UTM5 + dhcp как реализовать?

TiRider

Добрый день уважаемые гуру и не только

Решил не искать и задать вопрос по новой.

Собственно интересует, как заставить UTM5 с его стандартным Radius'ом заставить обновлять dhcp-сервер (isc-dhcp ver.3) динамически, скажем добавили у абонента MAC-адрес, и не ручками прописываем его в isc-dhcp а он дергается с утм и пишется с ip и маком в isc.

Подскажите как сделать, или лучше помогите костылями пожалуйста. Устал руками писать...

utm5.2.1-006, FreeBSD 7.0, radius (от netup), isc-dhcp ver.3 (на другой машине).

dwemer · Сообщение **dwemer** » Пн мар 01, 2010 10:48

использовать freeradius в кач-ве dhcp сервера, маки и айпишники брать прямо в базе утм

вариант с isc-dhcp : а) не добавлять маки через стандартный интерфейс админитсратора, а написать свой интерфейс и в нем обновлять конфиг isc-dhcp при изменении адресов
б) через rfw ... к сложалению не нашел события связанного с изменением айпи-групп, в котормо можно было получить данные айпи-группы. Может быть нетап сделает это , тогда можно будет по этому событию править dhcp

TiRider

А костылями не поможете? Просто не хотелось бы лезть и менять стандартный радиус на фрирадиус. Это проблематично?

gil · Сообщение **gil** » Пн мар 01, 2010 11:24

TiRider писал(а):А костылями не поможете? Просто не хотелось бы лезть и менять стандартный радиус на фрирадиус. Это проблематично?

ни капли.. работает даже лучше..

TiRider

Ну то есть просто ставим фрирадиус, ставим утм, убираем из загрузки стандартный радиус и подтыкаем фри. затем, как там с dhcp разрулить? Что-то прописывать нужно, так понимаю, чтобы он слушал и обновлял динамически связку ip+mac на dhcp.

dwemer · Сообщение **dwemer** » Пн мар 01, 2010 12:47

TiRider писал(а):Ну то есть просто ставим фрирадиус, ставим утм, убираем из загрузки стандартный радиус и подтыкаем фри. затем, как там с dhcp разрулить? Что-то прописывать нужно, так понимаю, чтобы он слушал и обновлял динамически связку ip+mac на dhcp.

не совсем . текущий радиус трогать не надо.
фрирадиус умеет работать как dhcp-сервер. то есть isc-dhcpd меняем на фрирадиус. Но там придется немного попрограммировать самим

TiRider

А поподробнее можно про фрирадиус?

Как лучше реализовать и что нужно для этого, если можно то по пунктам.
Спасибо за ответы! Очень нужно...

dwemer · Сообщение **dwemer** » Вт мар 02, 2010 06:09

http://freeradius.org/features/dhcp.html
http://wiki.freeradius.org/Main_Page
http://stas-v.livejournal.com/8636.html

TiRider

А поподробнее?

Костылями поделитесь пожалуйста.

dAverk · Сообщение **dAverk** » Вт мар 02, 2010 13:19

Костыли есть - мона дёргать из базы утма данные и по ним парсить конфиг дня dhcpd =)

prx · Сообщение **prx** » Вт мар 02, 2010 13:58

Я бы на вашем месте лучше раз в 5 минут дергал из билинга связки IP-MAC и генерил бы dhcpd.conf - ну и если файл изменился - перезапускал бы DHCP - самое надежное решение.
А всякие костыли типа freeradius в качестве DHCP - это явно не очень стабильная схема.

Arti · Сообщение **Arti** » Вт мар 02, 2010 16:10

prx писал(а):Я бы на вашем месте лучше раз в 5 минут дергал из билинга связки IP-MAC и генерил бы dhcpd.conf - ну и если файл изменился - перезапускал бы DHCP - самое надежное решение.
А всякие костыли типа freeradius в качестве DHCP - это явно не очень стабильная схема.

Т.е. генерить конфиг и делать привязку по мак - это надёжно. Видимо основной аргумент что не каждый пользователь сможет поменять мак

.

Даже если использовать для isc релей с 82-ой опцией и при этом генерировать конфиг с привязкой к порту коммутатора - вариант будет хорошо работать только на относительно небольшом числе пользователей.

dk · Сообщение dk » Вт мар 02, 2010 17:15

Arti писал(а):
prx писал(а):Я бы на вашем месте лучше раз в 5 минут дергал из билинга связки IP-MAC и генерил бы dhcpd.conf - ну и если файл изменился - перезапускал бы DHCP - самое надежное решение.
А всякие костыли типа freeradius в качестве DHCP - это явно не очень стабильная схема.
Т.е. генерить конфиг и делать привязку по мак - это надёжно. Видимо основной аргумент что не каждый пользователь сможет поменять мак .

Существуют и такие схемы подключения, где ни один пользователь не может работать, поменяв мак.

По теме, если правок в день не особо много, лучше всего генерить из базы конфиг, который потом инклудится в dhcpd.conf, и перезагрузка dhcpd по необходимости в кроне.

Arti · Сообщение **Arti** » Вт мар 02, 2010 17:45

Это какие такие схемы?

Если жесткая привязка к порту MAC, то это нужно конфигурировать и свич и DHCP - что неудобно. И неважно как Вы будете подключать пользователей supervlan-vlan-на-пользователя или vlan на подсеть.

Если скажем зажать через port_security - то тут тоже не гибкое решение. Т.к. скажем если запомнить навсегда - придется "передёргивать" порт при легальной смене MAC, если зажать по небольшому Timeout - смысла особого нет, хотя конешно можно "трапатся", но тогда нужно тогда делать дополнительную обвязку для обработки подобных событий.

TiRider

Прочел все высказывания за и против. Сейчас вообще в ступоре, что делать

Если у кого есть оптимальное решение-подскажите.

Расскажу реализацию в своей сети. В качестве терминатора vpn-сессий стоит 7206NPE-G2. Собственно как сделано. Набросал пару скриптов для фряхи и для циски. Циска передает по протоколу tftp на сервер таблицу ип и мак-адресов вида:

172.1x.xx.xx aaaa.bbbb.cccc

Все знают, что в циске мак разделяется точками а в isc двоеточиями.
Так вот. Циска передает на сервер эти данные, каждые 10 минут проверяется смена мака + ипа. И отправляется в базу данных утм.

Данный способ меня устраивает и работает. Просто в утм я указываю мак адрес по виду циски aaaa.bbbb.cccc, а в dhcp приходится это двоеточиями разделять. Крайне мне это поднадоело, руками дело перезапускать.

Так вот собственно. Поделитесь скриптами, чтобы когда в утм поменяешь мак адрес, он передавался на dhcp сервер и автоматически обновлял конфигу и перезапускал isc. Костылинг конечно сила, но времени нет программировать.

За ответы очень благодарен!