Ну и ну

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 08:10

Всем привет. Вообщем муть полная. Уже начал сожалеть о покупке данного биллинга.
У меня pppoe на циско. Вообщем сначала меня удивило, то что радиус не
отрубает по отрицательному балансу - решил dynamic acl, все пошло вроде нормально. Даже понравилось. Следующим этапом решил разобратся с динамикой и очень удивился, что надо врубать 2 услуги из них передача ip-трафика фактически фейковая. Ладно вроде решил. Но теперь выползает новая хрень. rfw отправляет на cisco, не ip c пула, который выдается, а фейковый, который у абонента в ip-трафике, т.е. параметр UIP это именно ip для услуги передачи ip. Есть предложения как тут быть?

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 08:44

Может просто у кого есть подобная моей система и кто как при этом извратился?

lan-viper

А для какого события предназначено правило rfw?

Если брать открытие сессии, то выдавшийся ip находится в переменной FRAMED_IP...

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 11:04

Событие выключения - включения в зависимости от блокировки.

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 11:12

Т.е. я блокирую доступ ко всему, если например денег нету на счету или стоит блокировка вручную.

lan-viper

Я так понял, что эти события не для VPN, а когда используется чистая маршрутизация IPoE.
Сам заметил, что при реализации тарифа с динамической выдачей IP при VPN доступе по статье с NetUP'а (действительно, логика через одно место) эти выданные ip добавляются, как ip-пулы к услуге передачи ip трафика помимо уже указанного "фейкового" пула (у меня он такой 127.0.0.127/32 - это что-бы услуга добавилась к абоненту, потом этот пул по идее нужно удалить после первого подключения юзера (джопа в общем)). Так вот, мне тоже не понятно, по какому принципу и какой из пулов будет попадать в переменную UIP. Ведь со временем этих пулов у абонента будет много?

lan-viper

У Вас циска публичные (белые) адреса раздаёт?

Самым надёжным будет наверное статическая привязка ip к абоненту, но если есть небольшая подсеть реальников, тогда...

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 11:34

Да есть тьма белых))) Я ripe смог развести))) Просто всеже хотелось бы динамику... вообще конечно надежней статику всем давать и не парится, но кто его знает что будет дальше по количеству юзеров.

Может кто-то еще придумал что-то для данной ситуации.

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 12:10

Может есть вариант как то по логину блокировать доступ через rfw, но пока не могу придумать как... Есть идеи?

Pulse · Сообщение **Pulse** » Вт апр 19, 2011 12:25

дык, вроде как, при срабатывании события "изменение состояния блокировки" в rfw переменной UIP передаются все адреса из услуги передача ip-траффика. разве нет? попробуйте в файл слить все переменные

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 12:44

Pulse писал(а):дык, вроде как, при срабатывании события "изменение состояния блокировки" в rfw переменной UIP передаются все адреса из услуги передача ip-траффика. разве нет? попробуйте в файл слить все переменные

дело в том, что услуга передачи трафика при использовании pppoe+динамические ip фактически "фейковая", абонент же фактически работает под услугой dialup а там свои переменные. Самое простое это блокировать по ip-адресу, но ip который засунут в UIP - это уже не тот ip, под которым сидит юзер, это фактически ip ненужный. Самое простое решение это реализация через dynamic acl, но в данном случае оно отпадает ибо ip не тот. Следовательно нужен другой вариант прерывания сессии и по какой то другой переменной.

Pulse · Сообщение **Pulse** » Вт апр 19, 2011 13:09

посмотрите IP_GROUP_LIST

dovzz · Сообщение **dovzz** » Вт апр 19, 2011 13:25

Pulse писал(а):посмотрите IP_GROUP_LIST

Спасибо конечно, но в моей ситуации скорей всего надо будет переходить на локальный фаервол. Скорей всего надо делать скрипт для сброса сессии и запускать его с параметром логина. Кто нибудь делал так?