roysbike Опубликовано 13 апреля, 2012 (изменено) · Жалоба Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию? Изменено 13 апреля, 2012 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 13 апреля, 2012 (изменено) · Жалоба Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию? Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject? Изменено 13 апреля, 2012 пользователем grfmaniak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 13 апреля, 2012 · Жалоба Коллеги, расскажите , кто и как блокирует доступ более 1 логина. Используем freeradius 2 . Postgres SQL. Биллинг самописный На всех NAS стоит Freebsd 9.0, mpd5 PPPoE PF NAT. Всем логинам выдается framed-ip-address статический 172.16.x.x. Каким образом можно запретить коннект , более одного логина. Simultaneous-Use ? или написать скрипт которые будет опрашивать насы и дропать паралелльную сессию? Биллинг же видит сессии, в чем проблема при запросе от радиуса проверить, что логин уже используется и выдать reject? дело в том, что не всегда приходит STOP сессии . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 13 апреля, 2012 · Жалоба дело в том, что не всегда приходит STOP сессии . И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 13 апреля, 2012 (изменено) · Жалоба И что, у вас сессии вечно висят дохлые? Отстрелятся по таймауту, тогда и пускать второй раз этот логин. Таймаут в 30 сек у нас стоит, проблем нет. Висят в базе . На насе их нет. А где у вас тайм аут 30? Вы не пускаете по принципу, если в базе уже пришел START сессии, то соответсвенно еще одно клиента с этим логином не пустит. ПОка не придет stop. ? Изменено 13 апреля, 2012 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 13 апреля, 2012 (изменено) · Жалоба Висят в базе . На насе их нет. А где у вас тайм аут 30? Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ? У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно. Изменено 13 апреля, 2012 пользователем grfmaniak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 13 апреля, 2012 · Жалоба ну напишите скриптик который будет убивать из базы сессии которые не апдейтилисьт более чем Х секунд ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 13 апреля, 2012 · Жалоба Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 13 апреля, 2012 · Жалоба Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий. PPTP ip+mac+login+password. Думаю это клиента не возбудит. Висят в базе . На насе их нет. А где у вас тайм аут 30? Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ? У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно. спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 13 апреля, 2012 (изменено) · Жалоба Биллинг у вас совсем не универсальный, в любом купленном биллинге есть привязка по маку или ip, и тогда не будет паралельных сессий. PPTP ip+mac+login+password. Думаю это клиента не возбудит. Висят в базе . На насе их нет. А где у вас тайм аут 30? Вы не пускает по принципу, если в базе уже пришел START сессии, то соответсвенно второго логина не пустит. ПОка не придет stop. ? У нас lanbilling, на нем так реализовано. Число одновременных сессий для одного логина там настраивается, но если указано 1, то пока сессия активна (был start, не пришел stop и не возникло таймаута) - второй раз с таким логином не зайти. Таймаут он считает по приходящим пакетам аккаунтинга от nas, если эти пакеты перестали приходить - вызывается скрипт сброса сессии с nas и сессия удаляется из списка активных в биллинге. Срабатывает все четко. Если у вас биллинг самописный - дописать логику проблем быть не должно. спасибо за подсказу с update. В понед напишем на уровне базы. Учитывая что 8К онлайн , 13 НАсов . acct update 30 sec не напряжно для радиуса и базы? База postgres. у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга Изменено 13 апреля, 2012 пользователем alexaaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 14 апреля, 2012 · Жалоба у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 14 апреля, 2012 · Жалоба у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 14 апреля, 2012 · Жалоба у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит. Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 14 апреля, 2012 · Жалоба Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 14 апреля, 2012 · Жалоба Для логинов у кого нет денег при списании отпрвляется правило mpd-rule форвардинг на 127.0.0.1 8080 , а с 127.0.0.1 редирект на веб сервер , со страницей что нет бабла. ПРи пополнения счета, также в динамике не разрывая сессию отправляется привило any to any Ну так "для логинов", а должник выйдет с чужим логином, где деньги есть. А в нашем случае он обломится даже используя логин с деньгами. я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 14 апреля, 2012 · Жалоба я понял, не дочитал до конца. Но принцип тот же? логин А подключился , пришел acct start , второй логин А отправится на сервер с сообщение "нет денег, нет варенья"? Нет, в случае второго логина сессия просто не установится, клиент увидит сообщение о том, что пароль не подходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 14 апреля, 2012 (изменено) · Жалоба у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет. А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер с wifi покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно. у PPPOE тоже привязка по маку работает, и мак заноситься в circuid-id биллинга Это и так понятно. А если у он сменил устройство? или у него 2 кома и они по очереди, таких много кстати. Тех поддержка с ума сойдет. А у вас что абоненты каждый день меняют компы, а если 2 компа в квартире пусть роутер покупают, сейчас это модно wifi в квартире, вы просто балуете клиента, а привязка это уже железно. Изменено 14 апреля, 2012 пользователем alexaaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
voron Опубликовано 14 апреля, 2012 · Жалоба а привязка это уже железно.Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 14 апреля, 2012 · Жалоба дело в том, что не всегда приходит STOP сессии . Разбираться почему не приходит (неужто потери дикие из-за плохих/перегруженых линков браса/биллинга?). Нет 2-3 аккаунтинг пакетов - сессию в zap как в абиллсе (состояние "может померла, а может еще дергается", ип этой сессии никому не назначается в то же время логиниться с этой учеткой можно повторно), нет длительное время известий - завершать. Да зачем она нужна? Достаточно не пускать с таким логином больше одного юзера. Тех, кто с отрицательным балансом - переключать в специальный vlan, из которого при поднятии pppoe с любым логином включается редирект на "нет денег - нет варенья". Тогда кража логинов теряет смысл, т.к. даже с "денежным" логином со своего "безденежного" порта юзер инета не получит. А накой в такой схеме с управляемым железом вообще PPPoE? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 14 апреля, 2012 (изменено) · Жалоба а привязка это уже железно.Привязка по MAC это прошлый век imho. Только напрягает абонента и ТП, особенно когда руководство решает что ТП достали сменами МАКов и делает эту операцию платной, заставляя пользователя всю жизнь таскать за собой старый МАК. Ну какой нормальный человек будет платить провайдеру за смену МАКа? Будут мучаться и менять каждый раз у себя. Мой провайдер бесплатно дополнительные IP раздает специально чтобы можно было использовать свич-мыльницу или чистую АП, а не роутер, для подключения нескольких компов. делать платно привязку по маку это совсем наглость, мы бесплатно меняем по телефону, если надо абоненту 2 учётки, то тоже не проблема, только учётки дальше квартиры не уйдут, при любом балансе, особенно квартиранты под контролем, переехал, переоформляй договор. Изменено 14 апреля, 2012 пользователем alexaaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 14 апреля, 2012 · Жалоба А накой в такой схеме с управляемым железом вообще PPPoE? :) Собственно, я почти внедрил ISG, остановило то, что с ISG придется опять делать nat, пусть даже 1:1. А по pppoe легко раздаем реальники да и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 апреля, 2012 · Жалоба А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 15 апреля, 2012 · Жалоба А чем stateless nat так страшен? Да и если надо можно и белые IP раздавать по дхцп... Раздавать белые ip по dhcp - большой расход адресов. NAT - он и в африке нат, нужна дополнительная железка, плюс вопли игроков всяких... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 15 апреля, 2012 · Жалоба А расскажите мне за большой расход IP при раздаче по DHCP. Если у вас lease time - 1 час, а ренью в 45 минут, то перерасход получается очень смешным, 2-3% от pppoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 15 апреля, 2012 · Жалоба acct update 30 sec Имелся ввиду таймаут на LCP, аккаунтинг каждые 30сек на 8к в пике это великий пздц базе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...