Биллинговая система Nodeny
22 Ноября 2024, 23:46:27 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2 3 ... 5
  Печать  
Автор Тема: Windows Firewall и авторизатор  (Прочитано 30413 раз)
Andrey Zentavr
NoDeny
Старожил
*

Карма: 29
Offline Offline

Сообщений: 301



Просмотр профиля
« : 08 Ноября 2009, 10:58:48 »

Перекатились с 5го на 6е ноября с УТМа на НоуДени. Одна и самых острых проблем, которые возникли - это проблемы на пользовательской стороне с авторизатором:
1) Многие пользователи при первом запуске с дуру нажимали блокировать программу-авторизатор, после чего соответстенно не могли выйти в интернет. Бедному оператору приходилось по 20-30 минут рассказывать что и как сделать, куда залезть чтобы убрать.
2) у хорошей так части населения есть роутеры (ну, к примеру всякого рода Dlink-320 и т.д.). В этом случае авторизатор то работает, то совсем не работает (чащзе всего не работает). Приходиться всем тыкать "всегда онлайн" через админку.

В связи с этим предлагаю авторам:
1) Внести фичу в авторизатор, которая при запуске проверяла бы исключение в WinFirewall и если его нет - вносила бы его.
2) а вот что делать во втором случае - честно говоря хз. Я вот подумываю уже ваять модуль админку для включения "всегда онлайн" самим юзером, как это было доселе в УТМе.
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #1 : 08 Ноября 2009, 11:53:24 »

Перейти на pppoe
Записан
versus
Администратор
Спец
*****

Карма: 21
Offline Offline

Сообщений: 845


44306843
Просмотр профиля WWW Email
« Ответ #2 : 08 Ноября 2009, 11:56:52 »

PPPoE попробуй это раз
Есть вэбадминка это два
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #3 : 08 Ноября 2009, 12:06:19 »

А, вообще, где вы таких неадекватных пользователей берете, которые для получения доступа в интернет нажимают "блокировать"? Они когда здороваются говорят "до свидания"?
Записан
Cell
Модератор
Спец
*****

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #4 : 08 Ноября 2009, 16:16:21 »

Просто в утм авторизатор работает на tcp и файрволы с ним гораздо больше дружат, как впрочем и роутеры. Может имеет смысл задуматься? Лично я вообще отказался т.к. накушался этого по самое нехочу.
Записан
elite
Начальник планеты
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1226

In LAN we trust!

358714596
Просмотр профиля
« Ответ #5 : 08 Ноября 2009, 18:21:33 »

Просто в утм авторизатор работает на tcp и файрволы с ним гораздо больше дружат, как впрочем и роутеры. Может имеет смысл задуматься? Лично я вообще отказался т.к. накушался этого по самое нехочу.
максим, время авторизаторов уже прошло Улыбающийся надо уходить от такой схемы, как от изначально ущербной
нужно делать универсальные методы авторизации - PPPoE или веб-авторизация при изменении mac-адреса на порту коммутатора
Записан
Andrey Zentavr
NoDeny
Старожил
*

Карма: 29
Offline Offline

Сообщений: 301



Просмотр профиля
« Ответ #6 : 08 Ноября 2009, 20:12:05 »

Перейти на pppoe
тыщупиццот абонентов загнать в ПППоЕ - это какие железяки нужны? Тем более что в сетке поднят DC++ и торрент. По тоннелям это всё качать ИМХО не выход.
PPPoE используется для выдачи реального ИП.
Записан
Andrey Zentavr
NoDeny
Старожил
*

Карма: 29
Offline Offline

Сообщений: 301



Просмотр профиля
« Ответ #7 : 08 Ноября 2009, 20:13:22 »

Есть вэбадминка это два
Всех на всегдаонлайн? Это тоже не выход. А пользователю держать открытую страницу браузера не совсем удобно.
Записан
Andrey Zentavr
NoDeny
Старожил
*

Карма: 29
Offline Offline

Сообщений: 301



Просмотр профиля
« Ответ #8 : 08 Ноября 2009, 20:14:56 »

... или веб-авторизация при изменении mac-адреса на порту коммутатора
Можно примерную схему решения?
ПППоЕ используется, но не на всю катушку (причина постом выше)
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #9 : 08 Ноября 2009, 21:21:22 »

Перейти на pppoe
тыщупиццот абонентов загнать в ПППоЕ - это какие железяки нужны?
Сеть Fregat  в моем городе как раз юзает один софтовый  сервак на каждые  тыщупиццот pppoe абонентов
Записан
Cell
Модератор
Спец
*****

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #10 : 08 Ноября 2009, 22:01:52 »

