Биллинговая система Nodeny

Здравствуйте. Пытаюсь установить и разобраться с nodeny 49. Вопрос. Возможно установить агент доступа на mikrotik? И вопрос по генерации карточек. Я создаю карточку выставляю допустим Срок действия 30. Как сделать чтоб срок окончания был не с момента продажи а с момента активации?

1) Агент доступа не устанавливается на микротик, поскольку (вроде бы) это закрытая система. На сервере NoDeny запускается noserver.pl, который использует hw_mikrotik.pl и nofire.pl заточенные под микротик.

2) срок карточки - это срок, после которого карточку уже нельзя активировать. Следовательно изменять этот срок после активации не имеет смысла

С помощью noserver.pl, который использует hw_mikrotik.pl и nofire.pl заточенные под микротик возможно чтоб на микротик авторизировались и получали доступ к интернет только те пользователи которым разрешен доступ в nodeny?

Авторизованные клиенты, которым не запрещен доступ. Кстати, еще и скорость устанавливается

А в доках есть примеры настройки этой связки в условиях работы Ноудени  с  несколькими микротиками одновременно?

Неа. Когда я делал этот модуль никто не заинтересовался. Щас занят другим...

Так а где этот модуль найти можно?

Скажите если я в безлимитном тарифном плане выставляю Стоимость тарифного плана значение 100 грн это получается абонплата за месяц и nodeny эту абонплату делит на кол-во дней в месяце?

делит он только в случае установки в учетной записи клиента параметра "день начала потребления услуг". В ином случае смнимает 100 грн за месяц. С какой целью делить расскажи?

Я создал абонента выставил ему тарифный план безлимитный за 150 грн. В статистике абонента сообщение.
Ув. абонент, вы начали пользоваться услугой с 25 числа, т.е. не полный месяц. Мы уменьшили стоимость тарифного плана и предоплаченный трафик: данные тарифного плана умножены на коэффициент 0.23. Итого к оплате, грн.   34.50 Что это за коэффициент? Если абонент заплатил 150 грн у него на счету получается  115,5 грн заканчивается текущий месяц у него со счета снимается 150 грн и опять он должен 34.5 заплатить чтоб был разрешен доступ в интернет?

коэффициент расчитывается исходя от даты вклчения клиента, т.е. если клиент включился 1 числа коэфициент равен 1. и постепенно уменьшается изодня в день. соотвественно в данном случае 25 числа коэффициент составил 0.23. На что и была умножена цена. Что справедливо, клиент с 23 числа не сможет скачать столько же как клиент с 1 числа. Первого числа с  него снимет 150 грн и если на счету не будет такой суммы, то его заблокирует.

Начал с mikrotik закончил тарифами. Создам отдельную тему для тарифов. Меня интересует работа с mikrotik не получается настроить. Настроил radius как описано в мануале все ок, проверку прошел. А вот после настройки mikrotik radtest login pass 127.0.0.1 0 hardpass5 проверку не проходит. Я слабо разбираюсь в mysql наверное чтото в базе не так сделал.
Это я понимаю mysql -p подключаемся к mysql. Это выбираем базу с которой будем работать use bill;. Затем идет текст
DROP PROCEDURE IF EXISTS `radcheck`;
DELIMITER $$ 
CREATE PROCEDURE `radcheck` (IN login VARCHAR(64))
BEGIN
  SELECT id,name,'Password' AS Attribute,AES_DECRYPT(passwd,'hardpass3') AS Value,'=='
    FROM users WHERE name=login;
END$$
DELIMITER ;


Его полностью вставить в консоль и ENTER или вводить построчно?

хоть построчно, хоть сразу всем текстом (который введется построчно)

Настроил radtest login pass 127.0.0.1 0 hardpass5 проверка прошла успешно, где то накуралесил до этого. Дошел до radius add address=1.1.1.2 secret=hardpass5 service=ppp
где 1.1.1.2   - ip radius сервера (сервера основной БД) . Я в mikrotik прописал 192.168.2.200. Резве в настройках radius сервера не нужно добавлять еще один адрес 192.168.2.200, по умолчянию у него 127.0.0.1 или я не так понимаю?

