Возможно ли применить noauth для конкретной секции?

Here you can post your feature requests and suggestions
Post Reply
KovAl
Posts: 79
Joined: 26 Dec 2017, 15:35

Возможно ли применить noauth для конкретной секции?

Post by KovAl » 08 Jan 2018, 09:30

Возможно ли использовать noauth только для конкретной секции?
Например, в [ipoe] noauth=0 any-login=0, а в [pppoe] noauth=1 any-login=1.
Попытался тупо добавить эти опции в конфиг аццел - не взлетело.. Всё равно pppoe идёт к radius, где получает "отлуп"..
Если же добавить эти параметры "глобально", создав секцию [auth], то происходит обратное - в радиус никто не стучится..

P.S. В предпоследнем релизе (version 2e06c8c9278ab283907f3bb9d1fa28c5edb5f1e4) с "глобальным" noauth работало именно так, как описано выше.
Т.е. pppoe поднималось без авторизации, а ipoe только через заход в радиус.

Dmitry
Администратор
Posts: 949
Joined: 09 Oct 2014, 10:06

Re: Возможно ли применить noauth для конкретной секции?

Post by Dmitry » 08 Jan 2018, 10:20

[auth]
noauth=1

[ipoe]
noauth=0

KovAl
Posts: 79
Joined: 26 Dec 2017, 15:35

Re: Возможно ли применить noauth для конкретной секции?

Post by KovAl » 08 Jan 2018, 14:46

Спасибо! Так работает, как требуется.

В продолжение темы есть вопрос - возможно ли используя эту опцию реализовать "приоритет" конкретного типа подключения?
Т.е. если noauth=1, то accel будет сначала пытаться "авторизовать" тот тип подключения, где эта опция "разрешена",
и только потом - где не разрешено. В "моём случае" приоритет должен быть у pppoe (в конфиге разрешены только pppoe и ipoe).

Поясню, для чего это необходимо: готовлю сеть к переходу с pppoe на ipoe. С теми клиентами, у кого подключение "напрямую" к компьютеру,
проблем нет. После перевода на ipoe, Интернет у них "появится автоматически", а "старое" соединение pppoe просто не будет подключаться,
т.к. первым от компьютера придёт запрос на получение IP от DHCP-клиента компьютера, и accel его авторизует через radius.
Т.о. клиенту достаточно просто объяснить, что сейчас для доступа в Интернет ему не нужно ничего "подключать", всё будет сделано автоматически.

Для клиентов, у которых установлены роутеры, сделан редирект на специальную веб-страницу, где объясняется, что необходимо сделать,
чтобы роутер заработал на новом типе подключения. И вот тут возникает "затык" - для того чтобы редиректнуть запрос на страницу с инструкцией, необходимо чтобы роутер поднял pppoe соединение, которому будет выдан IP из специального "редирект-пула".
Но на всех роутерах сконфигурёно так называемое "PPPoE Russia" с активированным "вторичным подключением".
И получается так, что DHCP-запрос от роутера приходит первым и accel его "авторизует", выдавая "легальный" IP от radius.
Но в этом случае роутер не получает IP gateway и DNS. Плюс продолжает "стучаться" по pppoe на "занятый" модулем ipoe интерфейс.
Соответственно, никакой "инструкции" клиент не увидит..

Если отключить "вторичное подключение", то всё проходит так, как необходимо, клиент видит инструкцию, делает то, что там написано,
либо звонит в ТП, где ему объясняют "на пальцах", что надо сделать.

Если pppoe-соединение будет иметь наивысший приоритет, то всё будет работать, как надо.

P.S. Может быть есть другой путь решения проблемы?

Dmitry
Администратор
Posts: 949
Joined: 09 Oct 2014, 10:06

Re: Возможно ли применить noauth для конкретной секции?

Post by Dmitry » 08 Jan 2018, 17:15

тут так просто не получится, требуется доработка модуля vlan-mon
я правильно понял что вланы создаются через монитор вланов ?

KovAl
Posts: 79
Joined: 26 Dec 2017, 15:35

Re: Возможно ли применить noauth для конкретной секции?

Post by KovAl » 08 Jan 2018, 17:34

Dmitry wrote:
08 Jan 2018, 17:15
тут так просто не получится, требуется доработка модуля vlan-mon
я правильно понял что вланы создаются через монитор вланов ?
Да, именно так. QinQ+vlan-mon как для ipoe, так и для pppoe.

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest