IPoE авторизация без радиуса

[linx]

в вики про это ни слова, потому указывал ток что явно требуется, получается авторизация у accel построена так:

1. вход. пакет->смотрим что прописано для username в секции ipoe->отправляем username в один из подгруженных модулей (radius или chap-secrets)->chap-secrets

Это верно? и если верно, то получается нужно описать chap-secrets в конфиге, а в chap-secrets файле будет сопоставление, аналогичное для ppp, причем необязательно наличие самого pppd?

[Dmitry]

в вики про это ни слова, потому указывал ток что явно требуется

ну это как-бы само собой разумеющееся, кто-то должен авторизовывать (я же уже намекал на username), иначе какой в этом во всём смысл

1. вход. пакет->смотрим что прописано для username в секции ipoe->отправляем username в один из подгруженных модулей (radius или chap-secrets)->chap-secrets

1. вход.пакет->username=ип->модуль авторизации(chap-secrets)->файл chap-secrets

pppd естественно не нужен
стуктура chap-secrets соотвествует pppd'шному только лишь для простоты миграции

[linx]

Теперь в голове у меня сложилось схема, становится понятней. Опишу почему не получилось сходу настроить и хотелось бы понять почему такое поведение:

1. в секции [modules] если просто указан chap-secrets, но не описана секция [chap-secrets] , трафик на абонента ломается при старте accel в логах пусто при загруженном модуле ipoe
2. удаляю chap-secrets, в логе auth-fail.log появляются строки о поднятии и шатдауне ipoe
3. описываю секцию [chap-secrets], заполняю файл chap-secrets (10.151.4.15 * * 10.151.4.15), трафик на абонента ломается при старте accel в auth-fail.log пусто, но растет general.log там цикличиские старт accel, если смотреть по пиду - его пид меняется каждые 3 секунды, т.е. действительно перезапускается циклично
4. оставляю как есть но в [ipoe] добавляю noauth=1 (точно незнаю за что отвечает, но похоже отключает авторизацию. заметил в конфигах у других пользователей на форуме) интерфейс ipoe стартует, трафик от абонента проходит

Ни разу не работал с pppX потому мне не ясна была схема изначально, так понимаю опять какой то опции не хватает?

[Dmitry]

надо взять версию из гит
в 1.9 бага при авторизации из chap-secrets

[linx]

завтра тогда попробую версию из гит. спасибо за терпение, мне теперь понятно как работает, а то оперировать догадками сложно, т.к. есть крупицы но не можешь сложить их воедино, да и складываешь их без полного понимания.
'
это типа да нужно построить корабль, да ты его представляешь, всего его делали и ты наверно сможешь, т.к в целом его представляешь, но не знаешь деталей подробно, сделать можно весельный или моторный и т.д., ладно делаешь весельный и вроде он готов, весла приготовил - опа чет не гребется, оказывается и уключины нужны соответствующие. так методом проб и ошибок и приходишь к знанию деталей. Как говорится, как бы я ни был мудр, не бывает и одного дня, чтобы я не умудрился Сорри за офтоп.

[linx]

Code: Select all

 accel-ppp version bb92e3829330860b75ce6a5882bf10930da9ba52

это то что скачалось с гит, авторизация работает

[linx]

При текущей версии авторизации, как указать таймаут сессии?

[Dmitry]

похоже никак
если с радиусом, то Session-Timeout и Idle-Timeout

[linx]

весьма печально. получается для меня применимость accel-ppp вообще никакая, т.к. сессии вообще не ложатся.

радиус нет желания использовать для авторизации из-за больших проблем с ним, то падает accel, то не отвечает radius из-за большого кол-ва запросов. для шейпера - да, его удобно использовать, но опять же если укажу радиус в конфиге - не понятно в какой из модулей пойдет авторизация.

[hashvalt]

UP.

Возникла необходимость вывести около 100 юзеров в отдельный VLAN со статической адресацией и NAT. Авторизация через RADIUS, какой конфиг нужен для статики?

Для схемы с внешним DHCP сейчас так:

Code: Select all

interface=bond0.354,mode=L2,start=up,shared=1,proxy-arp=2
local-net=10.0.0.254/24

Будет ли работать так же шейпинг по радиус атрибуту если статическая адресация у этих клиентов?