|
Название: Nodeny + mikrotik и не только Отправлено: dimia от 28 Ноября 2009, 18:16:52 существует небольшая (~100 пользователей) wifi сеть микрорайона. базовая станция на микротике, доступ через windows server 2003 pptp vpn+tmeter. пробую сделать новый узел доступа на nodeny+mpd5(pppoe). пока тестовые клиенты работают без проблем, но осталось два нерешенных вопроса:
1) как убрать из пользовательской странички неиспользуемые меню - "проверка адреса", "почта", "заказ пакета" и "пополнение счета". логика простая - если пользователь это видит, то сразу спрашивает как этим пользоваться. у нас это все не поддерживается. 2) есть большое желание повысить защишенность введением авторизации на уровне доступа к радиосети. микротик поддерживает авторизацию по маку, а нодени умеет учитывать мак адрес пользовательских терминалов в тех. данных. вопрос - как через радиус проверять есть такой мак в базе или нет и выдавать accepted, если есть. я так понимаю, что нужно написать две процедуры - запрос радиуса в sql и и сам sql запрос. но я по сути админ, на такие вещи опыта не хватает. подскажите хотя бы направление для дальнейших действий. спасибо! Название: Re: Nodeny + mikrotik и не только Отправлено: Efendy от 28 Ноября 2009, 20:40:58 1) в админке операции -> настройки -> клиентская статистика -> список плагинов
2) да, процедурами. Реализовать несложно, если у elite не получится, напишу как, но пусть сам попробует для начала Название: Re: Nodeny + mikrotik и не только Отправлено: elite от 28 Ноября 2009, 22:43:06 да, процедурами. Реализовать несложно, если у elite не получится, напишу как, но пусть сам попробует для начала пошел тестовый сервак собирать :)Название: Re: Nodeny + mikrotik и не только Отправлено: elite от 28 Ноября 2009, 22:56:34 есть большое желание повысить защишенность введением авторизации на уровне доступа к радиосети. микротик поддерживает авторизацию по маку, а нодени умеет учитывать мак адрес пользовательских терминалов в тех. данных. вопрос - как через радиус проверять есть такой мак в базе или нет и выдавать accepted, если есть. а микротик может только по маку авторизовать или может еще по паролю?Название: Re: Nodeny + mikrotik и не только Отправлено: dimia от 29 Ноября 2009, 14:00:04 есть большое желание повысить защишенность введением авторизации на уровне доступа к радиосети. микротик поддерживает авторизацию по маку, а нодени умеет учитывать мак адрес пользовательских терминалов в тех. данных. вопрос - как через радиус проверять есть такой мак в базе или нет и выдавать accepted, если есть. а микротик может только по маку авторизовать или может еще по паролю?Нет, микротик посылает запрос радиусу с пустым паролем. Название: Re: Nodeny + mikrotik и не только Отправлено: elite от 29 Ноября 2009, 14:06:20 Нет, микротик посылает запрос радиусу с пустым паролем. а микротик посылает потом alive пакеты или нет? или только 1 раз авторизовался и все?Название: Re: Nodeny + mikrotik и не только Отправлено: dimia от 29 Ноября 2009, 14:18:58 Нет, микротик посылает запрос радиусу с пустым паролем. а микротик посылает потом alive пакеты или нет? или только 1 раз авторизовался и все?по умолчанию именно второй случай. реально больше ничего и не нужно. формат имени пользователя (мак адрес) можно настраивать. другие фичи типа keep-alive (accounting) тоже можно включить: * radius-mac-authentication (yes or no; default value: no) : This property affects the way how access point processes clients that are not found in the access-list. o no - allow or reject client authentication based on the value of default-authentication property of the wireless interface. o yes - Query RADIUS server using MAC address of client as user name. With this setting the value of default-authentication has no effect. * radius-mac-accounting (yes or no; default value: no) : * radius-eap-accounting (yes or no; default value: no) : * interim-update (time interval; default value: 0) : When RADIUS accounting is used, access point periodically sends accounting information updates to the RADIUS server. This property specifies default update interval that can be overridden by the RADIUS server using Acct-Interim-Interval attribute. * radius-mac-format (one of XX:XX:XX:XX:XX:XX, XXXX:XXXX:XXXX, XXXXXX:XXXXXX, XX-XX-XX-XX-XX-XX, XXXXXX-XXXXXX, XXXXXXXXXXXX, XX XX XX XX XX XX; default value: XX:XX:XX:XX:XX:XX) : Controls how MAC address of the client is encoded by access point in the User-Name attribute of the MAC authentication and MAC accounting RADIUS requests. * radius-mac-mode (one of as-username, as-username-and-password; default value: as-username) : By default access point uses empty password, when sending Access-Request during MAC authentication. When this property is set to as-username-and-password, access point will use the same value for User-Password attribute as for the User-Name attribute. * radius-mac-caching (either disabled or time interval; default value: disabled) : If this value is set to time interval, the access point will cache RADIUS MAC authentication responses for specified time, and will not contact RADIUS server if matching cache entry already exists. Value disabled will disable cache, access point will always contact RADIUS server. Название: Re: Nodeny + mikrotik и не только Отправлено: VitalVas от 29 Ноября 2009, 19:31:04 а по русски можна???
