sirmax Опубликовано 29 марта, 2010 · Жалоба Хочу сделать ВПН-сервер (pptp) который будет всех пускать не зависимо от того что там ввел пользователь. Пока что мне кажется что с Ms-Chap это невозможно, но может есть идеи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 29 марта, 2010 · Жалоба RADIUS который отвечает "да" на любой запрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 29 марта, 2010 · Жалоба RADIUS который отвечает "да" на любой запрос?Я на эти грабли наступал когда пробовал кешироватьТам есть MS-CHAP Chellenge... Вот и думаю теперь как обойти. Для частного случая - виндоклиент - думаю, достаточно запретить все типы авторизации кроме СHAP, а с ним (но не с MS-CHAP) - все уже можно. виндоклиент пробует согласоваь тип авторизации, находит CHAP и счастье ему... UPD Да, работает, достаточно require-chap и DEFAULT Auth-Type := Accept Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
detx Опубликовано 29 марта, 2010 · Жалоба Только вот никак не могу понять поведайте зачем это нужно???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 29 марта, 2010 · Жалоба Только вот никак не могу понять поведайте зачем это нужно????что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться" (Я знаю что можно сделать по другому. через Framed-Pool или еще 10 разными способами, ХОРОШО подумав я пришел к выводу что этот способ - самый простой. Для меня. Есть причины не лазить лишний раз в кишки к биллингу.) PS Проверил с вистой, семеркой и ХП - работает как и хотелось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 марта, 2010 · Жалоба Получаеться такое решение и для PPPoE будет работать? Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 30 марта, 2010 · Жалоба Получаеться такое решение и для PPPoE будет работать?Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть? Ну, я не пробовал (кстати, нужно попробовать =))) ) прописать 2 радиуса, вторым - ACCEPT всегда. Не получив ответа от первого, пускает клиента с настройками "для всех". Думаю что так можно.. но я бы работал над тем что бы связь с биллингом не пропадала ). Костыли с кешированием (для MS-СHAP) сделать скорее всего не получиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mystic Опубликовано 31 марта, 2010 · Жалоба что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться" Глянь здесь h t t p://wiki.bgbilling.ru/index.php/%D0%94%D0%B5%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%BE%D0%B2_%D0%BE_%D0%BF%D1%80%D0%B8%D1%87%D0%B8%D0%BD%D0%B0%D1%85_%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8_691. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 31 марта, 2010 · Жалоба А если пользователь с роутером? И соединение без шифрования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 31 марта, 2010 · Жалоба Как раз без шифрования все ОК. Насколько я могу судить, просто возвращать Access-Accept недостаточно если тип авторизации СТРОГО MS-CHAP. Можно конечно применять конструкцию. mysql> select from radgroupcheck; +----+-----------+-----------+----+------------------------------------------------------------+ | id | groupname | attribute | op | value | +----+-----------+-----------+----+------------------------------------------------------------+ | 3 | PPTP | Pool-Name | := | `%{sql: SELECT IF (ДОЛЖНИК,'NOPAY-Pool','OK-Pool') FROM billing_table WHERE username=%{SQLUserName}`| +----+-----------+-----------+----+------------------------------------------------------------+ Но пока мне, например, не до конца ясно как для одних пользователей проверять пароль, а для других - нет. Ща еще доки почитаю.... наверно что то вроде Auth-Type := `%{sql: SELECT IF (ДОЛЖНИК,'Accept','CHAP') FROM ... WHERE username=%{SQLUserName}` UPD Но немного подумав, мне кажется что отдельный NAS лучше - он вообще не завязан на биллинг, не делает никаких проверок, не дергает лишний раз базу... Если на него пришел - то уже точно только редирект на биллинг, чем порще тем железобетонней ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 31 марта, 2010 · Жалоба У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика. А трафик с них тупо заворачивается на биллинг. Весь :) И все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 1 апреля, 2010 · Жалоба У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.А трафик с них тупо заворачивается на биллинг. Весь :) И все. При условии что нет ВПНа - это естественно.Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Magnum72 Опубликовано 1 апреля, 2010 · Жалоба У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.А трафик с них тупо заворачивается на биллинг. Весь :) И все. При условии что нет ВПНа - это естественно.Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =) Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weldpua2008 Опубликовано 7 апреля, 2010 · Жалоба У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.А трафик с них тупо заворачивается на биллинг. Весь :) И все. При условии что нет ВПНа - это естественно.Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =) Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP . А что Вы делаете для тех кто першёл в минус, но не дисконектился? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a_andry Опубликовано 8 апреля, 2010 · Жалоба А что Вы делаете для тех кто першёл в минус, но не дисконектился? Дисконектят насильно при каждом аккаунтинге ))) Стоит, к примеру, у них роутер подключенный с адресом из пула должников, на счету появляются деньги, а товарищ все продолжает читать страницу "у вас на счету не достаточно средств ...". Не догадываются перегрузить соеденение на роутере. Если не дисконектить получим лишний звонок на супорт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...