forum.bitel.ru • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » BGBilling » Модули Интернета » Модуль DialUp (VPN)

Часовой пояс: UTC + 5 часов [ Летнее время ]

RAD_FRAMED_IP_ADDRESS

Страница 1 из 1

[ Сообщений: 19 ]

Версия для печати

Пред. тема | След. тема

Автор

Сообщение

ghost_ufa

Заголовок сообщения: RAD_FRAMED_IP_ADDRESS

Добавлено: 27 фев 2008, 13:26

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

Откуда радиус берет сабжевый атрибут в том случае, если он не задан явно? Дело в том что у нас периодически выдаются уже занятые адреса, причем именно поступают от радиуса. Ну а МПД адрес полученый от радиуса не проверяет на валидность

это - вручную заданный адрес, выданый клиенту

Код:

Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusAddServer Adding 10.2.11.133
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusPutAuth: RADIUS_CHAP (MSOFTv2) peer name: meta7
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusSendRequest: RAD_ACCESS_ACCEPT for user meta7
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_FRAMED_IP_ADDRESS: 192.168.81.27
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_FRAMED_PROTOCOL: 2
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_ACCT_INTERIM_INTERVAL: 60
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_FRAMED_PROTOCOL: 1
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_RECV_KEY
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 17
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_ENCRYPTION_TYPES: 4 (128 bit)
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 8
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_SEND_KEY
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 16
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_ENCRYPTION_POLICY: 1 (Allowed)
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 7
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_CHAP2_SUCCESS: S=51B12F233CC9932D5B8615CB
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 26
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusSetAuth: Trying to use IP-address from radius-server
Feb 23 02:11:35 stroyrynok mpd: [pptp007] RADIUS: RadiusSetAuth: using this IP: 192.168.81.27
Feb 23 02:11:35 stroyrynok mpd:  Response is valid
Feb 23 02:11:35 stroyrynok mpd: [pptp007] CHAP: sending SUCCESS

а это - выдача чужого, уже активного адреса

Код:

Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusAddServer Adding 10.2.11.133
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusPutAuth: RADIUS_CHAP (MSOFTv2) peer name: batuhtina
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusSendRequest: RAD_ACCESS_ACCEPT for user batuhtina
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_FRAMED_IP_ADDRESS: 192.168.81.27
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_FRAMED_PROTOCOL: 2
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_ACCT_INTERIM_INTERVAL: 60
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_FRAMED_PROTOCOL: 1
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_RECV_KEY
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 17
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_ENCRYPTION_TYPES: 4 (128 bit)
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 8
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_SEND_KEY
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 16
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_MPPE_ENCRYPTION_POLICY: 1 (Allowed)
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 7
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: RAD_MICROSOFT_MS_CHAP2_SUCCESS: S=192AC221A1CB1E1EB8ED7CE8
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusGetParams: Dropping MPD vendor specific attribute: 26
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusSetAuth: Trying to use IP-address from radius-server
Feb 23 12:08:50 stroyrynok mpd: [pptp010] RADIUS: RadiusSetAuth: using this IP: 192.168.81.27
Feb 23 12:08:50 stroyrynok mpd:  Response is valid
Feb 23 12:08:50 stroyrynok mpd: [pptp010] CHAP: sending SUCCESS

ессно после этого ОБА клиента теряют связь

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 27 фев 2008, 15:44

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Скорее всего из пула адресов.
См. http://bgbilling.ru/v4.4/doc/ch07s06.html

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 27 фев 2008, 17:58

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

логично

- в предыдущих шагах адрес выделен не был. Однако вопрос в том, по какому алгоритму выбираются адреса из пула, и почему выдаются уже занятые адреса? Неужели - методом тыка (ака генератор случайных чисел)?

Может, лучше было предусмотреть возможность в данном случае не выдавать адрес, а оставить для выбора самим MPD?
[/code]

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 27 фев 2008, 18:12

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Выбирается случайно из свободных. Вы приведите наш radius.log как были выданы одинаковые адреса. Не должно быть такого, если только они жестко не прописаны.