Название: Re: Nodeny + mikrotik и не только Отправлено: dimia от 30 Ноября 2009, 16:29:48 - формат "имени пользователя" может формироваться из мака следующим образом:
XX:XX:XX:XX:XX:XX, XXXX:XXXX:XXXX, XXXXXX:XXXXXX, XX-XX-XX-XX-XX-XX, XXXXXX-XXXXXX, XXXXXXXXXXXX, XX XX XX XX XX XX; - может быть использован или пустой пароль, или пароль совпадает с именем пользователя; - может периодически отсылаться "отчетность" в сторону радиуса остальное не столь важно Название: Re: Nodeny + mikrotik и не только Отправлено: dimia от 02 Декабря 2009, 14:20:58 да, процедурами. Реализовать несложно, если у elite не получится, напишу как, но пусть сам попробует для начала пошел тестовый сервак собирать :)как поживает тестовый сервак ? ;-) Название: Re: Nodeny + mikrotik и не только Отправлено: dimia от 04 Декабря 2009, 11:51:56 Кстати в тему - подскажите, пожалуйста, скриптик для вывода из базы данных таблицы из трех столбцов:
имя_пользователя IP_адрес MAC_адрес Название: Re: Nodeny + mikrotik и не только Отправлено: elite от 04 Декабря 2009, 11:57:57 Кстати в тему - подскажите, пожалуйста, скриптик для вывода из базы данных таблицы из трех столбцов: в текстовый файлик? - nomake.plимя_пользователя IP_адрес MAC_адрес Название: Re: Nodeny + mikrotik и не только Отправлено: dimia от 14 Декабря 2009, 17:31:36 в текстовый файлик? - nomake.pl [/quote] спасибо! то, что нужно. Кстати, может требуется помощь с тестовым серваком? Или например, удаленный доступ на наш сервер? Название: Re: Nodeny + mikrotik и не только Отправлено: elite от 15 Декабря 2009, 12:10:49 в текстовый файлик? - nomake.pl спасибо! то, что нужно. Кстати, может требуется помощь с тестовым серваком? Или например, удаленный доступ на наш сервер? [/quote] напиши свою аську в личку Название: Re: Nodeny + mikrotik и не только Отправлено: YuSHa от 26 Декабря 2009, 00:28:17 как проверить, работает ли нодени с микротиком? вроде собрал всё по мануалам, кроме фаервола во фре и перекомпиляции ядра. БД работает, на веб захожу.... как его дальше с Мтиком подружить?
Название: Re: Nodeny + mikrotik и не только Отправлено: VitalVas от 26 Декабря 2009, 09:44:16 как проверить, работает ли нодени с микротиком? вроде собрал всё по мануалам, кроме фаервола во фре и перекомпиляции ядра. БД работает, на веб захожу.... как его дальше с Мтиком подружить? в папке с сателитом есть папка mikrotk, заходиш и там лежыт ман частьНазвание: Re: Nodeny + mikrotik и не только Отправлено: YuSHa от 26 Декабря 2009, 20:52:55 так вот по ману вроде и настраивал.... вроде мтику добавляются команды от нодени, авторизация через WEB добавляет правила в мтик, но немогу понять почему не происходит авторизация через PPPoE. выбивает 629 или 691 ошибку (удалённый компьютер завершил соединение или ошибка имени и пароля).
лог микротика на соединение Код: 07:11:35 pppoe,info PPPoE connection established from 00:1E:8C:82:F4:D2 Название: Re: Nodeny + mikrotik и не только Отправлено: goletsa от 26 Декабря 2009, 22:14:50 А радиус у вас работает?
