ivan999 Опубликовано 26 июля, 2011 · Жалоба Как бы это использовать модуль хотспот на Тике(в котором юзается радиус-клиент) - именно для эзернет сети, а не для вайфай - и сделать авторизацию по IP (не веб, не мак). При этом, чтобы биллинг был в курсе IP адреса юзера - чтобы управлять скриптами - в фаере закрывать/открывать форвард трафика юзерам - вз ависимости - от баланса. И нетфлоу с Тика - собирать в базу биллинга - используюя айпи юзера. При этом радиус сервер юзать внешний - на биллинге, а не встроенный в Тик - радиус-сервер (User Manager). И DHCP - юзать желательно не встроенный в Тик, а тоже на биллинге (для опции82 и прибивания к порту+свичу) Натолкните на верный курс - возможна ли схема IPoE + MikroTik + авторизация по IP (не веб, не мак)? ____ Cisco ISG не обсуждаем в этой теме : ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dolphinik Опубликовано 27 июля, 2011 · Жалоба Присмотритесь к ExpertBilling. Такое реализовать можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 27 июля, 2011 · Жалоба Присмотритесь к ExpertBilling. Такое реализовать можно. Вы имеете ввиду , что данный вариант можно реализовать только с помощью ExpertBilling - без использования Тика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 27 июля, 2011 · Жалоба Cisco ISG не обсуждаем в этой теме : ) В соседней есть Linux ISG ;). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivan999 Опубликовано 27 июля, 2011 · Жалоба Все ясно. Нужно юзать специально заточенные решения для IPoE, а не извращаться... Тема закрыта Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 25 июля, 2012 · Жалоба Оживлю тему: возможно-ли микротик заставить пнуть радиус/исполнить какой-то скрипт при приходе первого пакета с IP адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 25 июля, 2012 · Жалоба Оживлю тему: возможно-ли микротик заставить пнуть радиус/исполнить какой-то скрипт при приходе первого пакета с IP адреса? Врядли, согласно http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client service (ppp|login|hotspot|wireless|dhcp; Default: ) Router services that will use this RADIUS server: hotspot - HotSpot authentication service login - router's local user authentication ppp - Point-to-Point clients authentication wireless - wireless client authentication (client's MAC address is sent as User-Name) dhcp - DHCP protocol client authentication (client's MAC address is sent as User-Name) Но в сторону эксгуматорства, из передаваемых параметров в радиус при установке галочки на dhcp, можно выдернуть opt82(agent circuit+agent remote id) и передать в радиус как username, а уже после этого принимать решение о назначении адреса клиенту. В настройках dhcp сервера естественно поставить use radius. Но есть и проблема(во всяком случае была) в 4.14, когда ставил эксперименты - не работал accounting в радиусе для dhcp, т.е. вернуть ограничители, назначаемый ip и т.д. из радиуса с ответом можно, а вот дальше считать траф и отсылать о нем инфу в радиус тик отказывался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 26 июля, 2012 · Жалоба Но в сторону эксгуматорства, из передаваемых параметров в радиус при установке галочки на dhcp, можно выдернуть opt82(agent circuit+agent remote id) и передать в радиус как username, а уже после этого принимать решение о назначении адреса клиенту. В настройках dhcp сервера естественно поставить use radius. Всё дело в то,что клиенты приходят на Mikrotik по L3, т.е. уже с адресом, микротика задача по первому пакету либо редиректнуть на портал, либо пропустить дальше, основываясь на данных от радиуса или от какого-то скрипта.