Вопрос закрыт. Ошибка была в sql.conf
Заменил
#       authorize_check_query = "call radcheckmac4('%{SQL-User-Name}')"
на
authorize_check_query = "call radcheck('%{SQL-User-Name}')"

Все завелось.

Приветствую всех, сегодня попросили посмотреть дружественную сеть, там стали переходить на PPPoE и вот какая штука, для вновь созданных клиентов все работает, для старых нет, ниже примеры:

Новый клиент, все ОК

Код:

 radtest 220 220 127.0.0.1 0 HfLbEcGfHjKm
Sending Access-Request of id 86 to 127.0.0.1 port 1812
	User-Name = "220"
	User-Password = "220"
	NAS-IP-Address = 255.255.255.255
	NAS-Port = 0
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=86, length=38
	Framed-IP-Address = 192.168.4.110
	Framed-IP-Netmask = 255.255.255.255
	Framed-Protocol = PPP

Старый клиент:

Код:

radtest 4125 4125 127.0.0.1 0 HfLbEcGfHjKm
Sending Access-Request of id 124 to 127.0.0.1 port 1812
	User-Name = "4125"
	User-Password = "4125"
	NAS-IP-Address = 255.255.255.255
	NAS-Port = 0
Re-sending Access-Request of id 124 to 127.0.0.1 port 1812
	User-Name = "4125"
	User-Password = "4125"
	NAS-IP-Address = 255.255.255.255
	NAS-Port = 0
rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=124, length=20

Не работает
 В радиусе при этом

Код:

rad_recv: Access-Request packet from host 127.0.0.1:47309, id=7, length=56
	User-Name = "4125"
	User-Password = "4125"
	NAS-IP-Address = 255.255.255.255
	NAS-Port = 0
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 2
  modcall[authorize]: module "preprocess" returns ok for request 2
  modcall[authorize]: module "chap" returns noop for request 2
  modcall[authorize]: module "mschap" returns noop for request 2
    rlm_realm: No '@' in User-Name = "4125", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "suffix" returns noop for request 2
  rlm_eap: No EAP-Message, not doing EAP
  modcall[authorize]: module "eap" returns noop for request 2
  modcall[authorize]: module "files" returns notfound for request 2
radius_xlat:  '4125'
rlm_sql (sql): sql_set_user escaped user --> '4125'
radius_xlat:  'call radcheckmac4('4125')'
rlm_sql (sql): Reserving sql socket id: 1
radius_xlat:  ''
radius_xlat:  'call radreply('4125')'
radius_xlat:  ''
rlm_sql (sql): Released sql socket id: 1
rlm_sql (sql): No matching entry in the database for request from user [4125]
  modcall[authorize]: module "sql" returns notfound for request 2
rlm_pap: WARNING! No "known good" password found for the user.  Authentication may fail because of this.
  modcall[authorize]: module "pap" returns noop for request 2
modcall: leaving group authorize (returns ok) for request 2
auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user
auth: Failed to validate the user.
Delaying request 2 for 1 seconds
Finished request 2
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 7 to 127.0.0.1 port 47309
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 2 ID 7 with timestamp 52288b64
Nothing to do.  Sleeping until we see a request.

В базе проверяем пароли:

Код:

mysql> call radcheck('220');
+------+------+-----------+-------+----+
| id   | name | Attribute | Value | == |
+------+------+-----------+-------+----+
| 2601 | 220  | Password  | 220   | == |
+------+------+-----------+-------+----+
1 row in set (0.00 sec)

Query OK, 0 rows affected (0.00 sec)

mysql> call radcheck('4125');
+-----+------+-----------+-------+----+
| id  | name | Attribute | Value | == |
+-----+------+-----------+-------+----+
| 644 | 4125 | Password  | 4125  | == |
+-----+------+-----------+-------+----+
1 row in set (0.00 sec)

Query OK, 0 rows affected (0.00 sec)

mysql> call radreply('4125');
+------+-------+-------------------+---------------+---+
| NULL | login | Framed-IP-Address | usr_ip        | = |
+------+-------+-------------------+---------------+---+
| NULL | 4125  | Framed-IP-Address | 192.168.4.125 | = |
+------+-------+-------------------+---------------+---+
1 row in set (0.00 sec)

+------+-------+-------------------+-----------------+---+
| NULL | login | Framed-IP-Netmask | 255.255.255.255 | = |
+------+-------+-------------------+-----------------+---+
| NULL | 4125  | Framed-IP-Netmask | 255.255.255.255 | = |
+------+-------+-------------------+-----------------+---+
1 row in set (0.00 sec)

+------+-------+-----------------+-----+---+
| NULL | login | Framed-Protocol | PPP | = |
+------+-------+-----------------+-----+---+
| NULL | 4125  | Framed-Protocol | PPP | = |
+------+-------+-----------------+-----+---+
1 row in set (0.00 sec)

Да по серверу:

Код:

uname -a
FreeBSD stronglan_sat 9.1-RELEASE-p3 FreeBSD 9.1-RELEASE-p3 #0: Mon May 20 10:10:17 EEST 2013
radiusd -v
radiusd: FreeRADIUS Version 1.1.8, for host amd64-portbld-freebsd9.1, built on Feb 17 2013 at 17:07:15
Nodeny 50.32

Вроди с паролями все нормально, но не авторизирует, при этом со всеми новыми юзерами все ОК, куда смотреть уже не знаю. 
Буду благодарен за пинок в нужном направлении.

