mpd5(pppoe)+radius+ng_car+Abiils

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение paradox » 2009-10-20 15:41:12

убери последнее
и убери от первого определитель ng*

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-10-20 15:45:20

Код: Выделить всё

ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw add allow ip from 192.168.1.0/24 to 192.168.1.0/24 via rl0
ipfw add allow ip from 'table(1)' to  'table(1)'
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw table 1 add 10.10.10.0/24
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-10-20 15:46:04

а фаер при этом открытый или закрытый должен быть?
последнее правило?
если закрытый, то наверна ж не хватает еще и после ната правил. что б выпустить трафик в инет?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение paradox » 2009-10-20 15:49:31

закрытым

ну может разве что еще какгото правила не хватает

в итоге должно быть так
1) пользователь с локальной сети может пинговать и вообще полный доступ токо к локальной сетевке
для веб биллинга и 1723
2) пользователь подключеный через mpd должен ходить через нат в мир
3) все остальное дени алл

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-10-20 15:57:23

гут. тогда вставляю, то что написали. дальше остальной тюнинг по каментам :)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

alonefox
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-10-26 1:22:06

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение alonefox » 2009-10-26 1:26:08

Так как используется mpd в качестве сервера, удобно и подключаться к интернету им же (лично я делаю именно так). Поэтому без всяких ipfw nat можно в конфиге mpd в подключении к интернету делать

Код: Выделить всё

set iface enable nat
работает не первый год на ура!
P.S. часто использую mpd как клиента pppoe

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-10-26 10:41:21

ну здесь собсна сервер не клиент pppoe...
но идея не плахая. но по-моему модули ядра одни и теже используются, или я ошибаюсь? и там и там netgraph...
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Sun
прапорщик
Сообщения: 486
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение Sun » 2009-11-04 18:24:57

Короче впечатления от абилса приятные но не больше... настройка оказалась не так сложна как ее везде описывают,неделя ковыряние и то только по той причине что пытался радиус второй прикрутить. Разочарование наступило после настройки... как оказалось одна из вкусностей платная, это я про модуль Paysys. Почитав форум понял что ничего бесплатного в жизни не бывает :-D Самый большой плюс который я выявил при работе с этой системой это обилие документации :smile: Местами маленько не точной, но кому надо поймут. Короче мне этот хренов агрегатор нужен как не крути,но денег нет,значит будем писать )))

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение paradox » 2009-11-04 18:49:48

абиллс это же набор перловских скриптов которые выполняються в фрирадиусе через exec ?

Аватара пользователя
Sun
прапорщик
Сообщения: 486
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение Sun » 2009-11-04 19:35:49

именно так, выполняются экзекм в радиусе и скрипты списывания денег через крон,но вот защиту этого модуля в исходниках так и не понял где искать пока,уже кажется что проще свой модуль написать

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение paradox » 2009-11-04 19:40:56

фуу
кошмарная система
exec скрипты запускали с фрирадиуса еще в пршлом веке

Аватара пользователя
Sun
прапорщик
Сообщения: 486
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение Sun » 2009-11-04 19:46:02

:shock: ужас, парадокс подскажи какой нить нормальный биллинг?:)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение paradox » 2009-11-04 19:50:55

в дев нуллл есть моя тема про биллинг
которая закончилась риторически
я отдал свой биллинг который писал в 2004 году и забросил + линк на форум наг ру где обсуждаюься все лучшие биллинги на текуший момент

зы
конечно же лучший биллинг это тот который написал ты сам :-D

Аватара пользователя
iliya
рядовой
Сообщения: 12
Зарегистрирован: 2009-11-15 18:10:03
Откуда: Россия, Кировская обл., Киров
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение iliya » 2009-11-15 18:14:49

Все делал по статье никак не могу понять в чем дело. Пакеты обратно не натятся.

Код: Выделить всё

network# ipfw show
00100  654   66870 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400 1645  130600 allow ip from any to 192.168.0.250
00500 1642 1257329 allow ip from 192.168.0.250 to any
00600  281   41414 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00700    0       0 allow ip from 10.10.10.0/24 to 10.10.10.0/24
00800   94   10590 divert 8668 ip from 10.10.10.0/24 to any
00900    0       0 divert 8668 ip from any to me
65535  101   11122 deny ip from any to any
Последний раз редактировалось Alex Keda 2009-11-15 18:16:20, всего редактировалось 1 раз.
Причина: Товарищщи! Цените чужое время, юзайте кнопочку [code]. А то позабаниваю!

