Jump to content
Калькуляторы

снова/ не более 1 логина Freebsd Freerdius2 MPD5 PPPoE

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

post-88211-084087200 1334316123_thumb.jpg

Edited by roysbike

Share this post


Link to post
Share on other sites

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

 

Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject?

Edited by grfmaniak

Share this post


Link to post
Share on other sites

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

 

Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject?

дело в том, что не всегда приходит STOP сессии .

Share this post


Link to post
Share on other sites

дело в том, что не всегда приходит STOP сессии .

 

И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет.

Share this post


Link to post
Share on other sites

 

И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет.

Висят в базе . На насе их нет. А где у вас тайм аут 30?

 

Вы не пускаете по принципу, если в базе уже пришел START сессии, то соответсвенно еще одно клиента с этим логином не пустит. ПОка не придет stop. ?

Edited by roysbike

Share this post


Link to post
Share on other sites

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

Edited by grfmaniak

Share this post


Link to post
Share on other sites

ну напишите скриптик который будет убивать из базы сессии которые не апдейтилисьт более чем Х секунд ...

Share this post


Link to post
Share on other sites

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

Share this post


Link to post
Share on other sites

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

PPTP ip+mac+login+password. Думаю это клиента не возбудит.

 

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres.

Share this post


Link to post
Share on other sites

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

PPTP ip+mac+login+password. Думаю это клиента не возбудит.

 

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres.

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Edited by alexaaa

Share this post


Link to post
Share on other sites

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

Share this post


Link to post
Share on other sites

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

Share this post


Link to post
Share on other sites

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

Share this post


Link to post
Share on other sites

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

 

Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами.

Share this post


Link to post
Share on other sites

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

 

Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами.

я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"?

Share this post


Link to post
Share on other sites

я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"?

 

Нет, в случае второго логина сессия просто не установится, клиент увидит сообщение о том, что пароль не подходит.

Share this post


Link to post
Share on other sites

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер с wifi покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно.

 

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно.

Edited by alexaaa

Share this post


Link to post
Share on other sites
а привязка это уже железно.
Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов.

Share this post


Link to post
Share on other sites

дело в том, что не всегда приходит STOP сессии .

Разбираться почему не приходит (неужто потери дикие из-за плохих/перегруженых линков браса/биллинга?). Нет 2-3 аккаунтинг пакетов - сессию в zap как в абиллсе (состояние "может померла, а может еще дергается", ип этой сессии никому не назначается в то же время логиниться с этой учеткой можно повторно), нет длительное время известий - завершать.

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

А накой в такой схеме с управляемым железом вообще PPPoE? :)

Share this post


Link to post
Share on other sites
а привязка это уже железно.
Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов.

делать платно привязку по маку это совсем наглость, мы бесплатно меняем по телефону, если надо абоненту 2 учётки, то тоже не проблема, только учётки дальше квартиры не уйдут, при любом балансе, особенно квартиранты под контролем, переехал, переоформляй договор.

Edited by alexaaa

Share this post


Link to post
Share on other sites

А накой в такой схеме с управляемым железом вообще PPPoE? :)

 

Собственно, я почти внедрил ISG, остановило то, что с ISG придется опять делать nat, пусть даже 1:1. А по pppoe легко раздаем реальники да и все.

Share this post


Link to post
Share on other sites

А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп...

Share this post


Link to post
Share on other sites

А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп...

 

Раздавать белые ip по dhcp - большой расход адресов. NAT - он и в африке нат, нужна дополнительная железка, плюс вопли игроков всяких...

Share this post


Link to post
Share on other sites

А расскажите мне за большой расход IP при раздаче по DHCP.

Если у вас lease time - 1 час, а ренью в 45 минут, то перерасход получается очень смешным, 2-3% от pppoe

Share this post


Link to post
Share on other sites
acct update 30 sec

Имелся ввиду таймаут на LCP, аккаунтинг каждые 30сек на 8к в пике это великий пздц базе.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this