Jump to content
Калькуляторы

MS-CHAP с любым логином-паролем хочу странного =)

Хочу сделать ВПН-сервер (pptp) который будет всех пускать не зависимо от того что там ввел пользователь.

Пока что мне кажется что с Ms-Chap это невозможно, но может есть идеи?

Share this post


Link to post
Share on other sites

RADIUS который отвечает "да" на любой запрос?

Share this post


Link to post
Share on other sites
RADIUS который отвечает "да" на любой запрос?
Я на эти грабли наступал когда пробовал кешировать

Там есть MS-CHAP Chellenge...

Вот и думаю теперь как обойти.

 

Для частного случая - виндоклиент - думаю, достаточно запретить все типы авторизации

кроме СHAP, а с ним (но не с MS-CHAP) - все уже можно.

виндоклиент пробует согласоваь тип авторизации, находит CHAP и счастье ему...

 

UPD

Да, работает, достаточно

require-chap

и

DEFAULT Auth-Type := Accept

Share this post


Link to post
Share on other sites

Только вот никак не могу понять поведайте зачем это нужно????

Share this post


Link to post
Share on other sites
Только вот никак не могу понять поведайте зачем это нужно????
что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться"

 

(Я знаю что можно сделать по другому. через Framed-Pool или еще 10 разными способами, ХОРОШО подумав я пришел к выводу что этот способ - самый простой. Для меня. Есть причины не лазить лишний раз в кишки к биллингу.)

 

 

PS

Проверил с вистой, семеркой и ХП - работает как и хотелось.

Share this post


Link to post
Share on other sites

Получаеться такое решение и для PPPoE будет работать?

Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть?

Share this post


Link to post
Share on other sites
Получаеться такое решение и для PPPoE будет работать?

Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть?

Ну, я не пробовал (кстати, нужно попробовать =))) ) прописать 2 радиуса, вторым - ACCEPT всегда. Не получив ответа от первого, пускает клиента с настройками "для всех". Думаю что так можно.. но я бы работал над тем что бы связь с биллингом не пропадала ). Костыли с кешированием (для MS-СHAP) сделать скорее всего не получиться.

Share this post


Link to post
Share on other sites
что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться"

Глянь здесь h t t p://wiki.bgbilling.ru/index.php/%D0%94%D0%B5%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%BE%D0%B2_%D0%BE_%D0%BF%D1%80%D0%B8%D1%87%D0%B8%D0%BD%D0%B0%D1%85_%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8_691.

 

 

Share this post


Link to post
Share on other sites

А если пользователь с роутером? И соединение без шифрования.

Share this post


Link to post
Share on other sites

Как раз без шифрования все ОК.

 

Насколько я могу судить, просто возвращать Access-Accept недостаточно если тип авторизации СТРОГО MS-CHAP.

 

Можно конечно применять конструкцию.

mysql> select  from radgroupcheck;
+----+-----------+-----------+----+------------------------------------------------------------+
| id | groupname | attribute | op | value                                                      |
+----+-----------+-----------+----+------------------------------------------------------------+
|  3 | PPTP      | Pool-Name | := | `%{sql: SELECT IF (ДОЛЖНИК,'NOPAY-Pool','OK-Pool') FROM billing_table WHERE username=%{SQLUserName}`|
+----+-----------+-----------+----+------------------------------------------------------------+

 

Но пока мне, например, не до конца ясно как для одних пользователей проверять пароль, а для других - нет.

Ща еще доки почитаю....

наверно что то вроде

Auth-Type := `%{sql: SELECT IF (ДОЛЖНИК,'Accept','CHAP') FROM  ... WHERE  username=%{SQLUserName}`

 

 

 

UPD

Но немного подумав, мне кажется что отдельный NAS лучше - он вообще не завязан на биллинг, не делает никаких проверок, не дергает лишний раз базу...

Если на него пришел - то уже точно только редирект на биллинг, чем порще тем железобетонней )

Share this post


Link to post
Share on other sites

У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

Share this post


Link to post
Share on other sites
У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

При условии что нет ВПНа - это естественно.

Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =)

Share this post


Link to post
Share on other sites
У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

При условии что нет ВПНа - это естественно.

Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =)

Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP .

Share this post


Link to post
Share on other sites
У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

При условии что нет ВПНа - это естественно.

Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =)

Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP .

А что Вы делаете для тех кто першёл в минус, но не дисконектился?

Share this post


Link to post
Share on other sites
А что Вы делаете для тех кто першёл в минус, но не дисконектился?

Дисконектят насильно при каждом аккаунтинге )))

 

Стоит, к примеру, у них роутер подключенный с адресом из пула должников, на счету появляются деньги, а товарищ все продолжает читать страницу "у вас на счету не достаточно средств ...". Не догадываются перегрузить соеденение на роутере. Если не дисконектить получим лишний звонок на супорт.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this