mpd5(pppoe)+radius+ng_car+Abiils

[paradox]

убери последнее
и убери от первого определитель ng*

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

Код: Выделить всё

ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw add allow ip from 192.168.1.0/24 to 192.168.1.0/24 via rl0
ipfw add allow ip from 'table(1)' to  'table(1)'
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw table 1 add 10.10.10.0/24

[schizoid]

а фаер при этом открытый или закрытый должен быть?
последнее правило?
если закрытый, то наверна ж не хватает еще и после ната правил. что б выпустить трафик в инет?

[paradox]

закрытым

ну может разве что еще какгото правила не хватает

в итоге должно быть так
1) пользователь с локальной сети может пинговать и вообще полный доступ токо к локальной сетевке
для веб биллинга и 1723
2) пользователь подключеный через mpd должен ходить через нат в мир
3) все остальное дени алл

[schizoid]

гут. тогда вставляю, то что написали. дальше остальной тюнинг по каментам

[alonefox]

Так как используется mpd в качестве сервера, удобно и подключаться к интернету им же (лично я делаю именно так). Поэтому без всяких ipfw nat можно в конфиге mpd в подключении к интернету делать

Код: Выделить всё

set iface enable nat

работает не первый год на ура!
P.S. часто использую mpd как клиента pppoe

[schizoid]

ну здесь собсна сервер не клиент pppoe...
но идея не плахая. но по-моему модули ядра одни и теже используются, или я ошибаюсь? и там и там netgraph...

[Sun]

Короче впечатления от абилса приятные но не больше... настройка оказалась не так сложна как ее везде описывают,неделя ковыряние и то только по той причине что пытался радиус второй прикрутить. Разочарование наступило после настройки... как оказалось одна из вкусностей платная, это я про модуль Paysys. Почитав форум понял что ничего бесплатного в жизни не бывает Самый большой плюс который я выявил при работе с этой системой это обилие документации Местами маленько не точной, но кому надо поймут. Короче мне этот хренов агрегатор нужен как не крути,но денег нет,значит будем писать )))

[paradox]

абиллс это же набор перловских скриптов которые выполняються в фрирадиусе через exec ?

[Sun]

именно так, выполняются экзекм в радиусе и скрипты списывания денег через крон,но вот защиту этого модуля в исходниках так и не понял где искать пока,уже кажется что проще свой модуль написать

[paradox]

фуу
кошмарная система
exec скрипты запускали с фрирадиуса еще в пршлом веке

[Sun]

ужас, парадокс подскажи какой нить нормальный биллинг?:)

[paradox]

в дев нуллл есть моя тема про биллинг
которая закончилась риторически
я отдал свой биллинг который писал в 2004 году и забросил + линк на форум наг ру где обсуждаюься все лучшие биллинги на текуший момент

зы
конечно же лучший биллинг это тот который написал ты сам

[iliya]

Все делал по статье никак не могу понять в чем дело. Пакеты обратно не натятся.

Код: Выделить всё

network# ipfw show
00100  654   66870 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400 1645  130600 allow ip from any to 192.168.0.250
00500 1642 1257329 allow ip from 192.168.0.250 to any
00600  281   41414 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00700    0       0 allow ip from 10.10.10.0/24 to 10.10.10.0/24
00800   94   10590 divert 8668 ip from 10.10.10.0/24 to any
00900    0       0 divert 8668 ip from any to me
65535  101   11122 deny ip from any to any

[schizoid]

вставьте последнее правило запрещающее все , но с логированием и посмотрите, что режется.

[iliya]

последнее правило действительно резало icmp открыл все в итоге:

Код: Выделить всё

Nov 16 15:47:47 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Nov 16 15:47:52 network kernel: ipfw: 65500 Accept ICMP:8.0 10.10.10.225 77.88.21.8 in via ng0
Nov 16 15:47:52 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Nov 16 15:47:58 network kernel: ipfw: 65500 Accept ICMP:8.0 10.10.10.225 77.88.21.8 in via ng0
Nov 16 15:47:58 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0

Код: Выделить всё

00100   60   6440 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400  563  41337 allow ip from any to 192.168.0.250
00500  526 333488 allow ip from 192.168.0.250 to any
00600  767 102259 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00700    0      0 allow ip from 10.10.10.0/24 to 10.10.10.0/24
00800   16    960 divert 8668 ip from 10.10.10.0/24 to any
00900    0      0 divert 8668 ip from any to me
65500   16    960 allow log logamount 10000 ip from any to any
65535    0      0 deny ip from any to any

Раньше стояла freebsd 6.2 i386 с биллинговой системой freenibs mpd(pptp) и все работало с такими же правилами.
Сейчас решил попробовать 7.2 amd64 с abills, сменилось все железо включая и единственную сетевую карту. Может с драйверами что-то не так? Со списком поддерживаемого оборудования не проверял. Или с моими ручонками все плохо
Слышал про ядерную трансляцию адресов ( ipfw nat ). Есть мысли отказаться от natd и перейти на ipnat или pfnat. Уж больно его хвалят

[schizoid]

попробуйте.

[vmart]

Подскажите плз, как сделать обрыв сессий у vpn клиентов по крону в конкретное время? Заранее благодарен.

