IPoE авторизация без радиуса
IPoE авторизация без радиуса
Добрый день!
Хочу понять как работает авторизация при старте по неклассифицированному пакету без радиуса? Или без радиуса старт сессий по неклассифицированному пакету не возможен?
Хочу понять как работает авторизация при старте по неклассифицированному пакету без радиуса? Или без радиуса старт сессий по неклассифицированному пакету не возможен?
Re: IPoE авторизация без радиуса
радиус/не-радиус значения не имеет
значение имеет то, то username == ип адрес, пароль из конфига если задан, иначе имеет такое-же значение как username
значение имеет то, то username == ип адрес, пароль из конфига если задан, иначе имеет такое-же значение как username
Re: IPoE авторизация без радиуса
т.е. на каждый IP в конфиг нужен username=IP и получается это можно поручить lua скрипту.
lua скрипт должен просто распарсить пришедший пакет, в случае l2 логично что первым должен быть пакет с arp и там нужно извлекать Sender protocol address
это верно?
в lua получается также можно вести проверку разрешено ли IP авторизовываться, т.е. или возращать username либо нет. Если брать в схему радиус, как он привязываеться для сессий по неклассифицированному пакету? также отправлять в lua - lua из радиуса выдернет. или есть более простые решения?
lua скрипт должен просто распарсить пришедший пакет, в случае l2 логично что первым должен быть пакет с arp и там нужно извлекать Sender protocol address
это верно?
в lua получается также можно вести проверку разрешено ли IP авторизовываться, т.е. или возращать username либо нет. Если брать в схему радиус, как он привязываеться для сессий по неклассифицированному пакету? также отправлять в lua - lua из радиуса выдернет. или есть более простые решения?
Last edited by linx on 18 Feb 2015, 15:01, edited 1 time in total.
Re: IPoE авторизация без радиуса
lua нужен только для разбора опции 82 дхцп пакета
при старте сессии по неклассифицированному пакету username всегда соответсвует ип
при старте сессии по неклассифицированному пакету username всегда соответсвует ип
Re: IPoE авторизация без радиуса
т.е. username по сути в конфиге должен отсутствовать, либо прописано много username=$IP?
в гибридной конфигурации внешний dhcp и не классифицированный пакет, авторизовать и то и другое уже не получится. т.к. lua ток для dhcp opt 82 остается только использовать start=up - его как то можно сдружить с радиусом? никак не пойму как реализуется схема для тех пользователей что не используют DHCP, а имеют на интерфейсе статический адрес, это ведь обычное дело что часть клиентов используют статику, а большинство dhcp
в гибридной конфигурации внешний dhcp и не классифицированный пакет, авторизовать и то и другое уже не получится. т.к. lua ток для dhcp opt 82 остается только использовать start=up - его как то можно сдружить с радиусом? никак не пойму как реализуется схема для тех пользователей что не используют DHCP, а имеют на интерфейсе статический адрес, это ведь обычное дело что часть клиентов используют статику, а большинство dhcp
Re: IPoE авторизация без радиуса
не надо в кофиге дополнительно ничего указыват
для статиков заведи в биллинге учётки с именами пользователя соотвествующими их ип адресам
для статиков заведи в биллинге учётки с именами пользователя соотвествующими их ип адресам
Re: IPoE авторизация без радиуса
так и сделано, в биллинге по сути статика, у пользователя всегда один и тот же IP адрес. просто примерно 95% запрашивают адрес по DHCP, остальные статикой в основном из-за отсутствия привязки по мак. необходимости использовать пулы и динамику нет. пользователю отдается /32 по схеме типа ip unnumbered, на lo висит адрес шлюза для абонентов + роут /32 на вилан абонентов. qinq и сегментации по виланам нет, все абоненты в одном вилане, изоляция прямого межабонентского трафика посредством traffic segmentation/port isolation на коммутаторах, весь трафик только к ядру и обратно. так сделано из ограничености билинга, accel с опцией ifcfg=1 вроде позволит обойти это ограничение,
Сессии никак не стартовали при загруженном модуле ядра, при старте accel ломал трафик на абонента, в логе accel относительно сессий ничего не было как и в cli, за 2 дня так и не нашел причину, потому спросил как accel авторизует пакеты.
если выкинуть лишнее, этого ведь достаточно?
Сессии никак не стартовали при загруженном модуле ядра, при старте accel ломал трафик на абонента, в логе accel относительно сессий ничего не было как и в cli, за 2 дня так и не нашел причину, потому спросил как accel авторизует пакеты.
если выкинуть лишнее, этого ведь достаточно?
Code: Select all
[ipoe]
verbose=1
nat=0
interface=ens2f1.3,shared=1,mode=L2,start=up,ifcfg=1,proxy-arp=1
local-net=10.151.4.0/24
interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
Re: IPoE авторизация без радиуса
оставь только это:
interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
Re: IPoE авторизация без радиуса
проверил, не авторизует
Пробовал добавлять в конфиг username=IP - аналогично, если выкинуть все оставить только строчку
тогда неклассифицированые пакеты accel игнорирует, т.к. нет localnet
если оставить только это, опять же ipoe0 создается и тут же ложится, добавление username=IP не помогает, суммарно конфиг получился такой:
Code: Select all
[2015-02-19 06:43:48]: info: ipoe0: ipoe: session finished
[2015-02-19 06:43:51]: info: ipoe0: create interface ipoe0 parent ens2f1.3
[2015-02-19 06:43:51]: debug: ipoe0: terminate
[2015-02-19 06:43:51]: info: ipoe0: ipoe: session finished
[2015-02-19 06:43:54]: info: ipoe0: create interface ipoe0 parent ens2f1.3
[2015-02-19 06:43:54]: debug: ipoe0: terminate
[2015-02-19 06:43:54]: info: ipoe0: ipoe: session finished
Code: Select all
interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
Code: Select all
interface=ens2f1.3,shared=1,mode=L2,start=up,ifcfg=1,proxy-arp=1
Code: Select all
[modules]
log_file
ipoe
[core]
thread-count=8
log-error=/var/log/accel-ppp/core.log
[log]
log-file=/var/log/accel-ppp/general.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
copy=0
level=5
[ipoe]
verbose=1
nat=0
local-net=10.151.4.0/24
#interface=ens2f1.3,shared=1,mode=L2,start=dhcpv4,start=up,relay=10.13.1.5,giaddr=10.13.1.1,ifcfg=1,proxy-arp=1
interface=ens2f1.3,shared=1,mode=L2,start=up,ifcfg=1,proxy-arp=1
#username=10.151.4.15
[cli]
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
Re: IPoE авторизация без радиуса
я не понял, не указан ни один модуль авторизацииlinx wrote:[modules]
log_file
ipoe
либо radius либо chap-secrets должен присутсвовать