Дайте какую-нибуть инструкцию по настройке NoDeny в связке с Микротиком пожалуйста! В доках ничего не понятно. везде примеры реализации на одной системе всего. А у меня NAS - Mikrotik. Хотябы в общих чертах. И куда пихать те файлы: hw_mikrotik.pl и nofire.pl. Да и на гугле [http://groups.google.com/group/nodeny/files (http://groups.google.com/group/nodeny/files)] валяются две папки архива с такими файлами для микротика. Одна Mikrotik другая Mikrotik.queue в чем разнится?

Где вводить ip роутера? логин к нему? и т.д. и т.п. ни в сателлитах ни где-нибуть еще не нашел

то все настраюется в скриптах модуля

как проверить управляется ли NAS биллингом или нет? В смысле все правильно настроено или нет.

Вроде работает :-)

Другой вопрос. У меня на NAS используется подключение людей по PPTP.
Как сделать чтобы:
1. При создании нового клиента создавал соответсвующюю запись в Secret в МТ
Ну в адресс лист он IP вносит, это я увидел. ОТлично.

2. Поднимал правила шейпинга для клиента в соответствии с тарифом.
3. При отключении клиента добавлял правило в WebProxy на перенаправление.

Ну или скажите где в тот скрипте что добавить. я нешарю в перле но если подскажете думаю разберусь :-)

Да и может быть можно какнить перевести все это дело с API на ssh. я по шеллу лучше шарю как МТ управлять  :)

ну надо подправить Noserver

На сколько я понял там такая схема: noserver.pl --> nofire.pl --> hw_mikrotik.pl
В последнем я и вводил логин и IP NAS'a, значит я так думаю он и управляет через API микротиком, там и надо менять все на  ssh. Только я нешарю перл :) и в API тоже не силен. Поэтому я не могу разобраться какая команда за что отвечает... В Этом мне и нужна помощь

Где поддержка? Подскажите хоть малость... шаблон какой-нить.. плииииз

Какие правила ipfw добавить чтоб микротик соединялся с freeradius на nodeny.
${f} add 52 allow tcp from any to me 1812
${f} add 53 allow tcp from me 1812 to any
${f} add 54 allow tcp from any to me 1813
${f} add 55 allow tcp from me 1813 to any
дописал эти не помогло. Авторизация клиентов на микротик не проходит. при отключенном ipfw клиент подключается.

С IPFW разобрался. Теперь другая проблема. Клиенты которым запрещен доступ в NODENY подключаются к микротик и получают доступ в интернет. Как запретить доступ клиентов у которых запрещен доступ подключаться к микротик?

Изменить запрос.

У меня вместо FROM users прописана другая таблица которая является видом(VIEW) таблицы users.
Я правда таким методом блокирую авторизацию групп типа приостановленных или удаленных :)
Можно просто Добавить как один из параметров внутрь WHERE что поле разрешен\не разрешен доступ тоже участвовало.

Спасибо за файлы
в микротике все настроил
Но как настроить сервер если у нас в сети авторизация по Мак адресу

я уже несколько раз слышу про мак авторизацию. В каком виде она сейчас работает? Я о том, что авторизация предусматривает что-то, что проверяет эту авторизацию и куда дает указание запретить или разрешить доступ. Что проверяет авторизацию, как и кому оно говорит о результатах? Можно примеры из других биллингов

hw_mikrotik.pl на машине с nodeny запускается?
my $HW_nas_ip='172.17.17.88'; - это ip микротик?
my $HW_nas_port=8728;
my $HW_nas_user='nodeny';
my $HW_nas_pass='33';

логин и пароль тот что используется в микротик для администрирования?

Управляет этим всем Фаерволл Микротика

Именно. логин и пароль юзверя в МТ. Не забудь включит API.

Доброго дня потрібна настройка Re: Nodeny 49 и Mikrotik 3.20 версія, вже установлений Nodeny  і мікротік потрібно їх настроїти. Мікротік має авторизувати всіх клієнтів. За допомогу розрахуємся ...
Бажано срочно аська 308217599 або в лічку

Узеры не авторезируются на микротике. Ввожу логин и пароль начинается проверка логина и пароля, в микротике в разделе Active connect появляется подключение и сразу рвется. В винде выдает ошибку 629

629... микротик перезагружали?