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-11-16 11:08:01

вставьте последнее правило запрещающее все , но с логированием и посмотрите, что режется.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
iliya
рядовой
Сообщения: 12
Зарегистрирован: 2009-11-15 18:10:03
Откуда: Россия, Кировская обл., Киров
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение iliya » 2009-11-16 14:52:40

последнее правило действительно резало icmp открыл все в итоге:

Код: Выделить всё

Nov 16 15:47:47 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Nov 16 15:47:52 network kernel: ipfw: 65500 Accept ICMP:8.0 10.10.10.225 77.88.21.8 in via ng0
Nov 16 15:47:52 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Nov 16 15:47:58 network kernel: ipfw: 65500 Accept ICMP:8.0 10.10.10.225 77.88.21.8 in via ng0
Nov 16 15:47:58 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0

Код: Выделить всё

00100   60   6440 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400  563  41337 allow ip from any to 192.168.0.250
00500  526 333488 allow ip from 192.168.0.250 to any
00600  767 102259 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00700    0      0 allow ip from 10.10.10.0/24 to 10.10.10.0/24
00800   16    960 divert 8668 ip from 10.10.10.0/24 to any
00900    0      0 divert 8668 ip from any to me
65500   16    960 allow log logamount 10000 ip from any to any
65535    0      0 deny ip from any to any
Раньше стояла freebsd 6.2 i386 с биллинговой системой freenibs mpd(pptp) и все работало с такими же правилами.
Сейчас решил попробовать 7.2 amd64 с abills, сменилось все железо включая и единственную сетевую карту. Может с драйверами что-то не так? Со списком поддерживаемого оборудования не проверял. Или с моими ручонками все плохо :smile:
Слышал про ядерную трансляцию адресов ( ipfw nat ). Есть мысли отказаться от natd и перейти на ipnat или pfnat. Уж больно его хвалят :)

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-11-16 18:39:33

попробуйте.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

vmart
проходил мимо

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение vmart » 2009-12-14 18:26:30

Подскажите плз, как сделать обрыв сессий у vpn клиентов по крону в конкретное время? Заранее благодарен.

GloomeRy
проходил мимо
Сообщения: 7
Зарегистрирован: 2009-02-08 10:05:23

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение GloomeRy » 2009-12-14 22:31:06

Подскажите может кто-нибудь уже такое делал ...
Хочу ночью скорость повышать допустим в 2 раза. Как это сделать лучше?

IncubuS
рядовой
Сообщения: 16
Зарегистрирован: 2008-11-29 14:20:01
Откуда: Благовещенск

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение IncubuS » 2009-12-15 16:45:39

Доброго времени суток!

Что-то никак не могу я подключится через pptp. Получаю очень странную ошибку: Reply message: ^AE=691 R=1 , а у клиента выходит такое окно: http://s53.radikal.ru/i139/0912/22/3d530b990cb5.png

Код: Выделить всё

Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #2 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1]   MESG: MSRASV5.20
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #3 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1]   MESG: MSRAS-0-HP510
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #4 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1]   MESG: M-^M<???M-^OCB?[~?{M-^S?M-^[
Dec 15 13:34:35 deimos mpd: [L-1] CHAP: rec'd RESPONSE #1 len: 58
Dec 15 13:34:35 deimos mpd: [L-1]   Name: "test"
Dec 15 13:34:35 deimos mpd: [L-1] AUTH: Trying RADIUS
Dec 15 13:34:35 deimos mpd: [L-1] RADIUS: Authenticating user 'test'
Dec 15 13:34:36 deimos mpd: [L-1] RADIUS: Rec'd RAD_ACCESS_REJECT for user 'test'
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: RADIUS returned: failed
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: Trying INTERNAL
Dec 15 13:34:36 deimos mpd: OpenConfFile: Can't open file '/usr/local/etc/mpd5/mpd.secret': No such file or directory
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: User "test" not found in secret file
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: INTERNAL returned: failed
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: ran out of backends
Dec 15 13:34:36 deimos mpd: [L-1] CHAP: Auth return status: failed
Dec 15 13:34:36 deimos mpd: [L-1] CHAP: Reply message: ^AE=691 R=1

