IPoE авторизация без радиуса

IPoE related questions
linx
Posts: 13
Joined: 16 Feb 2015, 15:28

IPoE авторизация без радиуса

Post by linx »

Добрый день!

Хочу понять как работает авторизация при старте по неклассифицированному пакету без радиуса? Или без радиуса старт сессий по неклассифицированному пакету не возможен?
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: IPoE авторизация без радиуса

Post by Dmitry »

радиус/не-радиус значения не имеет
значение имеет то, то username == ип адрес, пароль из конфига если задан, иначе имеет такое-же значение как username
linx
Posts: 13
Joined: 16 Feb 2015, 15:28

Re: IPoE авторизация без радиуса

Post by linx »

т.е. на каждый IP в конфиг нужен username=IP и получается это можно поручить lua скрипту.

lua скрипт должен просто распарсить пришедший пакет, в случае l2 логично что первым должен быть пакет с arp и там нужно извлекать Sender protocol address
это верно?

в lua получается также можно вести проверку разрешено ли IP авторизовываться, т.е. или возращать username либо нет. Если брать в схему радиус, как он привязываеться для сессий по неклассифицированному пакету? также отправлять в lua - lua из радиуса выдернет. или есть более простые решения?
Last edited by linx on 18 Feb 2015, 15:01, edited 1 time in total.
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: IPoE авторизация без радиуса

Post by Dmitry »

lua нужен только для разбора опции 82 дхцп пакета
при старте сессии по неклассифицированному пакету username всегда соответсвует ип
linx
Posts: 13
Joined: 16 Feb 2015, 15:28

Re: IPoE авторизация без радиуса

Post by linx »

т.е. username по сути в конфиге должен отсутствовать, либо прописано много username=$IP?

в гибридной конфигурации внешний dhcp и не классифицированный пакет, авторизовать и то и другое уже не получится. т.к. lua ток для dhcp opt 82 остается только использовать start=up - его как то можно сдружить с радиусом? никак не пойму как реализуется схема для тех пользователей что не используют DHCP, а имеют на интерфейсе статический адрес, это ведь обычное дело что часть клиентов используют статику, а большинство dhcp
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: IPoE авторизация без радиуса

Post by Dmitry »

не надо в кофиге дополнительно ничего указыват
для статиков заведи в биллинге учётки с именами пользователя соотвествующими их ип адресам
linx
Posts: 13
Joined: 16 Feb 2015, 15:28

Re: IPoE авторизация без радиуса

Post by linx »

так и сделано, в биллинге по сути статика, у пользователя всегда один и тот же IP адрес. просто примерно 95% запрашивают адрес по DHCP, остальные статикой в основном из-за отсутствия привязки по мак. необходимости использовать пулы и динамику нет. пользователю отдается /32 по схеме типа ip unnumbered, на lo висит адрес шлюза для абонентов + роут /32 на вилан абонентов. qinq и сегментации по виланам нет, все абоненты в одном вилане, изоляция прямого межабонентского трафика посредством traffic segmentation/port isolation на коммутаторах, весь трафик только к ядру и обратно. так сделано из ограничености билинга, accel с опцией ifcfg=1 вроде позволит обойти это ограничение,

Сессии никак не стартовали при загруженном модуле ядра, при старте accel ломал трафик на абонента, в логе accel относительно сессий ничего не было как и в cli, за 2 дня так и не нашел причину, потому спросил как accel авторизует пакеты.

если выкинуть лишнее, этого ведь достаточно?

Code: Select all

[ipoe]
verbose=1
nat=0
interface=ens2f1.3,shared=1,mode=L2,start=up,ifcfg=1,proxy-arp=1
local-net=10.151.4.0/24
interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: IPoE авторизация без радиуса

Post by Dmitry »

оставь только это:
interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
linx
Posts: 13
Joined: 16 Feb 2015, 15:28

Re: IPoE авторизация без радиуса

Post by linx »

проверил, не авторизует

Code: Select all

[2015-02-19 06:43:48]:  info: ipoe0: ipoe: session finished
[2015-02-19 06:43:51]:  info: ipoe0: create interface ipoe0 parent ens2f1.3
[2015-02-19 06:43:51]: debug: ipoe0: terminate
[2015-02-19 06:43:51]:  info: ipoe0: ipoe: session finished
[2015-02-19 06:43:54]:  info: ipoe0: create interface ipoe0 parent ens2f1.3
[2015-02-19 06:43:54]: debug: ipoe0: terminate
[2015-02-19 06:43:54]:  info: ipoe0: ipoe: session finished
Пробовал добавлять в конфиг username=IP - аналогично, если выкинуть все оставить только строчку

Code: Select all

interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
тогда неклассифицированые пакеты accel игнорирует, т.к. нет localnet

Code: Select all

interface=ens2f1.3,shared=1,mode=L2,start=up,ifcfg=1,proxy-arp=1
если оставить только это, опять же ipoe0 создается и тут же ложится, добавление username=IP не помогает, суммарно конфиг получился такой:

Code: Select all

[modules]
log_file
ipoe

[core]
thread-count=8
log-error=/var/log/accel-ppp/core.log

[log]
log-file=/var/log/accel-ppp/general.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
copy=0
level=5

[ipoe]
verbose=1
nat=0
local-net=10.151.4.0/24
#interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
interface=ens2f1.3,shared=1,mode=L2,start=up,ifcfg=1,proxy-arp=1
#username=10.151.4.15

[cli]
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: IPoE авторизация без радиуса

Post by Dmitry »

linx wrote:[modules]
log_file
ipoe
я не понял, не указан ни один модуль авторизации
либо radius либо chap-secrets должен присутсвовать
Post Reply