[sirmax]

Хочу сделать ВПН-сервер (pptp) который будет всех пускать не зависимо от того что там ввел пользователь.

Пока что мне кажется что с Ms-Chap это невозможно, но может есть идеи?

[martin74]

RADIUS который отвечает "да" на любой запрос?

[sirmax]

RADIUS который отвечает "да" на любой запрос?

Я на эти грабли наступал когда пробовал кешировать

Там есть MS-CHAP Chellenge...

Вот и думаю теперь как обойти.

 

Для частного случая - виндоклиент - думаю, достаточно запретить все типы авторизации

кроме СHAP, а с ним (но не с MS-CHAP) - все уже можно.

виндоклиент пробует согласоваь тип авторизации, находит CHAP и счастье ему...

 

UPD

Да, работает, достаточно

require-chap

и

DEFAULT Auth-Type := Accept

[detx]

Только вот никак не могу понять поведайте зачем это нужно????

[sirmax]

Только вот никак не могу понять поведайте зачем это нужно????

что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться"

 

(Я знаю что можно сделать по другому. через Framed-Pool или еще 10 разными способами, ХОРОШО подумав я пришел к выводу что этот способ - самый простой. Для меня. Есть причины не лазить лишний раз в кишки к биллингу.)

 

 

PS

Проверил с вистой, семеркой и ХП - работает как и хотелось.

[Saab95]

Получаеться такое решение и для PPPoE будет работать?

Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть?

[sirmax]

Получаеться такое решение и для PPPoE будет работать?

Например при поломке биллинга или потери связи с ним, чтобы подключающиеся клиенты могли под любым паролем заходить в сеть?

Ну, я не пробовал (кстати, нужно попробовать =))) ) прописать 2 радиуса, вторым - ACCEPT всегда. Не получив ответа от первого, пускает клиента с настройками "для всех". Думаю что так можно.. но я бы работал над тем что бы связь с биллингом не пропадала ). Костыли с кешированием (для MS-СHAP) сделать скорее всего не получиться.

[mystic]

что бы неплатильщики всегда могли пдключиться (ip этого сервера им вежливо подскажет ДНС с view) и увидеть сообщение о том что у них нет денег. Многие начинают сначала менять пароли, потом звонить в саппорт. И ругаться "у вас что то сломалость, ВПН не конектиться"

Глянь здесь h t t p://wiki.bgbilling.ru/index.php/%D0%94%D0%B5%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82%D0%BE%D0%B2_%D0%BE_%D0%BF%D1%80%D0%B8%D1%87%D0%B8%D0%BD%D0%B0%D1%85_%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8_691.

 

 

[g7001]

А если пользователь с роутером? И соединение без шифрования.

[sirmax]

Как раз без шифрования все ОК.

 

Насколько я могу судить, просто возвращать Access-Accept недостаточно если тип авторизации СТРОГО MS-CHAP.

 

Можно конечно применять конструкцию.

mysql> select  from radgroupcheck;
+----+-----------+-----------+----+------------------------------------------------------------+
| id | groupname | attribute | op | value                                                      |
+----+-----------+-----------+----+------------------------------------------------------------+
|  3 | PPTP      | Pool-Name | := | `%{sql: SELECT IF (ДОЛЖНИК,'NOPAY-Pool','OK-Pool') FROM billing_table WHERE username=%{SQLUserName}`|
+----+-----------+-----------+----+------------------------------------------------------------+

 

Но пока мне, например, не до конца ясно как для одних пользователей проверять пароль, а для других - нет.

Ща еще доки почитаю....

наверно что то вроде

Auth-Type := `%{sql: SELECT IF (ДОЛЖНИК,'Accept','CHAP') FROM  ... WHERE  username=%{SQLUserName}`

 

 

 

UPD

Но немного подумав, мне кажется что отдельный NAS лучше - он вообще не завязан на биллинг, не делает никаких проверок, не дергает лишний раз базу...

Если на него пришел - то уже точно только редирект на биллинг, чем порще тем железобетонней )

[Skylaer]

У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

[sirmax]

У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

При условии что нет ВПНа - это естественно.

Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =)

[Magnum72]

У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

При условии что нет ВПНа - это естественно.

Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =)

Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP .

[weldpua2008]

У меня сделано проще - клиентам с балансом ниже 0, выдаеся адрес вида 192.168.Х.Х вместо честного паблика.

А трафик с них тупо заворачивается на биллинг. Весь :)

И все.

При условии что нет ВПНа - это естественно.

Но с этим пережитком темного прошлого клиент получит "ошибку 800" и позвонит в саппорт =)

Собственно разговор идет именно про впн, у нас тоже так сделано, только подсетей больше, для вирусятников, для неплательшиков, дле тех кто пароль вводит неправильный (чтоб не перебирали), для тех кто не со своего серого ипа пытается инициализировать PPTP/L2TP .

А что Вы делаете для тех кто першёл в минус, но не дисконектился?

[a_andry]

А что Вы делаете для тех кто першёл в минус, но не дисконектился?

Дисконектят насильно при каждом аккаунтинге )))

 

Стоит, к примеру, у них роутер подключенный с адресом из пула должников, на счету появляются деньги, а товарищ все продолжает читать страницу "у вас на счету не достаточно средств ...". Не догадываются перегрузить соеденение на роутере. Если не дисконектить получим лишний звонок на супорт.