Биллинговая система Nodeny

Ребята подскажите как передать через радиус скорость на микротик.

http://wiki.mikrotik.com/wiki/RouterOs_MySql_Freeradius

Атрибут Mikrotik-Rate-Limit


Как выудить скорость из пакета - завтра расскажу.

Какой атрибут я знаю.
Меня интересует как видернуть из бд ету скорость.

Дело в том, что данные услуги хранятся в закодированном (серилизованном) виде для того, чтобы делать услуги любой сложности - включать любую комбинацию полей хоть для интернета, хоть для подсчета яблок. Из mysql выудить эти поля не то чтобы невозможно, но очень и очень геморно - будет громадная процедура. Тут есть 2 пути: в радиусе заменить mysql-процедуры на вызов perl скрипта - этим у нас будет ацкая гибкость, но пока я этим вопросом не занимался и понятно, что завтра скрипты не будут.

Второй вариант - я подправлю модуль услуг так, чтобы он в поле "теги" дописывал через запятую скорость тарифа. Из тегов выудить для мускула будет проще. Если такой вариант устраивает, то в принципе можно сегодня-завтра внести эту фичу

Второй вариант мне подходит. Я так понял что при втором варианте я могу свой mpd не трогать и микротик заработает с ограничением скорости.
У меня просто сечас один нас ето mpd а другой ето mikrotik.

Зробив для себе костиль. Так як в мене всі швидкості симетричні. І послуги тіки з швидкістю. Да і тіки один напрямок. То мені підходить.
Тепер можу спокійно чекати рішення якогось більш вміняймого від розробника.

to Dr.zlo
а как вы будите перенаправлять заблокированных на заглушку? может умная мысли поможет решить мою проблему перехода на nodeny.
у нас сейчас реализовано так: если в биллинге (не нодени) абонент продлен(есть деньги) то получает ip из пула, который натится, если заболокирован - получает ip из другой подсети и в микротике дропается все кроме 80 порта и все запросы 80 порта перенаправляются на статическую заглушку типа "дай денег"

Ну так можна при авторизации дьорнуть статус щьота і видать ip с другого пула ip. Пули ip можна создавать разние.
Но я правда не знаю насколько правильно оно будет.

На микротике это сделать легче всего
chain=dstnat action=dst-nat to-addresses=10.105.1.1 to-ports=80 protocol=tcp src-address=10.105.7.0/24 src-address-list=!goodboys dst-port=80
если народа нет в гудбойсах то попадает на 10.105.1.1
то-есть не нужно абонента по пулам гонять пусть себе сидит со своей айпишкой.
просто добавляй его в фаер а лист если ему можно ходить
в правила NAT можно добавить любое количество подсетей

так заглушка у нас сейчас и сделана. но как добавлять/удалять гудбоев из аксес листа?
для 49/50 был скрипт управления фаером, но как его скрестить с N+ я  не знаю.
минус  ещё в том, что при передаче скорости при поднятии pppoe динамически скорость не изменить

По идее, если микротик поддерживает http://wiki.sirmax.noname.com.ua/index.php/CoA , то можно сделать.  Ладно, скажите мне, скрипт микротика для N49/50 имеет недостаток лишь в том, что иногда создаются дублирующиеся записи?

в  продакшене этот скрипт не использовал. только на тестах.

Ну как би поидеи есть атрибут Mikrotik-Address-List которий является строкой. При передачи параметров в него можна вписать значение столбца "state" в результате получим две таблички адресов корие будут називатся "on" и "off". Ну а дальше уже с етими табличками что хотим то и делаем.

но это только для pppoe. опять  же нужно ограничивать время сессии. т.к. динамически абонента мы не переведем из одного листа в другой

Давно не использовал микротик, поэтому заранее прошу прощения, если ошибаюсь, но, насколько я помню - на микротике сначала удалялись все правила, а затем создавались заново из переданного ему полного списка всех клиентов всех сателлитов. Эта операция "пригружала" микротик и у клиентов возникали кратковременные проблемы с доступом в интернет. Поэтому хотелось-бы, чтобы на микротик передавались и обрабатывались только изменения в правилах, а не полностью все таблицы.

И нужно оставить только правила для "своих" клиентов, а обмен данными с клиентами других сателлитов полностью запретить, соответственно, кардинально сократив количество правил.

Поясняю мысль. Маленький аппаратный микротик имеет смысл ставить где-нибудь на дальних окраинах, где мало клиентов. И получается, что ради десятка-сотни клиентов самого микротика, на него грузятся (и постоянно обновляются) тысячи правил, учитывающих связь с клиентами других сателлитов. Это создаёт совершенно ненужную и достаточно ощутимую нагрузку. Проще вообще этот трафик запретить - для 99,9% клиентов нужен только доступ в интернет.

А что в радапдейт незя передать параметр перекинуть в другую групу адресов ?

В общем, я почти переработал скрипт управления микротиком. Сделал его более медленным, но надежней. Сейчас после каждой команды он дает "отдышаться" микротику. Тестирую на виртуальной машине....

будет возможность использовать несколько сателитов? как микротиковских так и bsd-шных?

да

Сейчас запустил в реальной сети из 500 абонов, правда микротик на виртуалке, но по идее это даже лучше - она менее производительна чем реальная железка, значит если выдержит такую нагрузку, то в реале еще большую

P.S. Причем виртуалка запущена в другом городе и управление идет через инет

микротик  только pppoe сервер? делается ли нат? есть ли в списке( на будущее) реализация форварда на заглушку?
и какой версии микротик?

управление через API, как в N50 списки goodboys и simple queue

Пофиксил дублирование записей в эксесс-листах

1) нет он не удаляет весть лист и квей, он смотрит наличие сесии, и если она есть то он её оставляет.
2) нет все не обновляются, ты же сателиту указываеш какие группы пихать в микротик.

ну по ходу там правило добавлялось толко на форвард и все делов.
а для заглушки просто указываеш какую сеть перенаправлять и всё. для этого не нужен скрипт, ибо не есть целью скрипта прописывать ещё и вс правила в фаервол, у меня на пример ещё дофига дополнительных правил, и на брут и на дос и ограничение по количеству запросов.
не всовывать же это всё в скрипт.

единственно чего ему ещё очень не хватает, это реализации нескольких айпи в одном акаунте, чтоб можно было общую трубу юзеру дать.

Добрый день. Вопрос по работе модуля. У меня между авторизацией пользователя и фактическим получением пользвотелем доступа в интернет проходит около 30 секунд. Это нормально?

Честно говоря уже не помню. Запусти модуль микротика в консоли с ключем -v и посмотри как быстро он реагирует на включение/выключение режима "всегда онлайн" у тестовой записи

Запускал. Вижу что nodeny постоянно (циклами) по API синхронизирует микротик. После внесения изминений в тестовой записи, заканчивает текущий цикл и применяет изминения в следующем. Проблема в количестве пользователей/записей? Дело в том, что тех пользователей, что нет в листе goodboys я отправляю в лист badboys (с таймаутом в 5 сек.) А badboys, в свою очередь, отправляются на заглушку. Как результат - пользователь с положительным балансом, после авторизации 20-30 секунд наблюдает заглушку, что совсем не красиво ....