авторизация по радиусу с одного логина

maximt · Сообщение **maximt** » Ср авг 11, 2010 05:57

версия utm5 007

есть шлюз mikrotik с vpn сервером, юзеры авторизуются по радиусу

столкнулись с проблемой, что один vpn логин может использоваться на разных компьютерах одновременно

скажите, можно ли заставить utm5 запретить авторизацию если логин уже в использовании?

или как выполнить sh-скрипт при авторизации? чтобы можно было отключить второе соединение

пробовали сделать через rfw, но правило включения не выполняется при впн-подключении, или мы что-то упустили?

Chris · Сообщение **Chris** » Ср авг 11, 2010 07:26

session-limits в параметры радиус... Воде как ограничивать умеет и UTM и микротик

maximt · Сообщение **maximt** » Ср авг 11, 2010 07:55

спасибо, попробуем
микротик ограничивает только при использовании локальной базы.. если вы про опцию only-one

maximt · Сообщение **maximt** » Ср авг 11, 2010 10:08

полазив по форуму, понял, что нужно добавить параметр в radius5.cfg
или
session_limit=1
или
session_limits=1
попробовал и так и так. разницы не увидел. ни повлияло ни на что..
искал в документации этот параметр - не нашел, подскажите где?

п.с. с версией ошибся - 006, может это влиять?

Blackmore

в радиусе нетапа такой фичи нет - это настраивается в конфиге наса непосредственно

solomon

товарисчи ну что вы говорите.... во первых какой радиус используете? какие адреса динамические или статику - с динамическими при штатном радиусе решается это все - в услуге коммутируемый доступ Лимит сессий 1 - остальное в лимит_сесий=1

maximt · Сообщение **maximt** » Чт авг 12, 2010 05:37

радиус штатный, но адреса статичные
получается со статикой лимит сессий не работает?

Chris · Сообщение **Chris** » Чт авг 12, 2010 07:10

со статикой как раз все в порядке и должно быть по определению

solomon

поддерживаю со статикой все нормуль - сессия 1 как в аптеке!

maximt · Сообщение **maximt** » Чт авг 12, 2010 11:29

на другом НАСе (dlink dsa) тоже можно авторизироваться дважды под одним логином, но трафика нет (из-за конфликта адресов)

обратились в поддержку микротика.
интересно как такое может работать

Код: Выделить всё

ppp active print
Flags&#58; R - radius
#   NAME         SERVICE CALLER-ID         ADDRESS         UPTIME   ENCODING                                                                                 
0 R user1     pptp    192.168.3.2       10.0.10.23      17h53m2s MPPE128 stateless                                                                       
                                                                                   
2 R user1     pptp    192.168.1.12      10.0.10.23      36s

maximt · Сообщение **maximt** » Чт авг 12, 2010 14:42

а все таки где в документации описан session_limi?

в документах
# Руководство по установке и эксплуатации биллинговой системы UTM 5 (02.07.2010) 5.8MB
# Руководство по установке и эксплуатации биллинговой системы UTM 5 (29.05.2007) 15.6MB
нет такого