Ericsson SE100 + Radius UTM

torrus · Сообщение **torrus** » Пн янв 12, 2015 08:31

По умолчанию у SE100 пароль Redback.Если поле "Пароль пустое",может и отшибать радиус.

Nik0n · Сообщение **Nik0n** » Пн янв 12, 2015 09:43

Alex_P писал(а): Или там какая-то западня, и IP в качестве логина нельзя указывать?

Можно, можно у самих так и сделано.
Пароль только у всех будет одинаковый (либо дефолтный, либо свой).

torrus · Сообщение **torrus** » Пн янв 12, 2015 14:05

Nik0n писал(а):...
PS Мы недавно запустили SE100 для IPOE/non-dhcp-clips в тестовую эксплуатацию, могу ответить на конкретные вопросы по интеграции с UTM5. Мое решение конечно не идеально, но работает

Может,тогда,сможете подсказать вот о чем:
у нас тоже IPoE,но с DHCP-clips.Понятно,что механизмы авторизации и работы немного отличаются,но я не об этом.
Есть "серые" сети и абоненты за NAT`ом.Сейчас это все крутится на разном зоопарке из писюков и микротиков.Соотв,пачки вланов и прочие прелести везде.

Одним SE100 я хочу все это заменить.Но! Возник вопрос об этой самой пачке интерфейсов.

Код: Выделить всё

...
context local
!
 ip domain-lookup
!
 interface dhcp-2 multibind
  ip address 10.254.253.1/24
  dhcp server interface
  ip arp secured-arp
  ip access-group firewall in
!
 interface dhcp-if multibind
  ip address 10.19.1.1/24
  dhcp server interface
  ip arp secured-arp
  ip access-group firewall in
....

Сети для тестов на рэдбаке.Так вот,не могу заставить сразу нескольких абонов из разных подсеток.Радиус выплёвывает сразу атрибут с двумя названиями интерфейсов.А,как научить радиус отдавать атрибут с названием интерфейса соотв. сети - я так и не вкурил.
Может кто ещё подскажет?
Скорости научил менять "на лету",турбо-кнопка тоже работает (dynashape),смену скорости при смене тарифа автоматом тоже работает...а вот тут ну никак не могу до думаться.

Nik0n · Сообщение **Nik0n** » Пн янв 12, 2015 14:24

torrus писал(а):Радиус выплёвывает сразу атрибут с двумя названиями интерфейсов.А,как научить радиус отдавать атрибут с названием интерфейса соотв. сети - я так и не вкурил.
Может кто ещё подскажет?

а) Вы где-то в двух местах прописали атрибуты: допустим в свойствах NAS и в услуге или явно в связки у пользователя.
б) Этот радиус не умеет [еще?] атрибуты по каким-то условиям вставлять.
Я вижу только два выхода:
1) Явно прописывать ТОЛЬКО в связке у пользователя нужные атрибуты.
2) Прописывать только у услуги (но придется делать услуги на каждую сеть во всех тарифных планах)

torrus · Сообщение **torrus** » Пн янв 12, 2015 14:33

Дык,именно пришлось в свойствах NAS`а эти атрибуты указывать.Мда...видимо,опять я упёрся в радиус.

А,у Вас как схема реализована тестовая(non-dhcp-clips тоже интересно) ?

Nik0n · Сообщение **Nik0n** » Пн янв 12, 2015 14:59

У нас IPOE/non-dhcp, имя интерфейса передавать [пока] нет необходимости.
Но с целю ограничения заблокированных пользователей я через urfa (скрипт на perl) в связке (которая SLINK_ID) выставляю атрибут 2352:91 в значение имени профиля в контексте. В профиле указаны ацл, редиректы и т.п.
При разблокировке пользователя - удаляю этот атрибут (остальные понятно дело не трогаю).
Что бы изменения применялись на SE100 посылаю PoD если сессия активна (PoD для быстроты разработки, дойдут руки переделаю на CoA - это сложней и дольше реализовывать)
Скрипт вызывается по событию RFW - Изменение состояния блокировки.
Когда будет необходимость передавать имя интерфейса или еще что-то, буду дописывать в скрипт установку других атрибутов.

torrus · Сообщение **torrus** » Пн янв 12, 2015 15:09

Nik0n,мысль понял.Спасибо

Кстати,а SeOS - 12.1.1.8,как я понял? Стабильно работает? Багофичей нет скрытых? Я пробовал non-dhcp-clips,когда 12.1.1.2 или какой-то из них вышел - заработало сразу всё.Но,вот что в параметрах от радиуса к NAS`у передавал - не помню.Попробую поиграться с non-dhcp.
Хотя,хотелось бы чтобы сразу у абонента всё работало,без прописывания IP всяких,масок и прочих днсошлюзов.