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 27 фев 2008, 18:53

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

Я догадываюсь что такого быть не должно

)
А свободных - с какой точки зрения? Радиус хранит список уже выданых адресов (где?) - или проверяет физическое наличие адреса?

Лог радиуса на момент выдачи занятого ИПшника

Код:

INFO   27.02.2008 16:34:21   AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
        NAS-Identifier=stroyrynok.com
        NAS-IP-Address=10.2.11.2
        Service-Type=2
        User-Name=inko-2
        Calling-Station-Id=192.168.82.214 / 00:13:d4:87:5f:77 / fxp1
        NAS-Port-Type=5
        Framed-Protocol=1
        NAS-Port=24
        MS-CHAP2-Response=^A^@^Lrъ.^Lы.р.^HJ^Yі8Hц^@^@^@^@^@^@^@^@.М^BЕ)^H1\ХX^RК^X^Q7за.+Сфv╬

        MS-CHAP-Challenge=╩^^h#^Sg^Oюї.RЕЛі╛R

INFO   27.02.2008 16:34:21   RESPONSE:
Type=AUTHENTICATION_ACCEPT
Process time:22
Attributes:
        Framed-IP-Address=192.168.81.254
        Service-Type=2
        Acct-Interim-Interval=60
        Framed-Protocol=1
        MS-MPPE-Recv-Key=.^@м╟ч.8у^?хiз.ЇЗЖьрsBЁFж^O.═ФЮҐ^\Д~╔,
        MS-MPPE-Encryption-Types=4
        MS-MPPE-Send-Key=.^@мgw^K.d^[ш╦pKщ3^L!.bэ.д^Y^H^UTvд╚U^SVЮi
        MS-MPPE-Encryption-Policy=1
        MS-CHAP2-Success=?S=13EFC2723012C117227C08B916938D7AA115A252

INFO   27.02.2008 16:34:21   ACCOUNT:
Type=ACCOUNTING_REQUEST
Attributes:
        NAS-IP-Address=10.2.11.2
        Acct-Link-Count=1
        Framed-IP-Address=192.168.81.254
        Acct-Status-Type=1
        Calling-Station-Id=192.168.82.214 / 00:13:d4:87:5f:77 / fxp1
        Acct-Multi-Session-Id=4112061-pptp024
        Framed-Protocol=1
        Acct-Session-Id=4112061-pptp024
        Acct-Authentic=1
        NAS-Identifier=stroyrynok.com
        Service-Type=2
        NAS-Port-Type=5
        User-Name=inko-2
        NAS-Port=24

INFO   27.02.2008 16:34:21   RESPONSE:
Type=ACCOUNTING_RESPONSE
Attributes:

[/code]

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 27 фев 2008, 18:56

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

а вот выдержка из реестра логинов, совместно с логами скрипта проверки корректности выдаваемых адресов

Код:

Wed Feb 27 16:30:14 YEKT 2008 procom close connection on ng21
Wed Feb 27 16:30:32 YEKT 2008 procom connected to ng17 with 192.168.81.254
Iface ng17 OK
Wed Feb 27 16:33:04 YEKT 2008 kireev connected to ng21 with 192.168.81.102
Iface ng21 OK
Wed Feb 27 16:34:21 YEKT 2008 inko-2 connected to ng24 with 192.168.81.254
conflict iface=ng17
ng24: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1400
        inet6 fe80::250:8bff:fe62:9679%ng24 prefixlen 64 scopeid 0x1c
ng17: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1460
        inet6 fe80::250:8bff:fe62:9679%ng17 prefixlen 64 scopeid 0x15
        inet 192.168.81.3 --> 192.168.81.254 netmask 0xffffffff
--------
Wed Feb 27 16:35:35 YEKT 2008 vivat close connection on ng22
Wed Feb 27 16:35:42 YEKT 2008 omega close connection on ng11
Wed Feb 27 16:36:37 YEKT 2008 inko-2 close connection on ng24
Wed Feb 27 16:36:42 YEKT 2008 inko-2 connected to ng11 with 192.168.81.183
Iface ng11 OK

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 27 фев 2008, 20:11

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Просто просматриваются текущие соединения и их адреса. Эти адреса исключаются их пула. А можете сделать список соединений на RADIUS?