А есть ли готовый эксплоит или как проверить конкретные системы на уязвимость?

А можешь плизз описать чем являются подсети и ip:

192.168.0.0/16 - Вся серая подсеть 192.168 - на нее не натим
10.0.0.0/8 - тоже с 10.
192.168.88.99 - Айпишка самого маршрутизатора, смотрящая в сторону ISP1
192.168.89.99  - Айпишка самого маршрутизатора, смотрящая в сторону ISP2
10.0.0.105 - Сервак помойка, просто ему разрешаем попадать в приватный вилан 12
10.0.12.0/24 - Приватный вилан для сотрудников
10.0.12.1 - Айпишка самого маршрутизатора для вилана 12
10.0.0.100 - Сервачек, который всегда должен ходить через 1 интерфейс
10.0.0.1 - Айпишка самого маршрутизатора на вилане 1
10.0.0.14 - аналогично со 105
То-есть в принципе эти значения исключительно для сетки, откуда я их выдрал. Основное

Для меня будет достаточна следующая конфигурация?

Код:

set limit states 128000
set optimization aggressive

ext_if1="ip_PS1"
ext_if2="ip_PS2"
ext_gw1="GW_PS1"
ext_gw2="GW_PS2"

nat pass on $ext_if1 from 10.0.24.0/24 to any -> $ext_if1
nat pass on $ext_if2 from 10.0.25.0/24 to any -> $ext_if2

nat from 10.0.24.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.25.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

Можно без:

Код:

nat from 10.0.24.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.25.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

Эти строки для динамической балансировки нагрузки

IPFW именно так и настроен у меня, и еще у меня сейчас в rc.conf закоменчен defaultrouter, так как оба прова соединяются по dhcp, но по какой-то причине постоянно в netstat светится GW второго прова, может нужно defaultrouter прописать какой-то локальный ip?

Нет ничего прописывать не надо, если не выйдет - дайте ssh или тимвивер - посмотрим что не так.

Вот реальный пример конфига, работающего через 2 провайдера

Код:

# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
ext_if1="vlan100" #Kanal1
ext_if2="vlan200" #Kanal2

ext_gw1="192.168.88.1"
ext_gw2="192.168.89.1"

table <no_nat> const { 192.168.0.0/16 10.0.0.0/16 }
scrub in all 
nat pass on $ext_if1 inet from 10.0.0.0/24 to 192.168.88.0/24 -> 192.168.88.99
nat pass on $ext_if2 inet from 10.0.0.0/24 to 192.168.89.0/24 -> 192.168.89.99
nat pass inet from 10.0.0.105 to 10.0.12.0/24 -> 10.0.12.1
nat pass inet from 10.0.0.0/16 to 10.0.0.100 port {137,138,139,445} -> 10.0.0.1
nat from 10.0.0.100 to !<no_nat> -> $ext_if2
nat pass from 10.0.0.105 to !<no_nat> -> $ext_if1
nat pass from 10.0.0.14 to !<no_nat> -> $ext_if1

nat from 10.0.0.0/20 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.100.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address
nat from 10.0.99.0/24 to !<no_nat> -> { ($ext_if1) ($ext_if2) } round-robin sticky-address

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

Не забываем также поменять параметры IPFW, что надо менять:

Код:

${f} add 200 skipto 500 ip from any to any { via ${ifOut} or via ${ifOut2} }
${f} add 400 skipto 450 ip from any to any { recv ${ifOut} or recv ${ifOut2} }
${f} add 2050 deny ip from any to any { via ${ifOut} or via ${ifOut2} }

Ни какие дефаултоуты править не нужно.

Возможно глупый вопрос, но спрошу.
При проверки дефолтного шлюза, чтобы это все работало, netstat должен выдавать 2 шлюза или один?

Дефолтным - один. Тут маршруты через второй интерфейс роутятся на уровне pf а не шлюзов.

Пробуйте без pass должно все работать. В своем случае создайте таблицу nonat и закиньте туда адреса на которые натить не нужно или замените !<no_nat> на any

[pass]

Все просто, в конце правил добавьте

Код:

pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to !<no_nat>
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to !<no_nat>

и все заработает, если нет - уберите pass из своих правил.

а почему ориентируетесь на nodeny 49, а не nodeny plus?

Предположу, что отдать 500$ за биллинг, сеть менее чем на 300 абонентов просто не готова.

