Название: Разные типы авторизаций на NAS
Отправлено: Tooreagen от 04 Сентября 2017, 10:40:50
Приветствую! Есть сервер с базой, к нему подключен NAS с DHCP авторизацией. Подключаю еще один NAS с авторизацией PPPoE. Дошел до процедур. Я так понимаю процедуры нужно прописывать на сервере с БД? Зашел и вижу что там уже есть процедуры (код прикладываю).Не пойму это они нужны для стандартной работы Nodeny+ или я когда-то уже делал авторизацию через radius, потому как код разный. Коды процедур: radcheck BEGIN
SELECT Null, login, 'Cleartext-Password' AS Attribute, '' AS Value,':=';
END radreply BEGIN
DECLARE usr_mac VARCHAR(12);
DECLARE usr_ip VARCHAR(15);
DECLARE usr_id INT;
SELECT REPLACE(login, ':', '') INTO usr_mac;
SELECT uid INTO usr_id FROM mac_uid WHERE mac=usr_mac;
IF usr_id IS NOT NULL AND usr_id>0 THEN
SELECT get_ip(usr_id) INTO usr_ip;
UPDATE mac_uid SET ip=0 WHERE ip=INET_ATON(usr_ip) AND uid<>usr_id;
UPDATE mac_uid SET ip=INET_ATON(usr_ip), time=UNIX_TIMESTAMP() WHERE uid=usr_id;
ELSE
UPDATE mac_uid SET ip=0 WHERE uid=0 AND time<(UNIX_TIMESTAMP()-3600);
START TRANSACTION;
SELECT INET_NTOA(ip) INTO usr_ip FROM ip_pool p WHERE uid=0 AND type='dynamic'
AND NOT EXISTS (SELECT ip FROM mac_uid WHERE ip=p.ip)
ORDER BY RAND() LIMIT 1 FOR UPDATE;
INSERT INTO mac_uid VALUES(
NULL, usr_mac, INET_ATON(usr_ip), 0, UNIX_TIMESTAMP(), 0, 0, 0)
ON DUPLICATE KEY
UPDATE ip=IF(ip>0,ip,INET_ATON(usr_ip)), time=UNIX_TIMESTAMP();
COMMIT;
SELECT INET_NTOA(ip) INTO usr_ip FROM mac_uid WHERE mac=usr_mac;
END IF;
SELECT NULL, login, 'Framed-IP-Address', usr_ip, '=';
SELECT NULL, login, 'Session-Timeout', '600', '=';
END
radupdate BEGIN
DECLARE usr_mac VARCHAR(16);
SELECT REPLACE(login, ':', '') INTO usr_mac;
CALL set_auth(ipa, CONCAT('mod=dhcp;user=', usr_mac, ';', REPLACE(properties,':','')));
UPDATE mac_uid SET time=UNIX_TIMESTAMP() WHERE ip=INET_ATON(ipa) LIMIT 1;
END Если я их заменю процедурами для работы PPPoE тот NAS который работает по DHCP "упадет" ? Я так понимаю процедуры от микротика остались
Название: Re: Разные типы авторизаций на NAS
Отправлено: Tooreagen от 04 Сентября 2017, 15:47:42
Старые удалил, новые от РРРоЕ прописал. Пропали ключики авторизаций и ip, хотя по фильтру АВТОРИЗОВАНЫ все нормально и инет у людей работает. Что не так?