Nik0n · Сообщение **Nik0n** » Пн янв 12, 2015 15:22

torrus писал(а):Nik0n,мысль понял.Спасибо

Хотя,хотелось бы чтобы сразу у абонента всё работало,без прописывания IP всяких,масок и прочих днсошлюзов.

Дак у нас 99% клиентов получают IPv4 через DHCP (ISC on Linux), причем IP постоянен - Option 82 помогает

non-dhcp заработает с любым DHCP сервером - но это только IPv4.
В какой-то теме нетаповцы обещают связать UTM5-DHCP с UTM5-RADIUS , вот это была бы тема - тогда можно на SE100 включить честный DHCP server и появляется возможность использовать IPv6.
(non-dhcp не работает с dual-stack)

torrus · Сообщение **torrus** » Пн янв 12, 2015 15:45

Nik0n писал(а):
torrus писал(а):Nik0n,мысль понял.Спасибо

Хотя,хотелось бы чтобы сразу у абонента всё работало,без прописывания IP всяких,масок и прочих днсошлюзов.
Дак у нас 99% клиентов получают IPv4 через DHCP (ISC on Linux), причем IP постоянен - Option 82 помогает
non-dhcp заработает с любым DHCP сервером - но это только IPv4.
В какой-то теме нетаповцы обещают связать UTM5-DHCP с UTM5-RADIUS , вот это была бы тема - тогда можно на SE100 включить честный DHCP server и появляется возможность использовать IPv6.
(non-dhcp не работает с dual-stack)

Вот из-за того что,UTM5-DHCP с UTM5-RADIUS не понимают друг друга и никак не работают,я и не смотрю в сторону их DHCP-сервера.Пока работает встроенные в SE100.

Дык это,non-dhcp-clips с dhcp не работает жеж.Триггеры для поднятия сессии разные.non-dhcp-clips не реагирует на arp/dhcp пакеты.Для non-dhcp-clips триггером сессии является только ip пакет от абонента.Ошиблись?

Nik0n · Сообщение **Nik0n** » Вт янв 13, 2015 07:41

torrus писал(а): Дык это,non-dhcp-clips с dhcp не работает жеж.Триггеры для поднятия сессии разные.non-dhcp-clips не реагирует на arp/dhcp пакеты.Для non-dhcp-clips триггером сессии является только ip пакет от абонента.Ошиблись?

Не про это я прекрасно понимаю, ошибся что надо использовать встроенный DHCP сервер в SE100 - необходимо будет использовать UTM5-DHCP (из-за Options 82).
А уходит с non-dhcp-clips на dhcp clips придется, что бы можно было раздавать клиентам IPv6 (dual stack clips).

torrus · Сообщение **torrus** » Вт янв 20, 2015 15:45

И заодно спрошу вот о чем представителей.

Возможно ли внедрить в радиус такой функционал,чтобы можно было отдавать разные интерфейсы для разных диапазонов IP? Через радиус конечно.Или такое не возможно в принципе?

У рэдбака это vendor-specific VSA 104 - IP_interface_name

Shiva · Сообщение **Shiva** » Вт янв 20, 2015 17:12

Так добавьте в ручную, и зачем Вам разные интерфейсы? делается один с секондари ip + last resort

torrus · Сообщение **torrus** » Ср янв 21, 2015 08:35

Shiva,такая топология сети сложилась у нас - пачки интерфейсов с vlan`ами и серыми сетями.Начальство планировало заменить одним рэдбаком кучу тазиков с микротиками.Про secondary и lastresort я знаю,но не взлетело почему то.

Или надо было:
interface omnomnom multibind lastresort
ip address 10.0.0.1/24
ip address 10.0.1.1/24 secondary ?

Но,рэдбак так не дает делать.Ругается:

Last-resort interface can only be configure as un-numbered

Shiva · Сообщение **Shiva** » Ср янв 21, 2015 13:05

int loopback 0
ip xxx.xxx.xxx.xxx/xx
ip xxx.xxx.xxx.xxx/xx secondary

int blablabla multibind lastresort
ip unnambered loopback 0

У нас так и работало, правда посмотреть уже никак, редбек сняли.

torrus · Сообщение **torrus** » Ср янв 21, 2015 16:27

Shiva,спасибо за подсказку Вам.Все заработало,что планировал сделать.