Перегрузил. тоже самое.

Из-за кризиса пришлось уволить штатного экстрасенса. Если вы не можете посмотреть в логи, то как это можем сделать мы ?

Thu Oct 22 06:39:02 2009 : Info: rlm_radutmp: NAS localhost restarted (Accounting-On packet seen)
Thu Oct 22 06:39:02 2009 : Info: rlm_sql (sql): received Acct On/Off packet
Thu Oct 22 06:39:02 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #2
Thu Oct 22 06:39:02 2009 : Error: rlm_sql (sql): failed after re-connect
Thu Oct 22 06:39:02 2009 : Error: rlm_sql (sql): Couldn't update SQL accounting for Acct On/Off packet - Table 'bill.radacct' doesn't exist
Thu Oct 22 06:39:02 2009 : Error: rlm_sql_mysql: Cannot store result
Thu Oct 22 06:39:02 2009 : Error: rlm_sql_mysql: MySQL error 'Table 'bill.radacct' doesn't exist'

теперь это пишет
Fri Oct 23 08:49:21 2009 : Info: Using deprecated naslist file.  Support for this will go away soon.
Fri Oct 23 08:49:21 2009 : Info: rlm_exec: Wait=yes but no output defined. Did you mean output=none?
Fri Oct 23 08:49:21 2009 : Info: rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked
Fri Oct 23 08:49:21 2009 : Info: rlm_sql (sql): Attempting to connect to root@localhost:/bill
Fri Oct 23 08:49:21 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #0
Fri Oct 23 08:49:21 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #1
Fri Oct 23 08:49:21 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #2
Fri Oct 23 08:49:21 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #3
Fri Oct 23 08:49:21 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #4
Fri Oct 23 08:49:21 2009 : Info: Ready to process requests.

На самом микротике радиус не забыли настроить? И включить использование пппое в связке с радиусом?

На самом микротике радиус не забыли настроить? - Конечно не забыл. Все по mikrotik_radius.html
И включить использование пппое в связке с радиусом? - это как?

(http://pic.ipicture.ru/uploads/091024/23839/thumbs/Go5vXG6sTB.png) (http://ipicture.ru/Gallery/Viewfull/25522595.html)

Да. У меня также. Поделитесь рабочим конфигом

+10

никакой авторизации у нас нету, микротик по арп, по мак пускает в нет или не пускает, мы не парим м мозги клиентам авторизацией - как реализовать фаервольними правилами, что бы МТ по команде с НоуДени запрещал или разрешал доступ клинта в нет

ну так буде відповідь на  питання : http://forum.nodeny.com.ua/index.php?topic=7.msg1611#msg1611
Скільки можна чекати ?
Люди сидять без інтернету

следом за твоим вопросом, шли вопросы от разработчика, как только на них ответите, так сразу вам ответят на ваш. Мы не можем предлагать решение абстрактно.

в направлении "Ноудени+Микротик" есть что то новое?

вложения недоступны ... можно залить еще раз?

у вас сколько пользователей?

как установить модуль mikrotik чтоб он отображался в админке?
http://nodeny.googlegroups.com/web/operacii.JPG?gda=g2XERT4AAABVt6lV-c9oP9LWGPHo2jIudTo1Zde0lgYq5fn5-ii4OXa6syYrVzpAPtSUf3iT4H3jsKXVs-X7bdXZc5buSfmx

У меня работает сервер под управлением FreeBSD + mpd5 = PPPoE )
Вот и я решил настроить вторым Сателитом Микротик.
По поводу как быть с 2 сателитами мне помогли тут
http://forum.nodeny.com.ua/index.php?topic=448.0
Полной пошаговой инсткции нет, да мне и не нужно, но что-то не выходит.
Опишу все свои шаги.
Надеюсь с вашей помощью получится инструкция связки Nodeny+Mikrotik