Ну можно просто на локал не заходить, у них там своя особая песочница. Представителей энтерпрайза там нет, в основном мелкие домосетки и к ним причастные знания того же уровня. Я с соседом протянул интернет от провайдера, раздал по подъезду - я мегаодмин с экспертным мнением в области железа. Если накопил на циску(единственную в сети, б/у с ebay), то ждет от нее волшебной кнопки "Сделать пиздато" а когда такой кнопки не нашлось, то техподдержка говно, то что у Циско самая грамотная документация - не, не слышал. Если не хочу измазаться в говне просто не лезу в канализацию.

Писать через форму обратной связи и объяснять ситуацию. А вообще боритесь с причиной а не следствием, ловите спамера в своей сети и даете по шапке, ну или отключаете, пусть конкурентам жизнь портит. Мы каждый месяц 2-3 человека по своей инициативе отключаем, намного дешевле чем потом абузы разгребать.

[Cell]

2 Cell Да я всегда не против помочь, многим помогаю бесплатно, но это помощь типа указать где найти конкретную информацию, подсказать ключ в конфиге или какую программу лучше использовать. Помощь должна быть как минимум не напряжна помогающему (кинуть кусок своего конфига, ключеные слова подсказать, да в конце концов дамп глянуть или фаирвол). А потратить 3 часа своей жизни на тупую монотонную работу из за чьей-то жадности и лени, нет уж я лучше на Одеске или Елансе заказ возьму. ser970 мне помогал неоднократно, так что даже если закидает не обижусь да и с ним согласен, что помогать нужно, но только тем кто это оценит.
А тут ведь какой случай, топикстартер сам нихрена читать не хочет, готовые образы не хочет, вот возьми ему вынь да полож и побыстрее, а то видишь пидорасы какие сидят тут такие работать на шару не хотят, а он как особо важный субъект, работу оценит и решит нравится ему или нет. На такие требования у любого адекватного человека только одно желание - отправить "VIP" персону в сексуально-пешеходное путешествие по самому короткому маршруту.

Каков вопрос, таков ответ, если Вы про эту тему, так она на месте, никто не тер. Другой вопрос, что желающих бесплатно поработать (и отгрести лишний геморрой) вряд-ли найдете. Звучит как: "Чуваки, а перекопайте ка мне огород, а я посмотрю что вырастет и пойму надо ли оно мне или нет". После одного случая здесь же на форуме, я зарекся помогать новичкам бесплатно, думаю в этом не одинок. Тут могут помочь советом, по конкретной проблеме (которая не обсуждалась ранее), но делать все за Вас, а нахер оно кому-то надо? Час работы админа от 20$ по самому минимуму, поднять весь биллинг и настроить под ключ(с ответом неделю на все тупые вопросы) - это 250$ тоже по минимуму, работников за пиво, спасибо и еду ищите среди знакомых.

Вспоминаю свои вопросы на форумах - не могу вспомнить... хоть 10 лет назад, хоть 15... не потому что не помню, а потому что не задавал. Мне перед собой было неудобно спрашивать что-то, если я взялся что-то делать, то РАЗБИРАЮСЬ сам, читаю доки, беру словарь - перевожу. а не фоткаю монитор с примитивной назписью "filesystem full" - бред, товарищи!

Ок, давайте абстрагироваться от IT, то-есть вместо похода например к стоматологу, вы берете дрель, зеркало и медицинский справочник? Вместо того, чтоб отвезти машину на СТО убиваете собственный выходной на полежать под ней ну и так далее, аналогия думаю понятна. Если так я Вам завидую, у меня вот 24 часа в сутках и на многое с чем даже хочется разобраться тупо нехватает времени. Для человека далекого от IT надпись "filesystem full" не говорит ровно ничего, для того и форумы, чтоб помогать.

P.S. ПОдобный метод реакции на глупые вопросы указывает вопрошающему, что вопрос глуп, и что ему стоило бы самому попробовать, что воспитывает в человеке стремление к совершенству. Слабый - падает, а сильный становится сильнее. Вот потому у нас люди умнее, смекалистее, чем в США, потому что у них задал идиотский вопрос - получил ответ и для чего думать? для чего что-то знать? своей головой не пользуются... нет, в этом тоже есть "+" есть работа и заработок для тех, кто хочет знать и пользуется своей головой

О да стремление к совершенству - это именно то, что нужно хозяину сетки при лежащем биллинге. Смекалистее у нас - я бы поспорил, это стереотип не более, пройдитесь по тематическим сайтам у них - будете очень удивлены.

Ребят, 10 лет назад - это 2003 а не 95, был уже вполне нормальный интернет по диалапу, кому повезло имел выделенку по витухе форумов вполне много уже тогда было профильных, всякие руборды. Помню активно разрабатывал на Delphi 6, сейчас натыкаюсь иногда на свои посты в форумах того времени - реально смешно читать.