DHCP + Opt82 + Radius

[sever]

Например расскажи как ведет себя аксель, когда у него в лизинге находится какой-то ип адрес скажем А от порта скажем Б и вдруг с порта Б приходит запрос на получение адреса для совершенно другого устройства. Ситуация вполне жизненная - абонент выключил свой комп и включил ноутбук соседа или утюг подключил к сети или еще что-то.

В аццеле при схеме влан на клиента работает всё хорошо, можно соседями ходить друг к другу со своими  ноутбуками.
У меня в процедурах проверяется номер влана, с которого пришёл запрос, а не мак абонента. Если этот влан на порту Б, без разницы что в него включать, абонент порта Б будет всегда получать адрес, основанный на влане, прописанном на порту и закреплённым за абонентом.
Если же прилетает несколько mac-адресов - настраивается в настройках аццеля, Replace/Reject/ либо shared (заменяем сессию если 2 мака, отбиваем её либо разрешаем выгребать адреса в одном влане).

[Cell]

Это все элементарные вещи и все это понятно. Не понятно как поведет себя аксель, когда у него в не истекшем лизинге будет выдан адрес на один мак а с этого же  порта придет снова запрос на новый адрес. А? обосрется  он как ISC-DHCPD или выдаст этот же адрес новому устройству. Сдается мне что обосрется. Тут только делать лизинг довольно коротким и ждать когда он закончится.

[sever]

Это все элементарные вещи и все это понятно. Не понятно как поведет себя аксель, когда у него в не истекшем лизинге будет выдан адрес на один мак а с этого же  порта придет снова запрос на новый адрес. А? обосрется  он как ISC-DHCPD или выдаст этот же адрес новому устройству. Сдается мне что обосрется. Тут только делать лизинг довольно коротким и ждать когда он закончится.

Если это будет новый мак, в замену старого - то произойдёт реплейс сессии, ip-адрес скорее всего выдаст новый или старый не скажу, по логам разные случаи бывают.
Прикрепил картинку у абонента последовательно в разное время менялось 3 мак-адреса, ip-при этом выдавался тот-же.
Есть сессии что новый мак, с новым ip, это надо эксперементировать чтобы сказать точно.

[Cell]

Да по логам смотреть не интересно т.к. по истечении лизинга выдача одного и того же адреса является обычным поведением любого дхцп сервера согласно протокола. А вот выдача ДРУГОГО адреса во время действия лизинга в принципе тоже укладывается в протокол, но как раз для нас является неприемлемым (в разрезе рассматривания статических пулов адресов).

[sever]

Из статического пула всегда выдаётся один и тот же адрес, который ты указал.
Из динамики если интересно, могу затестить при живой сессии в этом же влане подключиться с другого устройства.

[fet4]

Докладываю.
Если у клиента есть статика или ip еще числится за данных портом, не маком, в случае смены мака клиента выдается тот же ip.
Естественно в конфиге accel

Код:

single-session=replace

[Cell]

во, это другое дело.

[fet4]

Подскажите, а как сделать что бы авторизация пользователя бралась с аккаунтинга радиуса для dhcp ? Как в pppoe сессия отпала, ключ через 1-2 минуты так же исчез.
Сейчас для dhcp клиентов эта процедура занимает около 15 мин.?

[elite]

не запускать модуль ядра дхцп?

[Cell]

Подскажите, а как сделать что бы авторизация пользователя бралась с аккаунтинга радиуса для dhcp ? Как в pppoe сессия отпала, ключ через 1-2 минуты так же исчез.
Сейчас для dhcp клиентов эта процедура занимает около 15 мин.?

Запустить модуль dhcp либо в ядре либо отдельным процессом.

Тут кстати одна интересная фенечка вырисовывается с этими авторизациями.
Если брас удаленный, да еще и тормознутый типа микротика, то авторизация включается не мгновенно, а через какое-то время и юзер, при должной сноровке умудряется наблюдать в лучшем случае заглушку а в худшем тупящий белый экран. Поэтому я при подобных способах авторизации включаю "всегда онлайн" + модуль дхцп для зеленых ключиков

[fet4]

Запустить модуль dhcp либо в ядре либо отдельным процессом.

Он запущен в ядре.

Может быть это связано с тем какой mod=dhcp в radupdate процедуре? Или все таки действительно выключить модуль dhcp, где-то читал что он поддерживает авторизацию, но это актуально вроде для связки без radius и может он не нужен?

...то авторизация включается не мгновенно, а через какое-то время...

Не знаю, в версии без радиуса и с радиусом авторизация начинается верно, без радиуса по "events.pl commit", с радиусом по отработке radreply
А поддерживать авторизацию можно я так думаю по acct-interim-interval=60

 

[Cell]

Модуль ядра нужен. Если у вас не воркает, значит нет аккаутинга. Смотри где его еще навключать можно. В микротике, например, он включается отдельным пунктом меню ip
Или может быть ошибка в процедуре radupdate - не мешало бы в дебаге подаблюдать что пишет.

[fet4]

Аккаунтинг есть.

Код:

(9) sql: EXPAND call radupdate_ipoe('%{User-Name}','%{Framed-IP-Address}','nas=%{NAS-IP-Address}','%{NAS-Identifier}','%{Acct-Session-Id}')
(9) sql:    --> call radupdate_ipoe('ec086bd996e7-00060012cf7e-1','10.194.12.110','nas=172.19.0.12','accel-ppp-ipoe','586929edd8884b8f')
(9) sql: Executing query: call radupdate_ipoe('ec086bd996e7-00060012cf7e-1','10.194.12.110','nas=172.19.0.12','accel-ppp-ipoe','586929edd8884b8f')
(9) sql: SQL query returned: success
(9) sql: 1 record(s) updated

И ключи есть. Просто долго гаснут когда клиента сессия завершается.

[Cell]

По таймауту должно выключаться 150 секунд.

[fet4]

По таймауту должно выключаться 150 секунд.

После последнего аккаунтинга?