mpd5(pppoe)+radius+ng_car+Abiils
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: mpd5(pppoe)+radius+ng_car+Abiils
убери последнее
и убери от первого определитель ng*
и убери от первого определитель ng*
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
Код: Выделить всё
ipfw nat 100 config if rl1
allow ip from any to any via lo0
ipfw add allow ip from 192.168.1.0/24 to 192.168.1.0/24 via rl0
ipfw add allow ip from 'table(1)' to 'table(1)'
ipfw add nat 100 ip from 'table(1)' to any
ipfw add nat 100 ip from any to ${eip}
ipfw table 1 add 10.10.10.0/24
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
а фаер при этом открытый или закрытый должен быть?
последнее правило?
если закрытый, то наверна ж не хватает еще и после ната правил. что б выпустить трафик в инет?
последнее правило?
если закрытый, то наверна ж не хватает еще и после ната правил. что б выпустить трафик в инет?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: mpd5(pppoe)+radius+ng_car+Abiils
закрытым
ну может разве что еще какгото правила не хватает
в итоге должно быть так
1) пользователь с локальной сети может пинговать и вообще полный доступ токо к локальной сетевке
для веб биллинга и 1723
2) пользователь подключеный через mpd должен ходить через нат в мир
3) все остальное дени алл
ну может разве что еще какгото правила не хватает
в итоге должно быть так
1) пользователь с локальной сети может пинговать и вообще полный доступ токо к локальной сетевке
для веб биллинга и 1723
2) пользователь подключеный через mpd должен ходить через нат в мир
3) все остальное дени алл
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
гут. тогда вставляю, то что написали. дальше остальной тюнинг по каментам
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2009-10-26 1:22:06
Re: mpd5(pppoe)+radius+ng_car+Abiils
Так как используется mpd в качестве сервера, удобно и подключаться к интернету им же (лично я делаю именно так). Поэтому без всяких ipfw nat можно в конфиге mpd в подключении к интернету делать
работает не первый год на ура!
P.S. часто использую mpd как клиента pppoe
Код: Выделить всё
set iface enable nat
P.S. часто использую mpd как клиента pppoe
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
ну здесь собсна сервер не клиент pppoe...
но идея не плахая. но по-моему модули ядра одни и теже используются, или я ошибаюсь? и там и там netgraph...
но идея не плахая. но по-моему модули ядра одни и теже используются, или я ошибаюсь? и там и там netgraph...
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- Sun
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2008-07-14 18:27:14
- Откуда: Красноярск
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
Короче впечатления от абилса приятные но не больше... настройка оказалась не так сложна как ее везде описывают,неделя ковыряние и то только по той причине что пытался радиус второй прикрутить. Разочарование наступило после настройки... как оказалось одна из вкусностей платная, это я про модуль Paysys. Почитав форум понял что ничего бесплатного в жизни не бывает Самый большой плюс который я выявил при работе с этой системой это обилие документации Местами маленько не точной, но кому надо поймут. Короче мне этот хренов агрегатор нужен как не крути,но денег нет,значит будем писать )))
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: mpd5(pppoe)+radius+ng_car+Abiils
абиллс это же набор перловских скриптов которые выполняються в фрирадиусе через exec ?
- Sun
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2008-07-14 18:27:14
- Откуда: Красноярск
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
именно так, выполняются экзекм в радиусе и скрипты списывания денег через крон,но вот защиту этого модуля в исходниках так и не понял где искать пока,уже кажется что проще свой модуль написать
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: mpd5(pppoe)+radius+ng_car+Abiils
фуу
кошмарная система
exec скрипты запускали с фрирадиуса еще в пршлом веке
кошмарная система
exec скрипты запускали с фрирадиуса еще в пршлом веке
- Sun
- прапорщик
- Сообщения: 496
- Зарегистрирован: 2008-07-14 18:27:14
- Откуда: Красноярск
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
ужас, парадокс подскажи какой нить нормальный биллинг?:)
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: mpd5(pppoe)+radius+ng_car+Abiils
в дев нуллл есть моя тема про биллинг
которая закончилась риторически
я отдал свой биллинг который писал в 2004 году и забросил + линк на форум наг ру где обсуждаюься все лучшие биллинги на текуший момент
зы
конечно же лучший биллинг это тот который написал ты сам
которая закончилась риторически
я отдал свой биллинг который писал в 2004 году и забросил + линк на форум наг ру где обсуждаюься все лучшие биллинги на текуший момент
зы
конечно же лучший биллинг это тот который написал ты сам
- iliya
- рядовой
- Сообщения: 12
- Зарегистрирован: 2009-11-15 18:10:03
- Откуда: Россия, Кировская обл., Киров
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
Все делал по статье никак не могу понять в чем дело. Пакеты обратно не натятся.
