Как быть с radius-ом

[sg]

Как раз над этим работаем ... есть такая проблема - если у нас несколько значений для cisco av-pair (например, ip-pool и "lcp:interface-config=traffic-shape rate 200000") как их лучше передавать - двумя разными записями или в одной, но через разделитель (какой ?) ?

Что работа ведется, это конечно хорошо, жаль только что прошло уже 5 месяцев с момента поднятия мной этой проблемы (заметьте, это не запрос доп. функционала, а баг программы), а "воз и ныне там". Что касается разделителя, то как насчет посмотреть его реализацию в других радиус серверах, наприме, ICradius или freeradius? В Microsoft IAS множество значений одного аттрибута прописываются через запятую. Неужели способ передачи это действительно такая сложная проблема, что за 5 месяцев так и не нашлось решения?

[manki_lowa]

update periodic_services_data set radius_sessions_limit=N where id=n
update periodic_services_data set radius_sessions_limit=N where id=n+1

N - количество сессий
Если услуга диалапа является фиктивной, то в базу попадает две записи - по-этому апдейт надо делать для двух строк. Если не фиктивная - то для одной.
Потому надо делать это ОЧЕНЬ осторожно!
иначе не там поменяешь лимит.
Потом перегрузить радиус (или все ядро - точно не помню), потому что сам UTM не обновляет инфу - только при загрузке!

это должно изменить значение "лимит одновременных сессий" в параметрах услуги коммутируемого доступа? я выполнил
update periodic_services_data set radius_sessions_limit=1;
т.е. все значения установил в 1, но все равно через админку видно ноль 8(

[bear]

рестрат ядра?

[manki_lowa]

был

[solomon]

извините но столкнулся с такой проблемой - UTM5 - 006 Тариф основан на 2х фиктивных услугах Передача IP-трафика и DialUp - так вот - динамически из пула раздаются IP адреса - скорость на циске режется при помощи атрибутов передаваемых родным радиусом(правда есть там свои заморочки чтобы их выставить) - НО вот Лимит одновременных сесий не работает...(((((
При создании фиктивной услуги - выставляю значение 1 пробую подключиться с 2х компов..... и ведь подключается и IP выдает разные но в админке у пользователя показывает второй выданый адрес......
Вообще в это версии работает ограничение сессий коммутируемого доступа?

[Arti]

Я когда-то был молодой и глупый - выбрал "интегрированное решение" и поплевывал в строну тех кто пытался использовать freeradius...

Сейчас я хорошо понимаю что для промышленной эксплуатации местный радиус подходит слабо, а если назвать вещи своими именами - не подходит совсем. Чем Вы сами быстре это осознаете тем легче Вам будет жить.

[Magnum72]

Я когда-то был молодой и глупый - выбрал "интегрированное решение" и поплевывал в строну тех кто пытался использовать freeradius...

Сейчас я хорошо понимаю что для промышленной эксплуатации местный радиус подходит слабо, а если назвать вещи своими именами - не подходит совсем. Чем Вы сами быстре это осознаете тем легче Вам будет жить.

Кайся грешник!

[solomon]

Спасибо За Совет!!! )))) Буду смотреть как прикрутить фрирадиус ))))

[Arti]

Кайся грешник!

Вы продолжаете использовать rlm_sql?

Я просто все более склоняюсь к мысле что модуль нужно делать свой.

Работа rlm_sql в принципе меня пока устраивает - пока статика и NAT.

Но NAT нужно выбрасывать...

Короче вижу три пути решения:

1. rlm_sql + rlm_exec или rlm_perl
2. Сделать сделать чуть модифицированный rlm_sql с управлением пулами адресов и вызовом URFA для управления аккаунтингом (привязка удаление ip-групп).
3. модуль построенный на "чиcтой" URFA - т.е. не лазить на уровень БД совсем.

Я сам склоняюсь к варианту 2.

Как думается на это счёт?

[Magnum72]

Короче вижу три пути решения:
1. rlm_sql + rlm_exec или rlm_perl
2. Сделать сделать чуть модифицированный rlm_sql с управлением пулами адресов и вызовом URFA для управления аккаунтингом (привязка удаление ip-групп).
3. модуль построенный на "чиcтой" URFA - т.е. не лазить на уровень БД совсем.
Я сам склоняюсь к варианту 2.
Как думается на это счёт?

Так и думается, это наименее трудозатратный способ с которым можно получить довольно производительное решение.

[apog]

Уважаемые гуру, если успехи в решении поставленной в двух последних постах задачи?

[plaguekriz]

Коллеги, как же быть с этой проблемой? Перезапустил network на сервере и тебе клиенты на нескольких насах не могут подключиться по pptp. У всех

AuthServer: Unable to claim IP: No such file or directory

Пробовал перезапускать и радиус и ядро (с перерывом дольше чем interim_update_interval), перезагружать насы и даже делал

update periodic_services_data set radius_sessions_limit=10

все бес толку - та же ошибка клиенты не авторизуются. Какие еще костыли возможны в этой ситуации?

[xoma]

Коллеги, как же быть с этой проблемой? Перезапустил network на сервере и тебе клиенты на нескольких насах не могут подключиться по pptp. У всех

AuthServer: Unable to claim IP: No such file or directory

Пробовал перезапускать и радиус и ядро (с перерывом дольше чем interim_update_interval), перезагружать насы и даже делал

update periodic_services_data set radius_sessions_limit=10

все бес толку - та же ошибка клиенты не авторизуются. Какие еще костыли возможны в этой ситуации?

Код: Выделить всё

## radius_ippool_acct_timeout
##  Description: A time interval during which the IP address is labeled as
##   occupied after sending Access-Accept.
##  Possible values: time in seconds
##  Default value: 30
radius_ippool_acct_timeout=5

## radius_ippool_timeout
##  Description: A time interval during which the IP address is labeled as
##   occupied after receiving Accounting-Start.
##  Possible values: time in seconds
##  Default value: The address is labeled as occupied until coming of the
##   Stop packet
radius_ippool_timeout=5