[GloomeRy]

Подскажите может кто-нибудь уже такое делал ...
Хочу ночью скорость повышать допустим в 2 раза. Как это сделать лучше?

[IncubuS]

Доброго времени суток!

Что-то никак не могу я подключится через pptp. Получаю очень странную ошибку: Reply message: ^AE=691 R=1 , а у клиента выходит такое окно: http://s53.radikal.ru/i139/0912/22/3d530b990cb5.png

Код: Выделить всё

Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #2 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1]   MESG: MSRASV5.20
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #3 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1]   MESG: MSRAS-0-HP510
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #4 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1]   MESG: M-^M<???M-^OCB?[~?{M-^S?M-^[
Dec 15 13:34:35 deimos mpd: [L-1] CHAP: rec'd RESPONSE #1 len: 58
Dec 15 13:34:35 deimos mpd: [L-1]   Name: "test"
Dec 15 13:34:35 deimos mpd: [L-1] AUTH: Trying RADIUS
Dec 15 13:34:35 deimos mpd: [L-1] RADIUS: Authenticating user 'test'
Dec 15 13:34:36 deimos mpd: [L-1] RADIUS: Rec'd RAD_ACCESS_REJECT for user 'test'
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: RADIUS returned: failed
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: Trying INTERNAL
Dec 15 13:34:36 deimos mpd: OpenConfFile: Can't open file '/usr/local/etc/mpd5/mpd.secret': No such file or directory
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: User "test" not found in secret file
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: INTERNAL returned: failed
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: ran out of backends
Dec 15 13:34:36 deimos mpd: [L-1] CHAP: Auth return status: failed
Dec 15 13:34:36 deimos mpd: [L-1] CHAP: Reply message: ^AE=691 R=1

Код: Выделить всё

$ radtest test 123456 127.0.0.1:1812 0 pass 0 127.0.0.1
Sending Access-Request of id 56 to 127.0.0.1 port 1812
	User-Name = "test"
	User-Password = "123456"
	NAS-IP-Address = 127.0.0.1
	NAS-Port = 0
	Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=56, length=38
	Session-Timeout = 1419714
	Framed-IP-Address = 10.10.10.63
	Framed-IP-Netmask = 255.255.255.255

# cat mpd.conf

Код: Выделить всё

startup:
	set user admin pass admin
	set console self 127.0.0.1 5005
	set console open
	set web self 127.0.0.1 5006
	set web open
#	log -echo -radius -rep
	log +auth +radius +ipcp +iface

default:
	load pptp_server

pptp_server:
	create bundle template B
	set ipcp ranges 10.10.10.254/32 10.10.10.0/24
#	set ipcp yes radius-ip
	set iface enable proxy-arp
	set iface idle 1800
	set iface enable tcpmssfix
	set iface up-script "/usr/abills/libexec/linkupdown mpd up"
	set iface down-script "/usr/abills/libexec/linkupdown mpd down"
	set ipcp yes vjcomp
	set ipcp dns 208.79.80.18
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
	set bundle enable compression
	set ccp yes mppc
	set mppc yes stateless
	set mppc yes e40
	set mppc yes e56
	set mppc yes e128
# Create clonable link template named L
	create link template L pptp
# Set bundle template to use
	set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
#	set link enable multilink
	set link yes acfcomp protocomp
	set link no pap chap
	set link enable chap
	set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
	set link mtu 1460
# Configure PPTP
	set pptp self 192.168.1.10
	load server_common

server_common:
	set link no pap eap
	set link yes chap-md5
	set link keep-alive 20 60
	set link enable incoming
	set link no acfcomp protocomp
	load radius

radius:
	set radius server 127.0.0.1 pass 1812 1813
	set radius retries 3
#	set radius me 10.10.10.1
	set auth acct-update 300
	set auth enable radius-auth
	set auth enable radius-acct
	set radius enable message-authentic

В комментариях к статье видел, что кто-то с таким сталкивался и победил проблему. Не расскажите как? Спасибо!

С уважением.

[IncubuS]

О блин, нашел в логах Abiils:

2009-12-15 13:38:31 LOG_WARNING AUTH test Wrong password '221221206275K337?34%e?K330?L' NAS Server
2009-12-15 13:38:31 LOG_WARNING AUTH test REJECT Wrong password NAS Server

А через radtest:

2009-12-15 13:53:27 LOG_INFO AUTH test GT: 0.07663 NAS Server

Откуда он такие берет то пароли?

[schizoid]

Код: Выделить всё

radtest testuser testpassword 127.0.0.1:1812 0 PASSWD 0 127.0.0.1

проходит?

[IncubuS]

Да:

$ radtest test 123456 127.0.0.1:1812 0 pass 0 127.0.0.1
Sending Access-Request of id 23 to 127.0.0.1 port 1812
User-Name = "test"
User-Password = "123456"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=23, length=38
Session-Timeout = 1351381
Framed-IP-Address = 10.10.10.88
Framed-IP-Netmask = 255.255.255.255

[IncubuS]

Оказывается опечатка в конфиге была, debug помог. Всем спасибо. Кручу дальше.

[server801]

дебаг как включается?