Код: Выделить всё
network# ipfw show
00100 654 66870 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 1645 130600 allow ip from any to 192.168.0.250
00500 1642 1257329 allow ip from 192.168.0.250 to any
00600 281 41414 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00700 0 0 allow ip from 10.10.10.0/24 to 10.10.10.0/24
00800 94 10590 divert 8668 ip from 10.10.10.0/24 to any
00900 0 0 divert 8668 ip from any to me
65535 101 11122 deny ip from any to any
Последний раз редактировалось Alex Keda 2009-11-15 18:16:20, всего редактировалось 1 раз.
Причина: Товарищщи! Цените чужое время, юзайте кнопочку [code]. А то позабаниваю!
Причина: Товарищщи! Цените чужое время, юзайте кнопочку [code]. А то позабаниваю!
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
вставьте последнее правило запрещающее все , но с логированием и посмотрите, что режется.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- iliya
- рядовой
- Сообщения: 12
- Зарегистрирован: 2009-11-15 18:10:03
- Откуда: Россия, Кировская обл., Киров
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
последнее правило действительно резало icmp открыл все в итоге:
Раньше стояла freebsd 6.2 i386 с биллинговой системой freenibs mpd(pptp) и все работало с такими же правилами.
Сейчас решил попробовать 7.2 amd64 с abills, сменилось все железо включая и единственную сетевую карту. Может с драйверами что-то не так? Со списком поддерживаемого оборудования не проверял. Или с моими ручонками все плохо
Слышал про ядерную трансляцию адресов ( ipfw nat ). Есть мысли отказаться от natd и перейти на ipnat или pfnat. Уж больно его хвалят
Код: Выделить всё
Nov 16 15:47:47 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Nov 16 15:47:52 network kernel: ipfw: 65500 Accept ICMP:8.0 10.10.10.225 77.88.21.8 in via ng0
Nov 16 15:47:52 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Nov 16 15:47:58 network kernel: ipfw: 65500 Accept ICMP:8.0 10.10.10.225 77.88.21.8 in via ng0
Nov 16 15:47:58 network kernel: ipfw: 65500 Accept ICMP:8.0 192.168.0.250 77.88.21.8 out via nfe0
Код: Выделить всё
00100 60 6440 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 563 41337 allow ip from any to 192.168.0.250
00500 526 333488 allow ip from 192.168.0.250 to any
00600 767 102259 allow ip from 192.168.0.0/24 to 192.168.0.0/24
00700 0 0 allow ip from 10.10.10.0/24 to 10.10.10.0/24
00800 16 960 divert 8668 ip from 10.10.10.0/24 to any
00900 0 0 divert 8668 ip from any to me
65500 16 960 allow log logamount 10000 ip from any to any
65535 0 0 deny ip from any to any
Сейчас решил попробовать 7.2 amd64 с abills, сменилось все железо включая и единственную сетевую карту. Может с драйверами что-то не так? Со списком поддерживаемого оборудования не проверял. Или с моими ручонками все плохо
Слышал про ядерную трансляцию адресов ( ipfw nat ). Есть мысли отказаться от natd и перейти на ipnat или pfnat. Уж больно его хвалят
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
попробуйте.
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- проходил мимо
Re: mpd5(pppoe)+radius+ng_car+Abiils
Подскажите плз, как сделать обрыв сессий у vpn клиентов по крону в конкретное время? Заранее благодарен.
-
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2009-02-08 10:05:23
Re: mpd5(pppoe)+radius+ng_car+Abiils
Подскажите может кто-нибудь уже такое делал ...
Хочу ночью скорость повышать допустим в 2 раза. Как это сделать лучше?
Хочу ночью скорость повышать допустим в 2 раза. Как это сделать лучше?
-
- рядовой
- Сообщения: 16
- Зарегистрирован: 2008-11-29 14:20:01
- Откуда: Благовещенск
Re: mpd5(pppoe)+radius+ng_car+Abiils
Доброго времени суток!
Что-то никак не могу я подключится через pptp. Получаю очень странную ошибку: Reply message: ^AE=691 R=1 , а у клиента выходит такое окно: http://s53.radikal.ru/i139/0912/22/3d530b990cb5.png
# cat mpd.conf
В комментариях к статье видел, что кто-то с таким сталкивался и победил проблему. Не расскажите как? Спасибо!
С уважением.