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 26 июля, 2012 · Жалоба В общем мысль пришла такая: управление сессиями на микротике по событиям ISC DHCP, on commit, on release, on expiry В моём случае (влан на рыло) вызывается скрипт, который сопоставляет IP адрес номеру вилана, далее в биллинге по номеру влана ищутся инструкции и применяются на микротик, либо форвард, либо переброс на портал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 26 июля, 2012 · Жалоба Как бы это использовать модуль хотспот на Тике(в котором юзается радиус-клиент) - именно для эзернет сети, а не для вайфай - и сделать авторизацию по IP (не веб, не мак). При этом, чтобы биллинг был в курсе IP адреса юзера - чтобы управлять скриптами - в фаере закрывать/открывать форвард трафика юзерам - вз ависимости - от баланса. И нетфлоу с Тика - собирать в базу биллинга - используюя айпи юзера. При этом радиус сервер юзать внешний - на биллинге, а не встроенный в Тик - радиус-сервер (User Manager). И DHCP - юзать желательно не встроенный в Тик, а тоже на биллинге (для опции82 и прибивания к порту+свичу) Натолкните на верный курс - возможна ли схема IPoE + MikroTik + авторизация по IP (не веб, не мак)? ____ Cisco ISG не обсуждаем в этой теме : ) Я под freeradius на базе rlm_perl написал собственный модуль авторизации. Работает с микротик hotspot. Возможность авторизовываться различными способами ip, mac, ip+mac. Если интересно могу заточить под Вашу БД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 27 июля, 2012 · Жалоба morf, а как реализовали именоо IP авторизацию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 27 июля, 2012 · Жалоба morf, а как реализовали именоо IP авторизацию? Очень просто. Радиус микротик'а отсылает все атрибуты по абоненту ( например: NAS_IP_ADDRESS, FRAMED_IP_ADDRESS и т.д.), который пытается авторизоваться. Модуль freeradius'а смотрит сервер, с которого пришла попытка авторизоваться и ищет абонента по переданным параметрам в базе. Ну и либо дает добро на авторизацию, либо нет. Авторизовать абоненты ты можешь как душе угодно по переданным параметрам. В моем случае база на MySQL, так что с выборкой абонентов проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 27 июля, 2012 · Жалоба Радиус микротик'а отсылает все атрибуты по абоненту ( например: NAS_IP_ADDRESS, FRAMED_IP_ADDRESS и т.д.), который пытается авторизоваться. А я чёто не знал вот этого, с микротиком только начинаю. Спасибо большое за подсказку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 29 июля, 2012 · Жалоба Но есть и проблема(во всяком случае была) в 4.14, когда ставил эксперименты - не работал accounting в радиусе для dhcp, Это было много лет назад - не нужно такие древние версии вспоминать даже - все развивается и устраняются баги. В пятой версии - все работает: Тиковский DHCP сервер,получая dhcp запрос от клиента или DHCP-relay - умеет отправлять запросы Radius серверу (в ваш биллинг). Биллинг (радиус-сервер) анализирует в радиус запросах - опц82 либо MAC (на ваш выбор)... и выдает IP адрес и разрешение на авторизацию (radius accept). А дальше рулить все как обычно с радиус протоколом... Аккаунтинг работает. Радиус атрибуты передаются (скорости там разные (Rate limit)и прочее). Адрес из биллинга можно как из пула выделить свободный, так и каждый раз один и тот же. И при этом биллинг будет в курсе адреса юзера и всех сессий. А значит можно рулить Тиком - события там разные (radius start/stop/update), скрипты выполнять, управление фаерволом и прочее. Это самый простой и логичный вариант - в котором: отдельный ISC DHCP - не нужен. HOTSPOT - включать не нужно. Все почти так же как и ppp+radius (алгоритмы работы биллинга нуждаются в минимальном допиле) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 30 июля, 2012 · Жалоба Аккаунтинг работает. Может я что-то не то, чем-то не тем обзываю? Но развейте сомнения - радиус по dhcp сессии начал считать байты (тьфу для радиуса октеты). Про все остальное я в курсе, но есть официальный ответ support@mikrotik на тему dhcp accounting (читать переписку снизу вверх). Hello, No, we do not have plans to change DHCP in near future. User HotSpot to accomplish requested setup. Regards, Sergejs -- Come to MikroTik User Meetings: - October 13-14, 2011 in Las Vegas, USA after WISPAPALOOZA - November 7-8, 2011 in Sao Paulo, Brazil - November 10-11, 2011 in Buenos Aires, Argentina http://mum.mikrotik.com/ 09/14/2011 13:13 - Денисов Руслан wrote: > > Will dhcp send it once upon a time in future versions? > > We