запретить авторизацию по RADIUS на определенном ТП

[andretty]

Здравствуйте!

Подскажите пожалуйста, как решить такую задачу: у меня есть ТП, на котором для пользователя по договору не предусматривается подключение по VPN/PPPoE, можно как нибудь сделать, чтобы если пользователь использует этот ТП при попытке авторизоваться на VPN/PPPoE серверах получал отказ от сервера RADIUS?

И еще хотелось бы сделать то же самое для пользователей, у которых выключатель интернета стоит в положении "Выкл"

Заранее спасибо

[Pulse]

фаерволом... или прерыванием сессии по событию от аффектора

[ds]

Здравствуйте!

Подскажите пожалуйста, как решить такую задачу: у меня есть ТП, на котором для пользователя по договору не предусматривается подключение по VPN/PPPoE, можно как нибудь сделать, чтобы если пользователь использует этот ТП при попытке авторизоваться на VPN/PPPoE серверах получал отказ от сервера RADIUS?

И еще хотелось бы сделать то же самое для пользователей, у которых выключатель интернета стоит в положении "Выкл"

Заранее спасибо

freeradius

[andretty]

фаерволом... или прерыванием сессии по событию от аффектора

Не то. Мне нужно не ограничить доступ в интернет а именно чтобы RADIUS сервер отказал VPN/PPPoE серверу(иными словами, отправил Access-reject) в поднятии сессии, если условия, изложенные в задаче - истина.

freeradius

Да, я уже думал об этом, на freeradius я бы смог такое реализовать ...Но у меня проблема по "прикручиванию" freeradius к utm5_core, а точнее, полное отсутствие знаний на эту тему... Если подскажете толковые статьи по этому вопросу - буду очень признателен.

P.S. Вариант с freeradius будет у меня как запасной, сабж же остается открытым. Если кто поделится таинством необходимого для достижения цели или хотя бы наводящего в нужную сторону шаманства (желательно с описанием ритуалов ) буду безмерно признателен.

[ds]

P.S. Вариант с freeradius будет у меня как запасной, сабж же остается открытым. Если кто поделится таинством необходимого для достижения цели или хотя бы наводящего в нужную сторону шаманства (желательно с описанием ритуалов ) буду безмерно признателен.

Например здесь
viewtopic.php?t=7948&highlight=freeradius
или здесь
viewtopic.php?t=7335&highlight=freeradius
Ну и поиск по форуму тоже рулит
Сложного ничего нет, главное - грамотно составить sql-запрос, с учетом всех параметров.

[lan-viper]

Интересная задачка, у меня вскоре подобное предвидится: на паре домов будем внедрять IPoE, по этому vpn там не нужен станет и вот думаю, как убрать возможность авторизации на vpn.
1. Можно на фаерволе закрыть подсети с этих домов (для pptp и l2tp) + убрать домовые vlan-ы с pppoe-сервера.
2. В услуге передачи ip-трафика оставлять ip-группу с галкой "не VPN" и пустыми полями логина и пароля - вот тут вроде бы и должна система естественным образом делать отворот поворот пользователю.
Я буду реализовывать 2-ой вариант.

PS
не уверен, попал-ли в контекст темы )))

[ds]

Интересная задачка, у меня вскоре подобное предвидится: на паре домов будем внедрять IPoE, по этому vpn там не нужен станет и вот думаю, как убрать возможность авторизации на vpn.
1. Можно на фаерволе закрыть подсети с этих домов (для pptp и l2tp) + убрать домовые vlan-ы с pppoe-сервера.
2. В услуге передачи ip-трафика оставлять ip-группу с галкой "не VPN" и пустыми полями логина и пароля - вот тут вроде бы и должна система естественным образом делать отворот поворот пользователю.
Я буду реализовывать 2-ой вариант.

PS
не уверен, попал-ли в контекст темы )))

Тут конечно галочки не VPN будет достаточно, от тарифного плана ведь никак не зависит.

[andretty]

Например здесь
viewtopic.php?t=7948&highlight=freeradius
или здесь
viewtopic.php?t=7335&highlight=freeradius
Ну и поиск по форуму тоже рулит
Сложного ничего нет, главное - грамотно составить sql-запрос, с учетом всех параметров.

Спасибо за информацию, буду изучать В поиск я было сунулся, но меня насторожило, что всем темам где обсуждается freeradius по 1-2 года, поэтому были сомнения в актуальности предложенных способов для новых сборок utm5 (ну и самого freeradius )

Интересная задачка, у меня вскоре подобное предвидится: на паре домов будем внедрять IPoE, по этому vpn там не нужен станет и вот думаю, как убрать возможность авторизации на vpn.
1. Можно на фаерволе закрыть подсети с этих домов (для pptp и l2tp) + убрать домовые vlan-ы с pppoe-сервера.
2. В услуге передачи ip-трафика оставлять ip-группу с галкой "не VPN" и пустыми полями логина и пароля - вот тут вроде бы и должна система естественным образом делать отворот поворот пользователю.
Я буду реализовывать 2-ой вариант.

PS
не уверен, попал-ли в контекст темы )))

Да, вы попали в контекст просто у меня есть еще одна заковырка, которую я не указал в первом топике: хочу сохранить для клиента возможность самостоятельной смены ТП на такой, где VPN/PPPoE подключение возможно.
Хотя... ваша идея натолкнула меня на мысль, как можно добиться access-reject от радиуса, если пользователь выключил себе интернет: изваять скрипт с sql/urfa запросом, который будет снимать/ставить эту галку и запускать его через rfw client при событии вкл/выкл интернета. Выглядит конечно костылеобразно, но... как думаете, прокатит такой вариант?

[lan-viper]

Галка Включить/Выключить интернет не влияет на raduis сервер utm-а, пользователь всегда может авторизоваться на сервере, независимо от этой настройки. Эта галка служит скорее для генерации событий и установки состояния лицевого счёта абонента.

[andretty]

Мда... Куда ни ткнусь в попытках остаться на родном UTM'овском радиусе, кругом такой жуткий костылинг получается , так что думаю, лучше на это забить и переходить на freeradius.
С упоением занимаюсь прикручиванием, но в процессе возник один вопрос: как при помощи freeradius оборвать сессию у клиента при возникновении какого-либо события? (например, баланс стал отрицательным) Вот как ето сделать я не знаю Подскажите пожалуйста