Что-то никак не могу я подключится через pptp. Получаю очень странную ошибку: Reply message: ^AE=691 R=1 , а у клиента выходит такое окно: http://s53.radikal.ru/i139/0912/22/3d530b990cb5.png
Код: Выделить всё
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #2 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1] MESG: MSRASV5.20
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #3 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1] MESG: MSRAS-0-HP510
Dec 15 13:34:35 deimos mpd: [L-1] LCP: rec'd Ident #4 (Opened)
Dec 15 13:34:35 deimos mpd: [L-1] MESG: M-^M<???M-^OCB?[~?{M-^S?M-^[
Dec 15 13:34:35 deimos mpd: [L-1] CHAP: rec'd RESPONSE #1 len: 58
Dec 15 13:34:35 deimos mpd: [L-1] Name: "test"
Dec 15 13:34:35 deimos mpd: [L-1] AUTH: Trying RADIUS
Dec 15 13:34:35 deimos mpd: [L-1] RADIUS: Authenticating user 'test'
Dec 15 13:34:36 deimos mpd: [L-1] RADIUS: Rec'd RAD_ACCESS_REJECT for user 'test'
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: RADIUS returned: failed
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: Trying INTERNAL
Dec 15 13:34:36 deimos mpd: OpenConfFile: Can't open file '/usr/local/etc/mpd5/mpd.secret': No such file or directory
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: User "test" not found in secret file
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: INTERNAL returned: failed
Dec 15 13:34:36 deimos mpd: [L-1] AUTH: ran out of backends
Dec 15 13:34:36 deimos mpd: [L-1] CHAP: Auth return status: failed
Dec 15 13:34:36 deimos mpd: [L-1] CHAP: Reply message: ^AE=691 R=1
Код: Выделить всё
$ radtest test 123456 127.0.0.1:1812 0 pass 0 127.0.0.1
Sending Access-Request of id 56 to 127.0.0.1 port 1812
User-Name = "test"
User-Password = "123456"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=56, length=38
Session-Timeout = 1419714
Framed-IP-Address = 10.10.10.63
Framed-IP-Netmask = 255.255.255.255
Код: Выделить всё
startup:
set user admin pass admin
set console self 127.0.0.1 5005
set console open
set web self 127.0.0.1 5006
set web open
# log -echo -radius -rep
log +auth +radius +ipcp +iface
default:
load pptp_server
pptp_server:
create bundle template B
set ipcp ranges 10.10.10.254/32 10.10.10.0/24
# set ipcp yes radius-ip
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set iface up-script "/usr/abills/libexec/linkupdown mpd up"
set iface down-script "/usr/abills/libexec/linkupdown mpd down"
set ipcp yes vjcomp
set ipcp dns 208.79.80.18
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes stateless
set mppc yes e40
set mppc yes e56
set mppc yes e128
# Create clonable link template named L
create link template L pptp
# Set bundle template to use
set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
# set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
set link mtu 1460
# Configure PPTP
set pptp self 192.168.1.10
load server_common
server_common:
set link no pap eap
set link yes chap-md5
set link keep-alive 20 60
set link enable incoming
set link no acfcomp protocomp
load radius
radius:
set radius server 127.0.0.1 pass 1812 1813
set radius retries 3
# set radius me 10.10.10.1
set auth acct-update 300
set auth enable radius-auth
set auth enable radius-acct
set radius enable message-authentic
С уважением.
Последний раз редактировалось Alex Keda 2009-12-19 21:42:49, всего редактировалось 1 раз.
Причина: Товарищщи! Цените чужое время, юзайте кнопочку [code]. А то позабаниваю!
Причина: Товарищщи! Цените чужое время, юзайте кнопочку [code]. А то позабаниваю!
WBR
-
- рядовой
- Сообщения: 16
- Зарегистрирован: 2008-11-29 14:20:01
- Откуда: Благовещенск
Re: mpd5(pppoe)+radius+ng_car+Abiils
О блин, нашел в логах Abiils:
2009-12-15 13:38:31 LOG_WARNING AUTH test Wrong password '221221206275K337?34%e?K330?L' NAS Server
2009-12-15 13:38:31 LOG_WARNING AUTH test REJECT Wrong password NAS Server
А через radtest:
2009-12-15 13:53:27 LOG_INFO AUTH test GT: 0.07663 NAS Server
Откуда он такие берет то пароли?
2009-12-15 13:38:31 LOG_WARNING AUTH test Wrong password '221221206275K337?34%e?K330?L' NAS Server
2009-12-15 13:38:31 LOG_WARNING AUTH test REJECT Wrong password NAS Server
А через radtest:
2009-12-15 13:53:27 LOG_INFO AUTH test GT: 0.07663 NAS Server
Откуда он такие берет то пароли?
WBR
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
Код: Выделить всё
radtest testuser testpassword 127.0.0.1:1812 0 PASSWD 0 127.0.0.1
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- рядовой
- Сообщения: 16
- Зарегистрирован: 2008-11-29 14:20:01
- Откуда: Благовещенск
Re: mpd5(pppoe)+radius+ng_car+Abiils
Да:
$ radtest test 123456 127.0.0.1:1812 0 pass 0 127.0.0.1
Sending Access-Request of id 23 to 127.0.0.1 port 1812
User-Name = "test"
User-Password = "123456"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=23, length=38
Session-Timeout = 1351381
Framed-IP-Address = 10.10.10.88
Framed-IP-Netmask = 255.255.255.255
WBR
-
- рядовой
- Сообщения: 16
- Зарегистрирован: 2008-11-29 14:20:01
- Откуда: Благовещенск
Re: mpd5(pppoe)+radius+ng_car+Abiils
Оказывается опечатка в конфиге была, debug помог. Всем спасибо. Кручу дальше.
WBR
- server801
- ст. лейтенант
- Сообщения: 1421
- Зарегистрирован: 2008-09-27 21:15:16
- Откуда: Саратов
- Контактная информация:
Re: mpd5(pppoe)+radius+ng_car+Abiils
дебаг как включается?