничку авторизации. Раньше я использовал для редиректов самописный http-сервер внутри ISGd.pl, но он нестабилен, и его лучше отключить. Кроме того, если маршрут к серверу со страницей проходит через lISG - нужно его явно разрешить. Похоже, у Вас такая ситуация - клиент пытается пройти к странице, ISG его перенаправляет, он пытается пройти к странице, ISG его перенаправляет, он пытается пройти к странице, ISG его перенаправляет, он пытается... :) kamae1ka, Как-то неприятно отвечать на вопрос, глядя на аватару с оттопыренным средним пальцем. Поэтому я склонен его проигнорировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kamae1ka Опубликовано 26 ноября, 2012 · Жалоба kamae1ka, Как-то неприятно отвечать на вопрос, глядя на аватару с оттопыренным средним пальцем. Поэтому я склонен его проигнорировать. спасибо, разобрался сам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 26 ноября, 2012 · Жалоба А кто-нибуть сталкивался с тем, что периодически для 1to1 nat lisg не добавляет роут в блекхол и соответственно не анонсирует на бордер? Происходит редко и не массово, но очень раздражает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 27 ноября, 2012 · Жалоба А кто-нибуть сталкивался с тем, что периодически для 1to1 nat lisg не добавляет роут в блекхол и соответственно не анонсирует на бордер? Происходит редко и не массово, но очень раздражает У меня бывает похожее, если IP используется на другом NASе; тогда, после отключения "левой" сессии, у нужной все равно не поднимается маршрут в IGP. Лечу кроном с проверкой, у всех ли сессий есть маршрут снаружи, раз в минуту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 27 ноября, 2012 · Жалоба На другом насе этих ипов 100% не возникает... А не накладно для сервера все сессии шерстить, ещё и раз в минуту? У нас сейчас в пике > 1.5к сессий Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 27 ноября, 2012 · Жалоба На другом насе этих ипов 100% не возникает... А не накладно для сервера все сессии шерстить, ещё и раз в минуту? У нас сейчас в пике > 1.5к сессий Нет, за секунду-две управляется. Тем более что на таком онлайне обычно 4 ядра, там можно одно ядро на пару секунд можно и занять. Зато насколько приятно на выходных смотреть на молчаливый телефон! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 27 ноября, 2012 · Жалоба ядер - 12 %) Попробую сделать проверки действительно, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 27 ноября, 2012 · Жалоба Wingman, У меня наколеночные скрипты есть, могу поделиться если чего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 27 ноября, 2012 · Жалоба Ну киньте в личку, если не сложно, чтобы зря не возиться =) так-то там врядли сложно, что-то вроде ./ISG.pl | grep 'внешники' | awk '{print $2}', а дальше просмотр и сравнение блекхолов? Спасибо ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 28 ноября, 2012 · Жалоба Wingman, Что-то вроде того, да. Только я смотрю сразу маршруты на бордере. На бордер: http://dl.dropbox.com/u/12495607/lisg_ips/script_border.tar.gz . На lISG: http://dl.dropbox.com/u/12495607/lisg_ips/script_nas.tar.gz . Поправить IP бордера (10.0.0.5) в check_sessions и пути к ISG.pl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 28 ноября, 2012 · Жалоба Спасибо =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...