Или как вы авторизовываете юзеров. Название: Re: Nodeny + mikrotik и не только Отправлено: YuSHa от 26 Декабря 2009, 23:06:14 работает( во всяком случае на команду sockstat | grep radius пишет следующее:
Код: [root@nodeny /etc]# sockstat | grep radius Название: Re: Nodeny + mikrotik и не только Отправлено: YuSHa от 27 Декабря 2009, 00:58:10 вроде с radius-ом разобрался теперь буду плясать вокруг микротика для правил фаервола
Название: Re: Nodeny + mikrotik и не только Отправлено: goletsa от 27 Декабря 2009, 13:38:55 вроде с radius-ом разобрался теперь буду плясать вокруг микротика для правил фаервола Я бы лучше предложил разделение труда. Несколько саттелит-pppoe на микротиках ходят через один шейпер на фре.Хорошо маштабируемое решение. Хотя не знаю сколько у вас юзеров :) Название: Re: Nodeny + mikrotik и не только Отправлено: Maks от 27 Декабря 2009, 20:34:58 вроде с radius-ом разобрался теперь буду плясать вокруг микротика для правил фаервола Я бы лучше предложил разделение труда. Несколько саттелит-pppoe на микротиках ходят через один шейпер на фре.Хорошо маштабируемое решение. Хотя не знаю сколько у вас юзеров :) Я ранее наоборот стремился чтоб было минимум хопов. Название: Re: Nodeny + mikrotik и не только Отправлено: YuSHa от 28 Декабря 2009, 00:10:28 абонов в районе 300-т... была задумка поднять радиусы на всех микротиках (более 20 шт)....и там сделать PPP серваки. но наверное буду работать по старому через шлюзы на 1 сервак по VPN
Название: Re: Nodeny + mikrotik и не только Отправлено: goletsa от 28 Декабря 2009, 10:44:19 вроде с radius-ом разобрался теперь буду плясать вокруг микротика для правил фаервола Я бы лучше предложил разделение труда. Несколько саттелит-pppoe на микротиках ходят через один шейпер на фре.Хорошо маштабируемое решение. Хотя не знаю сколько у вас юзеров :) Я ранее наоборот стремился чтоб было минимум хопов. Название: Re: Nodeny + mikrotik и не только Отправлено: goletsa от 28 Декабря 2009, 10:45:20 абонов в районе 300-т... была задумка поднять радиусы на всех микротиках (более 20 шт)....и там сделать PPP серваки. но наверное буду работать по старому через шлюзы на 1 сервак по VPN 20 микротиков на 300 абонентов? O_OНазвание: Re: Nodeny + mikrotik и не только Отправлено: stix от 28 Декабря 2009, 15:10:35 при создании Simple Queues в микротике, я так понял он создает шейп на All interfaces
___ уже проверил, да. Название: Re: Nodeny + mikrotik и не только Отправлено: YuSHa от 28 Декабря 2009, 16:19:36 абонов в районе 300-т... была задумка поднять радиусы на всех микротиках (более 20 шт)....и там сделать PPP серваки. но наверное буду работать по старому через шлюзы на 1 сервак по VPN 20 микротиков на 300 абонентов? O_OНазвание: Re: Nodeny + mikrotik и не только Отправлено: Eugene от 30 Октября 2010, 18:14:02 А не подскажете, сделал автораздачу IP-адресов по DHCP, где МикроТик спрашивает какой адрес давать МАКу.
Но не могу придумать как сделать фильтрацию по МАКу, в случае, если пользователь просто взял и указал МАК соседа вручную? Я предполагаю, что это можно сделать через добавление вручную в ARP-таблицу соответствия IP и MAC-адреса и ничего более умного в голову не идёт... Название: Re: Nodeny + mikrotik и не только Отправлено: VitalVas от 30 Октября 2010, 18:27:03 А не подскажете, сделал автораздачу IP-адресов по DHCP, где МикроТик спрашивает какой адрес давать МАКу. сделай привязку мас-а до порта, если у тебя умные свичиНо не могу придумать как сделать фильтрацию по МАКу, в случае, если пользователь просто взял и указал МАК соседа вручную? Я предполагаю, что это можно сделать через добавление вручную в ARP-таблицу соответствия IP и MAC-адреса и ничего более умного в голову не идёт... |