Код: Выделить всё

$ radtest test 123456 127.0.0.1:1812 0 pass 0 127.0.0.1
Sending Access-Request of id 56 to 127.0.0.1 port 1812
	User-Name = "test"
	User-Password = "123456"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 0
	Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=56, length=38
	Session-Timeout = 1419714
	Framed-IP-Address = 10.10.10.63
	Framed-IP-Netmask = 255.255.255.255
# cat mpd.conf

Код: Выделить всё

startup:
	set user admin pass admin
	set console self 127.0.0.1 5005
	set console open
	set web self 127.0.0.1 5006
	set web open
#	log -echo -radius -rep
	log +auth +radius +ipcp +iface

default:
	load pptp_server

pptp_server:
	create bundle template B
	set ipcp ranges 10.10.10.254/32 10.10.10.0/24
#	set ipcp yes radius-ip
	set iface enable proxy-arp
	set iface idle 1800
	set iface enable tcpmssfix
	set iface up-script "/usr/abills/libexec/linkupdown mpd up"
	set iface down-script "/usr/abills/libexec/linkupdown mpd down"
	set ipcp yes vjcomp
	set ipcp dns 208.79.80.18
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
	set bundle enable compression
	set ccp yes mppc
	set mppc yes stateless
	set mppc yes e40
	set mppc yes e56
	set mppc yes e128
# Create clonable link template named L
	create link template L pptp
# Set bundle template to use
	set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
#	set link enable multilink
	set link yes acfcomp protocomp
	set link no pap chap
	set link enable chap
	set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
	set link mtu 1460
# Configure PPTP
	set pptp self 192.168.1.10
	load server_common

server_common:
	set link no pap eap
	set link yes chap-md5
	set link keep-alive 20 60
	set link enable incoming
	set link no acfcomp protocomp
	load radius

radius:
	set radius server 127.0.0.1 pass 1812 1813
	set radius retries 3
#	set radius me 10.10.10.1
	set auth acct-update 300
	set auth enable radius-auth
	set auth enable radius-acct
	set radius enable message-authentic
В комментариях к статье видел, что кто-то с таким сталкивался и победил проблему. Не расскажите как? Спасибо!

С уважением.
Последний раз редактировалось Alex Keda 2009-12-19 21:42:49, всего редактировалось 1 раз.
Причина: Товарищщи! Цените чужое время, юзайте кнопочку [code]. А то позабаниваю!
WBR

IncubuS
рядовой
Сообщения: 16
Зарегистрирован: 2008-11-29 14:20:01
Откуда: Благовещенск

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение IncubuS » 2009-12-15 16:54:46

О блин, нашел в логах Abiils:

2009-12-15 13:38:31 LOG_WARNING AUTH test Wrong password '221221206275K337?34%e?K330?L' NAS Server
2009-12-15 13:38:31 LOG_WARNING AUTH test REJECT Wrong password NAS Server

А через radtest:

2009-12-15 13:53:27 LOG_INFO AUTH test GT: 0.07663 NAS Server

Откуда он такие берет то пароли?
WBR

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение schizoid » 2009-12-15 20:43:12

Код: Выделить всё

radtest testuser testpassword 127.0.0.1:1812 0 PASSWD 0 127.0.0.1
проходит?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

IncubuS
рядовой
Сообщения: 16
Зарегистрирован: 2008-11-29 14:20:01
Откуда: Благовещенск

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение IncubuS » 2009-12-16 3:38:17

Да:
$ radtest test 123456 127.0.0.1:1812 0 pass 0 127.0.0.1
Sending Access-Request of id 23 to 127.0.0.1 port 1812
User-Name = "test"
User-Password = "123456"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=23, length=38
Session-Timeout = 1351381
Framed-IP-Address = 10.10.10.88
Framed-IP-Netmask = 255.255.255.255
WBR

IncubuS
рядовой
Сообщения: 16
Зарегистрирован: 2008-11-29 14:20:01
Откуда: Благовещенск

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение IncubuS » 2009-12-16 6:40:13

Оказывается опечатка в конфиге была, debug помог. Всем спасибо. Кручу дальше.
WBR

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1365
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: mpd5(pppoe)+radius+ng_car+Abiils

Непрочитанное сообщение server801 » 2009-12-19 11:57:35

дебаг как включается?