Тестовый сеталит находится внутри сети (в биллинге всегда онайн)
Прочёл mikrotik_radius настроял как было написано.
Пробую конектится (для проверки настройки радиуса) ошибка 691.
Микротик пишет радиус таймаут (  ??? что не так?)
Как проверить что Тик нормально соединяется с радиусом?
hw_mikrotik.pl и nofire.pl еще не трогал.
Тут /var/log/radacct/ только 127.0.0.1

В radius.log ничего не пишется, как будто ничего не происходит

/usr/local/etc/raddb/clients.conf
client 127.0.0.1 {
secret      = hardpass5
shortname   = NoDenyDB
nastype     = cisco
}

client 192.168.254.123 {
        secret      = hardpass5
        shortname   = NoDenyDB
        nastype     = cisco

как ты с этим разобрался?

У меня так:
на Микротике поднят нат
включен api
на фряхе в usr/local/nodeny/mikrotik/ лежит mikrotik.pl (noserver.pl в нем изменено название на mikrotik) hw_mikrotik.pl nofire.pl(который под микротик) nosat.pm sat.cfg
работает без радиуса ,т.е. hw_mikrotik.pl  подсовывает микротику address list ,queue
статистику фряха принимает через flow-tools а микротик отдает через traf flow
аторизацию через pppoe +radius заменена на авторизатор (где тупое) и на порту (где умное) железо
может чем то поможет)

 В hw_mikrotik.pl есть строки
my $HW_nas_user='nodeny';
my $HW_nas_pass='33';
Это нужно создать юзера на тике с таким логином / паролем ?
А какие дать права?

И что как правельно заполнить конфигурации сателлита?

Я тут чувствую себя полным нубом.. т.к столько людей настояло, а я как ребенок.

создаеш на мктике какой хочеш логин/пароль, а там меняешь

правельно, ето когда ти настроил, и через пару дней оно не слитело
ну и чувствуй дальше, никто не мешает пополнить знания гуглом :)

А там про ноудени тоже написано, и как правильно создавать сателит под микротиком для ноудени?

Отвечаю Радиус Юзает udp. Спасибо VitalVas за наводку.
Правельно так
${f} add 52 allow udp from any to me 1812
${f} add 53 allow udp from me 1812 to any
${f} add 54 allow udp from any to me 1813
${f} add 55 allow udp from me 1813 to any

В Авторизация прошла..
Просьба правила разрешающие Радиус запросы включить в Мануал. Я думаю таких как я будет еще не мало.

Хм. У меня например есть доверенная зона между серверами где я просто не блокирую трафик.

С боем я настроил Связку Ноудени и тика.
Но есть 2 проблемки.
1 -Автоматом после перезагрузки не запускается нетфло на Фре.
Если в ручную
Все ок.


l


2- Микротик перекрутил скорости на оборот.
В тарифе стоит скорость закачки, у него скорость отдачи.
В тарифе отдача у него закачка.  
Тут  что не крутил ничего не вышло..

И нормально что микротику передаются все IP что есть в базе?
Так выходит можно законектится на любой сателит. Нет привязки Подсеть IP к сателиту.

ето нормально, так как микротик шейпит у себя: мктик -- абонент а не как в фре: абонент -- фря
по этому тебе кажется что в шейпере перевернули скоростя, а если смотреть с логической стороны, то там все ок

я тебе уже в асе ето писал:

 (http://imglink.ru/thumbnails/19-03-10/2f8f29530075cea3f6f8c6f894ad4913.png) (http://imglink.ru/show-image.php?id=3504bf93caf3b6bd5bf584f879fd3247)

На скрине видно что исход больше чем вход.
А вход меньше исхода.
Не пойму в чем проблема.
Nodeny по апи подключается на внешнюю ( смотрящую в инет) сетевую карту.
В серевере Nodeny подключение идет тоже на внешнюю сетевую



P.S Перепробовал все варианты... все равно скорость перекручена..
P.P.S Если скорость в тарифе тоже перекручивать.. то так более мение можно юзать.
Но это не выход. Подскажите у кого миктотик режит скорость, как у вас?...

