Установка нодени на дебиан

[versus]

Собрал до кучи установку нодени на линукс
cat /etc/debian_version
5.0.3

Использованы файлы из  http://local.com.ua/forum/topic/15752-nodeny-linux/

Установка и патч ipcadа  на линуксе протестированы

Фрирадиус протестирован
ДХЦП протестирован

pptp  не протестировал  не смог запустить вторую виртуалку

Замечания и доработка приветсвуется

[B@RT]

предложенный конфиг nofire.pl на указанной странице- это полноценная замена оригинального или только для работы через прокси?

[B@RT]

В инструкции ошика. в файле радиуса sql.conf надо добавить

Код:

sql_user_name = "%{User-Name}"

в противном случае, тестовый пользователь не авторизируется.

и в моем случае, файл servers для pptpd лежит в файле /etc/ppp/radius
(gentoo linux). не забудьте там прописать пароль для подключения к радиусу

возможно я чего-то не понимаю, но вроде настроился по инструкции, но pptpd отказывается выдавать настройки клиенту, если используются плагины радиуса. Если плагины отключить, то клиент нормально получает все настройки

[B@RT]

отвечаю на свой же вопрос... чтобы пользователь подключился, в настройках nodeny надо указывать ip, который должен будет выдаваться пользователю после авторизации через pptpd.

[Cell]

отвечаю на свой же вопрос... чтобы пользователь подключился, в настройках nodeny надо указывать ip, который должен будет выдаваться пользователю после авторизации через pptpd.

Да это же как Божий день понятно как бы )))

[B@RT]

ок, где тогда можно задать ip, который будет выдан пользователю dhcpd сервером? напмерим, у человека локальный ip 10.1.1.20, а после авторизации через впн - 192.168.1.20?

ту да же вопрос - откуда брать локальный ip для генерации hdcpd конфига?

возможно я не правильно понимаю схему работы данного биллинга...

[Maks]

А чем тебе PPPoE не подходит?
Или PPPoE + DHCP ( для локалького трафика)

[B@RT]

изначально было настроено на pptpd. к тому же легче работать если несколько подсетей. поддерживается шифрование. так же в моей реализации разная скорость у локального и внешнего трафика

[Cell]

в дополнительных данных создаешь себе поле ip и mac и вносишь в них данные, потом читаешь доку по nomake и составляешь конфиг для ДХЦП

[B@RT]

всетаки nofire.pl представленный на указанной вверху ссылки не подходит для связки nodeny+pptpd

[B@RT]

судя по всему, в файле ipcad.pl ошибка (в версии, предложеной автором топика)... в логах ядро ругается вот на эту строчку:
$rsh.=" -l $1" if $dserver=~s/.+)$//;

ее надо заменить на вот эту:
$rsh.=" -l $1" if $dserver=~s/:(.+)$//;

[Efendy]

Я полагаю  "" при передаче через асю было сконвертировано в смайлик

[B@RT]

я все таки не совсем понял, как вытянуть в nofire.pl данные из доп.полей

[B@RT]

народ, может кто поможет...? перепробовал кучу вариантов, ничего не получается
нужен правильно составленный nofire.pl...
в теории должен
- блокировать нат на внешний интерфейс (в сторону инета),
- разрешать клиентам (только из разрешенных/указанных подсетей) подключаться к pptpd по порту 1723 и форвардинг этим подсетям.
- при подключении нового пользователя и проверки, разрешен ли ему выход - создавать правило для пропуска клиента во внешку
- создавать правила, где фаервол банит всех, у кого не правильная пара ip+mac (не соответствует значению из доп.полей)

Проблемы, с которыми я столкнулся и не знаю, как решить:
- удаление правила пропуска клиента после отключени от впн
- как проверять, есть ли у пользователя доступ? на сколько я понял, событие Allow срабатывает, даже если доступ запрещен?
- как получить данные из доп полей? о_О

[Cell]

народ, может кто поможет...? перепробовал кучу вариантов, ничего не получается
нужен правильно составленный nofire.pl...
в теории должен
- блокировать нат на внешний интерфейс (в сторону инета),
- разрешать клиентам (только из разрешенных/указанных подсетей) подключаться к pptpd по порту 1723 и форвардинг этим подсетям.
- при подключении нового пользователя и проверки, разрешен ли ему выход - создавать правило для пропуска клиента во внешку

В этом заключается основная ошибка. Зачем блокировать впн если запрещен доступ? пусть коннектится - пропускать в интернет или нет, это дело других правил. То же самое касаетя НАТ. Зачем для каждого пользователя поднимать свой нат? Достаточно поднять НАТ на интерфейсе.