Название: Re: Разные типы авторизаций на NAS
Отправлено: Redmen от 04 Сентября 2017, 21:26:56
Ти можешь в базе создать 2 комплекта процедур с разными названиями для пппое и дхцп
типа radauth_dhcp radauth_pppoe и т.д
а айпишки и ключики пропали а инет у людей есть из за того что не запущен модуль ядра авторизаций, навероно
Название: Re: Разные типы авторизаций на NAS
Отправлено: Tooreagen от 18 Сентября 2017, 07:40:57
В общем все настроил. И базу и NAS, связь по радиус есть, абоненты работаю, правильные ip получают. Единственный момент, это когда включаю фаерволл на NAS пропадает интернет у абонентов. Сейчас работает правило 00001 allow ip from any to any\ Подскажите что изменить, ipfw list приложил: 00001 allow ip from any to any
00034 allow ip from me to 188.239.193.100
00035 allow ip from 188.239.193.100 to me
00036 allow tcp from any to 185.68.16.203 dst-port 443
00037 allow tcp from 185.68.16.203 443 to any
00038 allow tcp from any to 185.68.16.203 dst-port 80
00039 allow tcp from 185.68.16.203 80 to any
00040 allow tcp from any to 188.239.193.100 dst-port 443
00041 allow tcp from 188.239.193.100 443 to any
00042 allow tcp from any to 188.239.193.100 dst-port 80
00043 allow tcp from 188.239.193.100 80 to any
00044 allow tcp from any to 185.68.16.110 dst-port 443
00045 allow tcp from 185.68.16.110 443 to any
00046 allow tcp from any to 185.68.16.110 dst-port 80
00047 allow tcp from 185.68.16.110 80 to any
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00052 allow tcp from any to 188.239.193.100 dst-port 1723 in
00053 allow tcp from 188.239.193.100 1723 to any out
00054 allow ip from 172.16.1.201 to any
00055 allow ip from any to 172.16.1.201
00056 allow ip from 172.16.1.202 to any
00057 allow ip from any to 172.16.1.202
00058 allow gre from any to any
00059 allow ip from 188.239.193.170 to me dst-port 10051
00060 allow ip from me 10051 to 188.239.193.170
00065 allow tcp from any to me dst-port 3306
00066 allow tcp from me 3306 to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via ng0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv ng0
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state :default
01020 allow udp from any to any keep-state :default
01100 allow ip from any to any
02000 check-state :default
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 22,80,443,5006
02030 allow tcp from table(101) to any dst-port 3306
02050 deny ip from any to any via ng0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
04500 allow ip from any to table(100)
18500 deny ip from any to any
32000 deny ip from any to any
32490 deny ip from any to any
32500 allow ip from table(100) to any
46500 deny ip from any to any
60000 deny ip from any to any
65535 deny ip from any to any
Название: Re: Разные типы авторизаций на NAS
Отправлено: ser970 от 18 Сентября 2017, 08:00:15
В общем все настроил. И базу и NAS, связь по радиус есть, абоненты работаю, правильные ip получают. Единственный момент, это когда включаю фаерволл на NAS пропадает интернет у абонентов. Сейчас работает правило 00001 allow ip from any to any
нету правил шейпера и диверта два варианта фаер передернули после запуска носервера или ядро без думунета и диверта
Название: Re: Разные типы авторизаций на NAS
Отправлено: Tooreagen от 19 Сентября 2017, 09:32:02
Фаер не трогали, на всякий случай перезапустил noserver.pl по поводу дамминет и диверт,вот: kldstat -v | grep -E "(dive|dumm)"
3 1 0xffffffff821ae000 8d40 ipdivert.ko (/boot/kernel/ipdivert.ko)
2 ipdivert
4 1 0xffffffff821b7000 28dd0 dummynet.ko (/boot/kernel/dummynet.ko)
3 dummynet
еще непонятно почему нет таблиц: root@server:/usr/home/sergey # ipfw table 21 list
ipfw: failed to request table info: No such process
root@server:/usr/home/sergey # ipfw table 31 list
ipfw: failed to request table info: No such process
Название: Re: Разные типы авторизаций на NAS
Отправлено: ser970 от 19 Сентября 2017, 10:30:31
Фаер не трогали, на всякий случай перезапустил noserver.pl по поводу дамминет и диверт,вот: kldstat -v | grep -E "(dive|dumm)"
3 1 0xffffffff821ae000 8d40 ipdivert.ko (/boot/kernel/ipdivert.ko)
2 ipdivert
4 1 0xffffffff821b7000 28dd0 dummynet.ko (/boot/kernel/dummynet.ko)
3 dummynet
еще непонятно почему нет таблиц: root@server:/usr/home/sergey # ipfw table 21 list
ipfw: failed to request table info: No such process
root@server:/usr/home/sergey # ipfw table 31 list
ipfw: failed to request table info: No such process
дай доступ гляну
Название: Re: Разные типы авторизаций на NAS
Отправлено: NodenY45 от 16 Декабря 2020, 08:27:52
как решили отсутсвие правил и таблиц? та же проблема, после установки новой версии freebsd 12.3 Фаер не трогали, на всякий случай перезапустил noserver.pl по поводу дамминет и диверт,вот: kldstat -v | grep -E "(dive|dumm)"
3 1 0xffffffff821ae000 8d40 ipdivert.ko (/boot/kernel/ipdivert.ko)
2 ipdivert
4 1 0xffffffff821b7000 28dd0 dummynet.ko (/boot/kernel/dummynet.ko)
3 dummynet
еще непонятно почему нет таблиц: root@server:/usr/home/sergey # ipfw table 21 list
ipfw: failed to request table info: No such process
root@server:/usr/home/sergey # ipfw table 31 list
ipfw: failed to request table info: No such process
Название: Re: Разные типы авторизаций на NAS
Отправлено: NodenY45 от 16 Декабря 2020, 23:47:37
правила и таблицы не создаются когда запускаешь noserver.pl с ключем -v
:)
|