Перейти к содержимому
Калькуляторы

снова/ не более 1 логина Freebsd Freerdius2 MPD5 PPPoE

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

post-88211-084087200 1334316123_thumb.jpg

Изменено пользователем roysbike

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

 

Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject?

Изменено пользователем grfmaniak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный

На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию?

 

Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject?

дело в том, что не всегда приходит STOP сессии .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дело в том, что не всегда приходит STOP сессии .

 

И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет.

Висят в базе . На насе их нет. А где у вас тайм аут 30?

 

Вы не пускаете по принципу, если в базе уже пришел START сессии, то соответсвенно еще одно клиента с этим логином не пустит. ПОка не придет stop. ?

Изменено пользователем roysbike

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

Изменено пользователем grfmaniak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну напишите скриптик который будет убивать из базы сессии которые не апдейтилисьт более чем Х секунд ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

PPTP ip+mac+login+password. Думаю это клиента не возбудит.

 

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий.

PPTP ip+mac+login+password. Думаю это клиента не возбудит.

 

Висят в базе . На насе их нет. А где у вас тайм аут 30?

Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ?

 

У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно.

спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres.

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Изменено пользователем alexaaa

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

 

Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any

 

Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами.

я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"?

 

Нет, в случае второго логина сессия просто не установится, клиент увидит сообщение о том, что пароль не подходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер с wifi покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно.

 

у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга

Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет.

А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно.

Изменено пользователем alexaaa

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а привязка это уже железно.
Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

дело в том, что не всегда приходит STOP сессии .

Разбираться почему не приходит (неужто потери дикие из-за плохих/перегруженых линков браса/биллинга?). Нет 2-3 аккаунтинг пакетов - сессию в zap как в абиллсе (состояние "может померла, а может еще дергается", ип этой сессии никому не назначается в то же время логиниться с этой учеткой можно повторно), нет длительное время известий - завершать.

 

Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит.

А накой в такой схеме с управляемым железом вообще PPPoE? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а привязка это уже железно.
Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов.

делать платно привязку по маку это совсем наглость, мы бесплатно меняем по телефону, если надо абоненту 2 учётки, то тоже не проблема, только учётки дальше квартиры не уйдут, при любом балансе, особенно квартиранты под контролем, переехал, переоформляй договор.

Изменено пользователем alexaaa

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А накой в такой схеме с управляемым железом вообще PPPoE? :)

 

Собственно, я почти внедрил ISG, остановило то, что с ISG придется опять делать nat, пусть даже 1:1. А по pppoe легко раздаем реальники да и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп...

 

Раздавать белые ip по dhcp - большой расход адресов. NAT - он и в африке нат, нужна дополнительная железка, плюс вопли игроков всяких...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А расскажите мне за большой расход IP при раздаче по DHCP.

Если у вас lease time - 1 час, а ренью в 45 минут, то перерасход получается очень смешным, 2-3% от pppoe

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

acct update 30 sec

Имелся ввиду таймаут на LCP, аккаунтинг каждые 30сек на 8к в пике это великий пздц базе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.