Просто в утм авторизатор работает на tcp и файрволы с ним гораздо больше дружат, как впрочем и роутеры. Может имеет смысл задуматься? Лично я вообще отказался т.к. накушался этого по самое нехочу.
максим, время авторизаторов уже прошло Улыбающийся надо уходить от такой схемы, как от изначально ущербной
нужно делать универсальные методы авторизации - PPPoE или веб-авторизация при изменении mac-адреса на порту коммутатора
Так я что, против? Я использую VPN или PPPoE для раздачи интернета, MAC для выдачи динамического локального IP при помощи DHCP который одновременно выдает юзеру кучу статических маршрутов, которые ему нужны в обязательном порядке и о которых он даже не догадывается. При задолженности юзеро просто изменить каким-нибудь заведомо хитрым способом MAC в биллинге и он попадает в гостевую сеть, где у него ничегошеньки нет. В 99% случаев - этого оказывается достаточно, чтобы юзер оплатил услуги. И только в 1-2% это не помогает и нужно использовать отключение порта... так зачем платить больше? а, Мрья Ивановна? Управляемое оборудование на сегодняшний день не оправдано дорого стоит а при грозах горит точно так-же как мыльницы. Так, что Алексей... я пока воздержусь )) и посмотрю на твой пример )))
Записан
Maks
NoDeny
Ветеран
*

Карма: 13
Offline Offline

Сообщений: 575


Скажи спасибо - подними карму.

https://t.me/smv https://t.me/smv_wz
Просмотр профиля Email
« Ответ #11 : 08 Ноября 2009, 22:47:02 »

Перейти на pppoe
тыщупиццот абонентов загнать в ПППоЕ - это какие железяки нужны?
Сеть Fregat  в моем городе как раз юзает один софтовый  сервак на каждые  тыщупиццот pppoe абонентов

А не могбы пожалуйста подсказать параметры этого сервера?
а то окажется 4 головый  4 ядерный ксеон, только вопрос сколько он стоит и оправдано ли тогда PPPoE

P.S У фрегата локалка платная, так что нагрузка на нее меньше чем если былоб на халяву
Записан

Nodeny общение
https://t.me/nodeny_chat
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #12 : 08 Ноября 2009, 23:55:35 »

А не могбы пожалуйста подсказать параметры этого сервера?
параметры текущих серверов я не знаю, но когда я еще там работал, то ставили мы отнюдь не супер-пупер, а просто чуть выше средних тачки

P.S У фрегата локалка платная, так что нагрузка на нее меньше чем если былоб на халяву
на халяву можно клиентам выдавать ипы по dchp и пусть напрямую трафиком обмениваются. Даже с учетом платности локального трафика, он там (во фрегате) не маленький, кстати
Записан
versus
Администратор
Спец
*****

Карма: 21
Offline Offline

Сообщений: 845


44306843
Просмотр профиля WWW Email
« Ответ #13 : 09 Ноября 2009, 12:39:22 »

Просто в утм авторизатор работает на tcp и файрволы с ним гораздо больше дружат, как впрочем и роутеры. Может имеет смысл задуматься? Лично я вообще отказался т.к. накушался этого по самое нехочу.

Разницы нет для виндового файра удп траф будет слать нодени авторизатор или тцп. Ему важен факт что какая то прога просится на нестандартный порт отправлять соединения! Вот и спрашивает пользователя мол аааааа тут вот  эта, запретить ?
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #14 : 09 Ноября 2009, 16:55:03 »

Я объяснял уже (http://forum.nodeny.com.ua/index.php?topic=63.0):
Цитировать
Внимание! Существует серьезный нюанс, касаемый UDP-соединения. Обычно, как происходит обмен данными по UDP протоколу:

Хост_1 посылает UDP пакет на Хост_2 порт, допустим, 7723. При этом у пакета src-port устанавливается системой (обычно из верхних портов 1024...65535). В дальнейшем хост_2 посылает ответы именно на этот порт.

В NoDeny иначе. Сначало объясню почему иначе. В L2-авторизатор встроен механизм пингования между авторизаторами по команде сервера. Т.е. администратор может дать команду "авторизатор такого-то клиента пропингуй авторизатор такого-то клиента и предоставь статистику по потерям". Такой пинг интересен двумя моментами:

1) позволяет отловить проблемный линк. Допустим, мы находимся в центре сети и пингуем клиента А и клиента Б. Проблемный линк (плохо обжатая/поврежденная витая пара) находится между нами и ближайшим к нам клиентом. Следовательно, мы получим потери как при пинговании клиента А, так и клиента Б. Если же мы дадим команду авторизатору А пропинговать Б, то можем увидеть - есть ли проблемы на всем протяжении коммуникакций от А до Б.

2) пингование идет не по icmp протоколу, а по udp и, как вы могли дагадаться, на порт 7723. Почему так? Потому что icmp протокол часто запрещен фаерволом, а udp порт 7723 клиент вынужден открыть для работы авторизатора.

Пока фича не активирована (в nol2auth.pl) т.к. с появлением управляемого оборудования появились иные методы отлова проблемных линков. Тем не менее, изначальный протокол построен исходя из предположения, что авторизатор будет слушать 7723 порт, т.е принимать входящие соединения.

Еще раз. Когда хост_1 посылает куда-то пакет, он открывает сокет, на который принимает ответные пакеты. В авторизаторе мы изначально биндим 7723 порт, т.е принимаем пакеты, это уже иной сокет!



поэтому для фаервола это выглядит так, как будто сервер устанавливает соединение с клиентом! Любые входящие соединения фаерволы воспринимают стремно. Но такова специфика протокола. Можно его переделать, кстати, но мне этим заниматься пока некогда, да и не вижу смысла
Записан
Страниц: [1] 2 3 ... 5
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!