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 28 фев 2008, 10:07

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

хм... а что считается соединением? Например если не пришло пакета старта сессии, но пришел пакет аккаунтинга - это будет считаться соединением?

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 28 фев 2008, 11:37

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

список соединений - с точки зрения Радиуса? А как это сделать? :oops:

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 28 фев 2008, 12:40

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Вызовите:

Код:

./radius.sh(.bat) ps

RADIUS знает только соединения, которые он авторизовал и учитывает.

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 28 фев 2008, 13:39

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

хмхмхм... ТОЛЬКО те которые авторизовал - или те которые учитывает? То есть - могут ли/будут ли учитываться сессии, авторизованные в обход радиуса (например через mpd.secret), но на которые регулярно шлется аккаунтинг?

случится такое повторно - постараюсь поймать, но (как Вы наверное понимаете) такое случается редко, а чтоб еще и ЗАСТАТЬ в процессе - так вообще должно сильно повезти. А радиус на другом компе, скриптом не получится...

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 28 фев 2008, 13:52

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Собственно он учитывает только те, которые автоизует сам. Если была сессия авторизована в обход него, адрес вполне может выдать. Он не настолько умный у нас, аккунтинг не смотрит. Если у вас несколько авторизаторов - лучше сделайте разные пулы для них.

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 28 фев 2008, 16:18

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

Угу, похоже что оно самое... Вынес в другой диапазон адресов - будем посмотреть.

Ооднако ж - очень, очень жаль

Хотелось бы в новой версии увидеть возможность акккаунтинга сессий, авторизованых не им - и учет этих адресов как занятых. Ибо ситуация проста до безобразия - аппаратные роутеры, не умеющие MSCHAPV2 тоже надо как-то авторизовывать, а после того - еще и обсчитывать. Ну или по каким-либо другим причинам не юзер не авторизуется на радиусе...

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 28 фев 2008, 18:21

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Радиус поддерживает и CHAP и PAP алгоритмы авторизации.

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 28 фев 2008, 18:27

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

тем не менее кривые протоколы некоторых дешевых железок приводят к тому, что они НУ НИКАК не авторизуются этим радиусом

И таки - реально в будущей версии реализовать данное пожелание?

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 29 фев 2008, 12:37

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Пока вы первый, кто выступил с таким пожеланием. Если функционал будет востребован другими - сделаем. Мы планируем сделать голосование по требуемым функциям, чтобы определять направление развития.

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 29 фев 2008, 13:22

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

а голосование будет объемом купленых лицензий?

Вернуться к началу

Администратор

Заголовок сообщения:

Добавлено: 29 фев 2008, 13:54

Разработчик

Зарегистрирован: 27 ноя 2006, 20:36
Сообщения: 5715
Карма: 93

Так сложно мы пока не думали

пока думаем просто по пользователям форума, один пользователь - один голос. Хотя мысль интересная, конечно.

Вернуться к началу

ghost_ufa

Заголовок сообщения:

Добавлено: 29 фев 2008, 16:14

Зарегистрирован: 27 фев 2008, 12:35
Сообщения: 18
Карма: 0

Эт не логично - получится что голоса двух халявщиков перевесят голос провайдера с лицензией на 5000 подключений. Хотя последнему таки заказываемая фича может быть как воздух нужна...

Вернуться к началу

Страница 1 из 1

[ Сообщений: 19 ]

Список форумов » BGBilling » Модули Интернета » Модуль DialUp (VPN)

Часовой пояс: UTC + 5 часов [ Летнее время ]

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:

BiTel

RAD_FRAMED_IP_ADDRESS

Кто сейчас на конференции