Извлекаем из базы пользователей которые не заблокированы, подключаемся по ssh к mikrotik и /ppp secret add name=username password=userpassword service=pppoe profile=default local=1.1.1.1 remote=2.2.2.2 для каждого пользователя. С наступлением нового месяца удаляем для тех у кого статус запрещен. Если так реализовать добавление правил для микротик?

#!/usr/bin/perl

use strict;
use warnings;
use Net::SSH::Perl;

my $host = '192.168.4.246';
my $user = 'user';
my $pass = '1q2w3e';
my $cmd  = '/ppp secret add name=username password=userpassword service=pptp profile=default local=1.1.1.1 remote=2.2.2.2';

my $ssh = Net::SSH::Perl->new($host, protocol => '2,1', debug => 1);
$ssh->login($user, $pass);
my($stdout, $stderr, $exit) = $ssh->cmd($cmd);
print $stdout, "\n";

абоненту нужно включать-выключать доступ, т.е. оперативно должна быть проверка роутера с биллингом.
правильней все-таки резаться абонент должен на уровне форвардинга на роутере доступа, нежели с ppp
на старгейзере было с ppp у меня, были грабли, особенно когда перешли на pppoe где не используется ip адрес для подключения.
dhcp в каждый vlan не выход

потому биллинг должен сверять адрес-лист со значениями в биллинг.
плюс делать сверку, есть ли этот ip  в адрес листе или нет.

пусть лучше качественно делает сверку, но дольше, чем быстро отрабатывает но с костылями

абоненту нужно включать-выключать доступ, т.е. оперативно должна быть проверка роутера с биллингом. Ну не каждые же 5 минут изменяется информация о пользователях в биллинге. Формируется запрос к базе такого типа "SELECT * FROM users WHERE accept=’1’" Создаются переменные $usrname, $userpassword, $ip и подставляются в запрос.
/ppp secret add name=$usrname password=$userpassword service=pppoe profile=default local=1.1.1.1 remote=$ip. Таким образом избавляемся от необходимости  во время авторизации обращаться к freeradius и mysql. Также если маршрутизаторы обслуживают разные сети и не связаны с сервером биллинга внутренними каналами связи, а только внешними. При падении внешнего канала на биллинг сервере, вся система станет неработоспособной так как маршутизаторы не смогут получить информацию о пользователях необходимую для авторизации. Плюс сделать чтобы при нажатии кнопки сохранить в настройках клиента, запускался этот скрипт и на маршрутизаторы отправляется самая последняя информация о пользователях.

с радиусом имхо лучше.
особенно когда пользователей под тысячу

Привет всем, кто то делал подобное ??? чтобы нодени работало с несколько микротиками

Странно, вроде просили ссылку на реализацию сторонних авторов... ::) Я, например с Абилса пришёл только потому, что тут действительно помогают, а там сначала в прайс носом показывают. :)

Всю ветку прочитал, так и не нашёл до конца ответа ни на один вопрос, хотя, все актуальные. Предлагаю всё-таки найти готовое решение по вопросам:

1. Можно ли разрезать сети и использовать NoDeny с несколькими MikroTik. По DHCP раздавать IP каждому-свои подсети, но клиентская БД одна (Если человека подключили на другой Микротик, то поменяется только IP, а значит, подобно очередям и спискам клиентов данные DHCP тоже нужно синхронизировать с БД).
При этом IP может быть закреплён за Учёткой и по MAC-адресу его нужно выдавать по тому же DHCP (управление списками статических IP и MAC-ов на Микротике), что бы на стороне клиента было минимум настроек.
2. Привязка к MAC-адресу. Нашёл, вобщем то, о чём сам догадывался, просто указывается статическая привязка IP к MAC-у. Но есть возможность реализации на HotSpot. Это уже более серьёзное решение, возможно, с ним и нада экспериментировать.
 (по теме: http://pcrouter.ru/ipb/index.php?showtopic=197&pid=2477&mode=threaded&show=&st=0&#entry2477)
Хотя, на сайте Воронежского диллера написано как отключить авторизаию http://www.mikc.ru/forum/topic.php?forum=1&topic=281

Вобщем, если вопрос за ценой, то, думаю, на такое дело скинемся обязательно. Очень уж широкий функционал у такой связки и возможности большие.

1. dhcp + radius