sirmax Posted March 29, 2010 Posted March 29, 2010 Хочу сделать ВПН-сервер (pptp) который будет всех пускать не зависимо от того что там ввел пользователь. Пока что мне кажется что с Ms-Chap это невозможно, но может есть идеи? Вставить ник Quote
martin74 Posted March 29, 2010 Posted March 29, 2010 RADIUS который отвечает "да" на любой запрос? Вставить ник Quote
sirmax Posted March 29, 2010 Author Posted March 29, 2010 RADIUS который отвечает "да" на любой запрос?Я на эти грабли наступал когда пробовал кешироватьТам есть MS-CHAP Chellenge... Вот и думаю теперь как обойти. Для частного случая - виндоклиент - думаю, достаточно запретить все типы авторизации кроме СHAP, а с ним (но не с MS-CHAP) - все уже можно. виндоклиент пробует согласоваь тип авторизации, находит CHAP и счастье ему... UPD Да, работает, достаточно require-chap и DEFAULT Auth-Type := Accept Вставить ник Quote
detx Posted March 29, 2010 Posted March 29, 2010 Только вот никак не могу понять поведайте зачем это нужно???? Вставить ник Quote
sirmax Posted March 29, 2010 Author Posted March 29, 2010 Только вот никак не могу понять поведайте зачем это нужно????что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться" (Я знаю что можно сделать по другому. через Framed-Pool или еще 10 разными способами, ХОРОШО подумав я пришел к выводу что этот способ - самый простой. Для меня. Есть причины не лазить лишний раз в кишки к биллингу.) PS Проверил с вистой, семеркой и ХП - работает как и хотелось. Вставить ник Quote
Saab95 Posted March 30, 2010 Posted March 30, 2010 Получаеться такое решение и для PPPoE будет работать? Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть? Вставить ник Quote
sirmax Posted March 30, 2010 Author Posted March 30, 2010 Получаеться такое решение и для PPPoE будет работать?Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть? Ну, я не пробовал (кстати, нужно попробовать =))) ) прописать 2 радиуса, вторым - ACCEPT всегда. Не получив ответа от первого, пускает клиента с настройками "для всех". Думаю что так можно.. но я бы работал над тем что бы связь с биллингом не пропадала ). Костыли с кешированием (для MS-СHAP) сделать скорее всего не получиться. Вставить ник Quote
mystic Posted March 31, 2010 Posted March 31, 2010 что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться" Глянь здесь h t t p://wiki.bgbilling.ru/index.php/%D0%94%D0%B5%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%BE%D0%B2_%D0%BE_%D0%BF%D1%80%D0%B8%D1%87%D0%B8%D0%BD%D0%B0%D1%85_%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8_691. Вставить ник Quote
g7001 Posted March 31, 2010 Posted March 31, 2010 А если пользователь с роутером? И соединение без шифрования. Вставить ник Quote
sirmax Posted March 31, 2010 Author Posted March 31, 2010 Как раз без шифрования все ОК. Насколько я могу судить, просто возвращать Access-Accept недостаточно если тип авторизации СТРОГО MS-CHAP. Можно конечно применять конструкцию. mysql> select from radgroupcheck; +----+-----------+-----------+----+------------------------------------------------------------+ | id | groupname | attribute | op | value | +----+-----------+-----------+----+------------------------------------------------------------+ | 3 | PPTP | Pool-Name | := | `%{sql: SELECT IF (ДОЛЖНИК,'NOPAY-Pool','OK-Pool') FROM billing_table WHERE username=%{SQLUserName}`| +----+-----------+-----------+----+------------------------------------------------------------+ Но пока мне, например, не до конца ясно как для одних пользователей проверять пароль, а для других - нет. Ща еще доки почитаю.... наверно что то вроде Auth-Type := `%{sql: SELECT IF (ДОЛЖНИК,'Accept','CHAP') FROM ... WHERE username=%{SQLUserName}` UPD Но немного подумав, мне кажется что отдельный NAS лучше - он вообще не завязан на биллинг, не делает никаких проверок, не дергает лишний раз базу... Если на него пришел - то уже точно только редирект на биллинг, чем порще тем железобетонней ) Вставить ник Quote
Skylaer Posted March 31, 2010 Posted March 31, 2010 У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика. А трафик с них тупо заворачивается на биллинг. Весь :) И все. Вставить ник Quote
sirmax Posted April 1, 2010 Author Posted April 1, 2010 У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.А трафик с них тупо заворачивается на биллинг. Весь :) И все. При условии что нет ВПНа - это естественно.Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =) Вставить ник Quote
Magnum72 Posted April 1, 2010 Posted April 1, 2010 У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.А трафик с них тупо заворачивается на биллинг. Весь :) И все. При условии что нет ВПНа - это естественно.Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =) Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP . Вставить ник Quote
weldpua2008 Posted April 7, 2010 Posted April 7, 2010 У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.А трафик с них тупо заворачивается на биллинг. Весь :) И все. При условии что нет ВПНа - это естественно.Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =) Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP . А что Вы делаете для тех кто першёл в минус, но не дисконектился? Вставить ник Quote
a_andry Posted April 8, 2010 Posted April 8, 2010 А что Вы делаете для тех кто першёл в минус, но не дисконектился? Дисконектят насильно при каждом аккаунтинге ))) Стоит, к примеру, у них роутер подключенный с адресом из пула должников, на счету появляются деньги, а товарищ все продолжает читать страницу "у вас на счету не достаточно средств ...". Не догадываются перегрузить соеденение на роутере. Если не дисконектить получим лишний звонок на супорт. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.