Jump to content

снова/ не более 1 логина

roysbike
 Share

Recommended Posts

roysbike

roysbike

Posted
Posted (edited)

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

post-88211-084087200 1334316123_thumb.jpg

Edited by roysbike
grfmaniak

grfmaniak

Posted
Posted (edited)

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

 

Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject?

Edited by grfmaniak
roysbike

roysbike

Posted
  • Author
Posted

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

 

Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject?

дело в том, что не всегда приходит STOP сессии .

grfmaniak

grfmaniak

Posted
Posted

дело в том, что не всегда приходит STOP сессии .

 

И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет.

roysbike

roysbike

Posted
  • Author
Posted (edited)

 

И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет.

Висят в базе . На насе их нет. А где у вас тайм аут 30?

 

Вы не пускаете по принципу, если в базе уже пришел START сессии, то соответсвенно еще одно клиента с этим логином не пустит. ПОка не придет stop. ?

Edited by roysbike
grfmaniak

grfmaniak

Posted
Posted (edited)

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

Edited by grfmaniak
alexaaa

alexaaa

Posted
Posted

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

roysbike

roysbike

Posted
  • Author
Posted

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

PPTP ip+mac+login+password. Думаю это клиента не возбудит.

 

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres.

alexaaa

alexaaa

Posted
Posted (edited)

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

PPTP ip+mac+login+password. Думаю это клиента не возбудит.

 

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres.

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Edited by alexaaa
roysbike

roysbike

Posted
  • Author
Posted

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

grfmaniak

grfmaniak

Posted
Posted

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

roysbike

roysbike

Posted
  • Author
Posted

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

grfmaniak

grfmaniak

Posted
Posted

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

 

Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами.

roysbike

roysbike

Posted
  • Author
Posted

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

 

Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами.

я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"?

grfmaniak

grfmaniak

Posted
Posted

я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"?

 

Нет, в случае второго логина сессия просто не установится, клиент увидит сообщение о том, что пароль не подходит.

alexaaa

alexaaa

Posted
Posted (edited)

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер с wifi покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно.

 

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно.

Edited by alexaaa
voron

voron

Posted
Posted
а привязка это уже железно.
Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов.
NiTr0

NiTr0

Posted
Posted

дело в том, что не всегда приходит STOP сессии .

Разбираться почему не приходит (неужто потери дикие из-за плохих/перегруженых линков браса/биллинга?). Нет 2-3 аккаунтинг пакетов - сессию в zap как в абиллсе (состояние "может померла, а может еще дергается", ип этой сессии никому не назначается в то же время логиниться с этой учеткой можно повторно), нет длительное время известий - завершать.

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

А накой в такой схеме с управляемым железом вообще PPPoE? :)

alexaaa

alexaaa

Posted
Posted (edited)
а привязка это уже железно.
Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов.

делать платно привязку по маку это совсем наглость, мы бесплатно меняем по телефону, если надо абоненту 2 учётки, то тоже не проблема, только учётки дальше квартиры не уйдут, при любом балансе, особенно квартиранты под контролем, переехал, переоформляй договор.

Edited by alexaaa
grfmaniak

grfmaniak

Posted
Posted

А накой в такой схеме с управляемым железом вообще PPPoE? :)

 

Собственно, я почти внедрил ISG, остановило то, что с ISG придется опять делать nat, пусть даже 1:1. А по pppoe легко раздаем реальники да и все.

grfmaniak

grfmaniak

Posted
Posted

А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп...

 

Раздавать белые ip по dhcp - большой расход адресов. NAT - он и в африке нат, нужна дополнительная железка, плюс вопли игроков всяких...

Skylaer

Skylaer

Posted
Posted

А расскажите мне за большой расход IP при раздаче по DHCP.

Если у вас lease time - 1 час, а ренью в 45 минут, то перерасход получается очень смешным, 2-3% от pppoe

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.