[arni]

arni,

Я где-то здесь выкладывал патч.

 

У меня ISGd.pl переписан под себя, но все равно гляну. спасибо!

[Abram]

У меня ISGd.pl переписан под себя, но все равно гляну. спасибо!

Там важный момент - патч модуля ядра; иначе в ISGd не приходит событие о закрытии неавторизованной сессии по таймауту.

[Sk1f]

Всем доброго времени суток. А кто нибудь над темой полисинга для нескольких ип адресов работает? Как можно организовать?

[arni]

Всем доброго времени суток. А кто нибудь над темой полисинга для нескольких ип адресов работает? Как можно организовать?

 

Где-то в этой теме выкладывали патч - я ставил и оно работает как надо. В продакшн можно ставить.

в патче были инструкции как это дело привязывать к радиусу.

[telcomnet]

Можно ли как то при отрицательном балансе пользователя редиректить его на личный кабинет?

Если есть то подскажите как включить/активировать. и есть ли возможность авторизовать клиента через веб

Изменено 2 ноября, 2012 пользователем telcomnet

[sfedu]

Можно ли как то при отрицательном балансе пользователя редиректить его на личный кабинет?

Если есть то подскажите как включить/активировать. и есть ли возможность авторизовать клиента через веб

Автор не допилил указанный функционал, и вероятней всего уже не допилит, если только самописные костыли у народа, просмотри всю ветку, где-то есть патчи.

[AlKov]

"Основа" работает. Но..

Дошёл до изменения параметров полиси "на летУ".. Отправляю..

echo User-name=10.0.216.34,NAS-Identifier="lISG",Cisco-Account-Info="QU;2560000;480000;D;2560000;480000" | /usr/bin/radclient -x 127.0.0.1:3799 coa мой_хитрый_пароль
Sending CoA-Request of id 242 to 127.0.0.1 port 3799
       User-Name = "10.0.216.34"
       NAS-Identifier = "lISG"
rad_recv: CoA-ACK packet from host 127.0.0.1 port 3799, id=242, length=20

Как-бы всё прекрасно. Ничто ничем не ругается, "какбЭ" всё скушало успешно. Но.. Вместо "ЩАСЬя" вижу это...

./ISG.pl
User IP-address NAT IP-address  Port number   Uniq. Identifier Durat.  Octets-in  Octets-out Rate-in    Rate-out   Service name     Flags
10.0.216.34     10.0.216.34     Virtual1      1AF930B5B1C4B09E 1092    29788      168038     0          0          Undefined        A

"До того как" у клиента было успешно установлено из биллинга (и _РАБОТАЛО_) 512К.

Непосредственно с Radius-сервера атрибут "Cisco-Account-Info = "QU;512000;96000;D;512000;96000"" отправляется, принимается и работает успешно. А вот с СоА ... засада.. :(

ЧЯДНТ?

 

P.S. "Сервисы" для клиента пока не использую, только "персональные Radius атрибуты".

[Abram]

AlKov,

У меня вот так работает:

/bin/echo NAS-IP-Address=$nasip,Acct-Session-Id=$session,Cisco-Account-Info="QU;2560000;480000;D;2560000;480000"|/usr/local/bin/radclient -x $nasip:3799 coa $naspw

Возможно, нужно будет заключить Cisco-Account-Info в кавычки (т.е. в такой строке просто экранировать а-ля \").

Если я не ошибаюсь, NAS-IP-Address - обязательный атрибут.

[AlKov]

[

AlKov,

У меня вот так работает:

/bin/echo NAS-IP-Address=$nasip,Acct-Session-Id=$session,Cisco-Account-Info="QU;2560000;480000;D;2560000;480000"|/usr/local/bin/radclient -x $nasip:3799 coa $naspw

Возможно, нужно будет заключить Cisco-Account-Info в кавычки (т.е. в такой строке просто экранировать а-ля \").

Разобрался. Грёбаный bash!! Экранировать надо не только кавычки, но и ";", плюс ко всему еще "включить" это в echo (опция -е).

Что примечательно, в NAS-identifier кавычки можно не экранировать, а вот в Cisco-Account-Info - обязательно.

Вообщем, получилась такая строка

echo -e User-Name=10.0.216.34,NAS-identifier="lISG",Cisco-Account-Info=\"QU\;6144000\;1152000\;D\;6144000\;1152000\" | /usr/bin/radclient -x 127.0.0.1:3799 coa пароль

 

Если я не ошибаюсь, NAS-IP-Address - обязательный атрибут.

Походу в последней версии не обязателен, а вот без NAS-identifier ругается

Error-Cause = NAS-Identification-Mismatch

 

P.S. Я так понял, что REDIRECT "заблокированных" автор так и не допилил и уже не собирается?

И Вы выкладывали здесь патч под это дело, это он?

Подойдёт ли патч под последнюю авторскую версию?

[Abram]

P.S. Я так понял, что REDIRECT "заблокированных" автор так и не допилил и уже не собирается?

И Вы выкладывали здесь патч под это дело, это он?

Подойдёт ли патч под последнюю авторскую версию?

Это древний, я посвежее выкладывал - посмотрите здесь, где-то есть. Там версия уже то ли 8, то ли 9.

[AlKov]

Это древний, я посвежее выкладывал - посмотрите здесь, где-то есть. Там версия уже то ли 8, то ли 9.

Не нашел.. Может этот (7-я версия)?

[Abram]

AlKov,

Вот последний, что я у себя нашел: https://dl.dropbox.com/u/12495607/web_auth_v9.patch .

[AlKov]

AlKov,

Вот последний, что я у себя нашел: https://dl.dropbox.com/u/12495607/web_auth_v9.patch .

Спасибо! Установил, но.. Весь мозг сломал, как редирект реализовать, нифига не пашет.. :(

Сначала было так:

в ipset IP заблокированного юзера не появляется, в логах демона вот это -

Nov 24 22:41:17 router-fttx ISG[31352]: Timeout waiting RADIUS reply for '10.0.216.34' from '10.254.213.9:1812'
Nov 24 22:41:17 router-fttx ISG[31352]: No more servers to retry for '10.0.216.34', give up

С этим ("..Timeout waiting RADIUS..") разобрался..

Увеличил таймаут для радиуса (не пойму, почему он так долго отвечает при блокировке)

$cfg{radius_auth}{0} = { server => "10.254.213.9:1812", timeout => 30, secret => "пароль" };
$cfg{radius_acct}{0} = { server => "10.254.213.9:1813", timeout => 30, secret => "пароль" };

в ipset IP стал добавляться и в логе соотв. инфа есть

Nov 24 23:25:26 router-fttx ISG[31452]: Session '10.0.216.34' rejected by '10.254.213.9:1812'
Nov 24 23:25:26 router-fttx ISG[31452]: Adding 10.0.216.34 to web auth list

Дальше начались чудеса - в браузере "зациклилась" ссылка на страничку "дай денег".. Пока не въехал, где накосячил. Спать хочется.. :)

Изменено 24 ноября, 2012 пользователем AlKov

[kamae1ka]

а COA отправить минимум по 2 аттрибутам ? NAS-IDENT и ACC-SESS-ID ? можно как-то реализовать NAS-IDENT + USER-NAME ?

[Abram]

AlKov,

В iptables -j REDIRECT на локальный nginx добавили (конфиг приложен с патчем в папке contrib)?

iptables REDIRECT-ит на nginx, который уже, в свою очередь отправляет HTTP Redirect-ом (во избежание cache poisoning в браузере) на страничку авторизации.

Раньше я использовал для редиректов самописный http-сервер внутри ISGd.pl, но он нестабилен, и его лучше отключить.

Кроме того, если маршрут к серверу со страницей проходит через lISG - нужно его явно разрешить. Похоже, у Вас такая ситуация - клиент пытается пройти к странице, ISG его перенаправляет, он пытается пройти к странице, ISG его перенаправляет, он пытается пройти к странице, ISG его перенаправляет, он пытается... :)

 

kamae1ka,

Как-то неприятно отвечать на вопрос, глядя на аватару с оттопыренным средним пальцем. Поэтому я склонен его проигнорировать.

[kamae1ka]

kamae1ka,

Как-то неприятно отвечать на вопрос, глядя на аватару с оттопыренным средним пальцем. Поэтому я склонен его проигнорировать.

спасибо, разобрался сам

[Wingman]

А кто-нибуть сталкивался с тем, что периодически для 1to1 nat lisg не добавляет роут в блекхол и соответственно не анонсирует на бордер?

Происходит редко и не массово, но очень раздражает

[Abram]

А кто-нибуть сталкивался с тем, что периодически для 1to1 nat lisg не добавляет роут в блекхол и соответственно не анонсирует на бордер?

Происходит редко и не массово, но очень раздражает

У меня бывает похожее, если IP используется на другом NASе; тогда, после отключения "левой" сессии, у нужной все равно не поднимается маршрут в IGP.

Лечу кроном с проверкой, у всех ли сессий есть маршрут снаружи, раз в минуту.

[Wingman]

На другом насе этих ипов 100% не возникает... А не накладно для сервера все сессии шерстить, ещё и раз в минуту? У нас сейчас в пике > 1.5к сессий

[Abram]

На другом насе этих ипов 100% не возникает... А не накладно для сервера все сессии шерстить, ещё и раз в минуту? У нас сейчас в пике > 1.5к сессий

Нет, за секунду-две управляется.

Тем более что на таком онлайне обычно 4 ядра, там можно одно ядро на пару секунд можно и занять.

Зато насколько приятно на выходных смотреть на молчаливый телефон! :)

[Wingman]

ядер - 12 %)

Попробую сделать проверки действительно, спасибо

[Abram]

Wingman,

У меня наколеночные скрипты есть, могу поделиться если чего.

[Wingman]

Ну киньте в личку, если не сложно, чтобы зря не возиться =)

так-то там врядли сложно, что-то вроде ./ISG.pl | grep 'внешники' | awk '{print $2}', а дальше просмотр и сравнение блекхолов?

 

Спасибо )

[Abram]

Wingman,

Что-то вроде того, да. Только я смотрю сразу маршруты на бордере.

На бордер: http://dl.dropbox.com/u/12495607/lisg_ips/script_border.tar.gz .

На lISG: http://dl.dropbox.com/u/12495607/lisg_ips/script_nas.tar.gz .

 

Поправить IP бордера (10.0.0.5) в check_sessions и пути к ISG.pl.

[Wingman]

Спасибо =)