Как решить проблему со сменой МАС на порту доступа?
Re: Как решить проблему со сменой МАС на порту доступа?
Покажите секцию [ipoe], возможно и по reload сработает, но в любом случае, лучше работы проводить в будние дни и ночное время.
ps:// check-mac-change применяется по reload, только обязательно отключите option 82.
ps:// check-mac-change применяется по reload, только обязательно отключите option 82.
Re: Как решить проблему со сменой МАС на порту доступа?
Сейчас так
Code: Select all
[ipoe]
verbose=1
any-login=0
noauth=0
username=lua:is_user
password=my_pass
lua-file=/etc/accel/accel-ppp.lua
shared=0
ifcfg=1
mode=L2
proxy-arp=0
ip-unnumbered=1
start=dhcpv4
lease-time=600
renew-time=300
max-lease-time=660
attr-dhcp-client-ip=Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-dhcp-opt82-remote-id=AccelRemoteId
attr-dhcp-opt82-circuit-id=AccelCircuitId
attr-l4-redirect=L4-Redirect
attr-l4-redirect-ipset=L4-Redirect-ipset
l4-redirect-on-reject=1800
l4-redirect-ip-pool=guest
vlan-mon=re:eth0\.3[5-9][0-9][0-9],100-2727
vlan-timeout=300
interface=re:eth0\.\d{4}\.\d{3},mtu=1500
check-mac-change=0
gw-ip-address=172.16.0.1/12
gw-ip-address=AAA.BBB.CCC.1/24
gw-ip-address=192.168.248.1/22
Code: Select all
attr-dhcp-opt82-remote-id=AccelRemoteId
attr-dhcp-opt82-circuit-id=AccelCircuitId
Re: Как решить проблему со сменой МАС на порту доступа?
Похоже, не всё так просто..
Поэкспериментровал на "игрушечном" NAS - изменил только конфиг - option 82 в логе есть.
Пришлось отключить dhcp local relay на свитче, после чего opt 82 из лога исчезла.
Получается, что просто "запретить" accel слушать opt 82 невозможно.
В понедельник попробую на реальной сети.
Поэкспериментровал на "игрушечном" NAS - изменил только конфиг - option 82 в логе есть.
Пришлось отключить dhcp local relay на свитче, после чего opt 82 из лога исчезла.
Получается, что просто "запретить" accel слушать opt 82 невозможно.
В понедельник попробую на реальной сети.
Re: Как решить проблему со сменой МАС на порту доступа?
Если убрать attr-dhcp-opt82-remote-id=AccelRemoteId и attr-dhcp-opt82-circuit-id=AccelCircuitId то по reload не применится, нужен будет рестарт. Но это если я правильно понял код.
Re: Как решить проблему со сменой МАС на порту доступа?
Не похоже. На "игрушечном" NAS я делал именно stop/start - не сработало - в лог по-прежнему записывалось содержимое option 82.
Code: Select all
[2018-05-12 20:02:57]: info: eth1.3612.2504: recv [DHCPv4 Request xid=7511974c ciaddr=172.16.15.241 chaddr=4c:00:10:3a:3e:dc <Message-Type Request> <Client-ID 014c00103a3edc> <Host-Name master-2> <Option-81 0000006d61737465722d322e> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,249,Vendor-Specific> <Vendor-Specific dc0100> <Relay-Agent {Agent-Circuit-ID _00040e1c0019} {Agent-Remote-ID _0006acf1dfa8cce0}>]
Code: Select all
[2018-05-12 20:06:37]: info: eth1.3612.2504: recv [DHCPv4 Discover xid=c72a9f93 chaddr=4c:00:10:3a:3e:dc <Message-Type Discover> <Option-116 01> <Client-ID 014c00103a3edc> <Host-Name master-2> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,249,Vendor-Specific> <Vendor-Specific dc00>]
Может они служат только для передачи радиусу содержимого option 82 и не для чего более?
Last edited by KovAl on 13 May 2018, 16:12, edited 1 time in total.
Re: Как решить проблему со сменой МАС на порту доступа?
Для отключения opt82 только это и нужно сделать.
Именно так - только для передачи радиус серверу.
Re: Как решить проблему со сменой МАС на порту доступа?
Похоже, что без option82 check-mac-change не работает. Соотв. проблема "реверса портов" не решается..
Вот результаты эксперимента с отключенным option82 и check-mac-change=1.
Active_User - это комп(доступ в Интернет есть), Blocked_User - роутер(доступ в Интернет заблокирован).
1. "Легальное" подключение :
2. Выключаю роутер (комп. не трогаю), быстро меняю местами порты на коммутаторе (в течении минуты где-то), включаю роутер и..
"нелегал" - enjoy, "легал" уходит в статус "не зарегистрирован"..
Т.о. происходит ровно обратное желаемому - "честный юзер" - в "нелегалы", "гадёныш" - в "честные юзеры"..
Есть ещё какие-либо варианты решения проблемы, или кроме как "доступ в ящик под амбарный замок" ничего уже не придумать?
Вот результаты эксперимента с отключенным option82 и check-mac-change=1.
Active_User - это комп(доступ в Интернет есть), Blocked_User - роутер(доступ в Интернет заблокирован).
1. "Легальное" подключение :
Спойлер
"нелегал" - enjoy, "легал" уходит в статус "не зарегистрирован"..
Спойлер
Есть ещё какие-либо варианты решения проблемы, или кроме как "доступ в ящик под амбарный замок" ничего уже не придумать?
Re: Как решить проблему со сменой МАС на порту доступа?
Все верно тут сработано, если бы вы проверяли в биллинге (ifname+calling-sid) оно же для лигального eth1.3612.2504+4c:00:10:3a:3e:dc, то "нелегал" не получил бы доступ, но и у легального увы, доступа в интернет тоже бы не было.
Как вариант можно выйти из данной ситуации, выдавать всем "нелегальным" или не авторизованным гостевую сеть и отправлять авторизовываться на captive portal, после успешной идентификации пользователя отправлять PoD и у легального снова будет интернет, а "нелегал" так и останется в чужом порту без интернета.
Как вариант можно выйти из данной ситуации, выдавать всем "нелегальным" или не авторизованным гостевую сеть и отправлять авторизовываться на captive portal, после успешной идентификации пользователя отправлять PoD и у легального снова будет интернет, а "нелегал" так и останется в чужом порту без интернета.
Re: Как решить проблему со сменой МАС на порту доступа?
Нет, НЕ верно!
В биллинге ИМЕННО эта связка и проверяется, но в данном случае accel НЕ направляет в биллинг! Он просто отдаёт "действующий" IP "чужому" МАС.
Посмотрите внимательно лог, там где "нелегал" отправляет Discovery и получает при этом "чужой" IP ("Blocked_User - чужой порт").
По-моему это всё же баг accel.
Именно так и сделано, только в роли captive portal выступает ЛК абонента.
НО! Ещё раз повторюсь - в данном случае accel НЕ направляет клиента на авторизацию..
Re: Как решить проблему со сменой МАС на порту доступа?
KovAI, вы правы. На стенде воспроизвел проблему, нужно подумать как исправлять.