plan to use our Routerboard as DHCP-server and get payments from > clients according to traffic passed(raddacct in FreeRadius). So we need > accounting. Today we can have only unlimited tarrifs. > > 14.09.2011 13:38, MikroTik support [sergejs] пишет: >> Hello, >> >> DHCP does not send any accounting data to RADIUS server. >> >> Regards, >> Sergejs >> >> -- >> Come to MikroTik User Meetings: >> - October 13-14, 2011 in Las Vegas, USA after WISPAPALOOZA >> - November 7-8, 2011 in Sao Paulo, Brazil >> - November 10-11, 2011 in Buenos Aires, Argentina >> http://mum.mikrotik.com/ >> >> 09/12/2011 14:33 - Денисов Руслан wrote: >> >>> Hello. >>> >>> We have configured Dhcp-server on mikrotik and assign leases to cpe >>> according to option 82. Authentification works perfect, but we can't see >>> any accounting data. The only packet came to radius was "Accounting ON" >>> packet and no more data were sent to radius. >>> As I know, the accounting works perfect with pptp-server and may be >>> other ppp(haven't tested). >>> >>> Some problems with dhcp? А вопрос мне очень интересен. Просто нет сейчас под рукой коммутатора с opt82, чтобы собрать схему и протестировать в 5.19 или 6.0. Очень прошу, у кого есть возможность - проверьте... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 30 июля, 2012 (изменено) · Жалоба понял свою ошибку: ААА - проверял только первые два AA ) Последнюю А - даже не догадался, что кому-то может нужно считать объемы трафа. (вроде эра повальных безлимитов (заканчивается)))) Сорри, что ввел в заблуждение - вполне возможно, что именно аккаунтинг на Тике и не работает в связке DHCP+RADIUS. Как вариант - считать объемы трафа с помощью нетфлоу - если к-во юзеров и трафа позволяют. А если более серьезные объемы - то не надо юзать MikroTik, а юзать "взрослые" вундервафли, специально для этого придуманные ) Это мое скромное мнение и ничего более... Изменено 30 июля, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 30 июля, 2012 · Жалоба А если более серьезные объемы - то не надо юзать MikroTik, а юзать "взрослые" вундервафли, специально для этого придуманные ) Циска 7204VXR/NPE-300 на 50ти мегабитах умирает, если задействовать ISG, а красные попы от эрикссона - невероятно дорого для существующего кол-ва народу ЗЫ: Cisco 7204VXR - серьёзная "вундервафель" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 30 июля, 2012 · Жалоба А вопрос мне очень интересен. Просто нет сейчас под рукой коммутатора с opt82, чтобы собрать схему и протестировать Так Вы можете сами проверить эккаунтинг в этой схеме (MIKROTIK DHCP+RADIUS) без опц82: МикроТик отправляет в радиус запросах поле user-name = MAC address юзера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 30 июля, 2012 (изменено) · Жалоба для существующего кол-ва народу тогда пилите, шура, пилите на тазиках.... Имхо - если аккаунтинг не работает в вышеописанной схеме - считайте объем по нетфлоу (при современных объемах потребления трафика - один кошерный тазик может обсчитывать (в хорошем смысле этого слова )))) базу 10K юзеров. Изменено 30 июля, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zander Опубликовано 30 июля, 2012 · Жалоба если аккаунтинг не работает в вышеописанной схеме Не, у меня всё как раз нормально, схема чуть другая Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~AsmodeuS~ Опубликовано 30 июля, 2012 · Жалоба http://abills.net.ua/wiki/doku.php/abills:docs:mikrotik:ru#mikrotik_ipn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 31 июля, 2012 · Жалоба http://abills.net.ua/wiki/doku.php/abills:docs:mikrotik:ru#mikrotik_ipn И данная статья непрозрачно намекает, что считать придется по netflow :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~AsmodeuS~ Опубликовано 31 июля, 2012 · Жалоба http://abills.net.ua/wiki/doku.php/abills:docs:mikrotik:ru#mikrotik_ipn И данная статья непрозрачно намекает, что считать придется по netflow :) предлагаю одно из альтенативных решений, ктати то что просит автор тоже можно сделать в abills Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...