Дождались?сборка биллинговой системы UTM 5 (5.2.1–007–RC1)

Arti · Сообщение **Arti** » Пн май 18, 2009 13:43

serjk писал(а):
Arti писал(а):Немного офтоп.

А можно реализовать в правилах файрвола передачу ID сессии NAS, и его IP адрес? Неудобно перебирать IP адреса клиентов...
В правилах, выполняемых при событии "Открытие сесии", "Закрытие сессии" эти параметры присутствуют.

Я плохо объяснил.

Имелось ввиду событие "выключение интернета". Вот там это параметр был бы востребован больше, т.к. система не поддерживает каких либо иных способов завершения сессии.

serjk · Сообщение **serjk** » Пн май 18, 2009 13:45

freebeer писал(а):serjk, подскажите пожалуйста, где можно посмотреть документацию по новому модулю Dynashape?

http://netup.ru/articles.php?n=39

serjk · Сообщение **serjk** » Пн май 18, 2009 13:48

Arti писал(а): Имелось ввиду событие "выключение интернета". Вот там это параметр был бы востребован больше, т.к. система не поддерживает каких либо иных способов завершения сессии.

Событие "выключение интернет" не несет в себе никакой информации, связанной с сессией. Т.e. не понятно, каким образом ввести соответствие сессии NAS и этого события.

Makariy

serjk писал(а):
freebeer писал(а):serjk, подскажите пожалуйста, где можно посмотреть документацию по новому модулю Dynashape?
http://netup.ru/articles.php?n=39

эээ судя по скрину

неужели удалось подружить Dynashape+cisco?

помнится, меня саппорт уверял что динамическое шейпирование на сиське нереализуемо

serjk · Сообщение **serjk** » Пн май 18, 2009 14:20

Makariy писал(а): неужели удалось подружить Dynashape+cisco?

Можно передавать параметры шейпирования на любое оборудование, поддерживающее соответствующие RADIUS-атрибуты.

Pulse · Сообщение **Pulse** » Пн май 18, 2009 14:31

создаём группу с ограниченными правами, заходим в новый UTM_admin нажимаем кнопку Поиск и ничего не происходит, хотя функция 0x1205 включена. опытным путём установлено, что окно поиска не открывается до тех пор, пока не доступна 0x4405, но этой группе совершенно нет необходимости отображать список системных пользователей.

Makariy

serjk писал(а): Можно передавать параметры шейпирования на любое оборудование, поддерживающее соответствующие RADIUS-атрибуты.

очень интересно! а можно поподробней осветить момент cisco (в качестве PPTP сервера + dynashape

RADIUS-атрибуты шейпера как я понимаю
interface-config#1=rate-limit input 1024000 128000 128000 conform-action transmit exceed-action drop
и после определенного условия
interface-config#1=rate-limit input 64000 8000 8000 conform-action transmit exceed-action drop

какие еще RADIUS-атрибуты потребуются?
каким образом будет реализована динамика (обрыв сессии или нет)

очень очень хочется пример данной связки

Arti · Сообщение **Arti** » Пн май 18, 2009 15:15

serjk писал(а):Событие "выключение интернет" не несет в себе никакой информации, связанной с сессией. Т.e. не понятно, каким образом ввести соответствие сессии NAS и этого события.

Если следовать такой логике, то сделать отчет по диалапу не представляется возможным, однако он делается

Ядро "знает" об активных сессиях, я предполагаю что при блокировке ЛС не так сложно выбрать незакрытые сессии связанные с этим ЛС. Однако это только моё предположение

.

AndrewE

Не нашел в описании. Исправлен давний-предавний баг с предоплаченым трафиком и одновременной группировкой классов трафика?

AndrewE

serjk писал(а):
freebeer писал(а):serjk, подскажите пожалуйста, где можно посмотреть документацию по новому модулю Dynashape?
http://netup.ru/articles.php?n=39

Это не документация а просто набор скриншотов.
Где описание полей для нового файрвола через который собственно и реализовано управление внешним модулем шейпинга?

trunk · Сообщение **trunk** » Вт май 19, 2009 00:47

serjk писал(а):
В новой админке в передаче IP трафика нельзя создавать группы max и sum (все кнопки просто неактивны)
По некоторым соображениям задание групп sum и max возможно, если границы тарификации еще не заданы. Т.е. при создании услуги сначала необходимо задать группы, затем границы. Сейчас думаем, как реализовать это более прозрачно для пользователей.

Фаервол отправляет на cisco при событии "включение/выключение интернета" правильные правила, а при событии "открытие сессии" вместо айпи пользователя отправляет 0.0.0.0
хотя в настройках я просто добавил в правило включения инета событие "открытие сессии"
Событие "открытие сессии" имеет другой список заменяемых параметров, например IP, выданный radius, заменяется в переменной FRAMED_IP, а не UIP.

Таким образом, в Вашем случае необходимо задать раздельные правила для "включения-выключения" и для "открытия сесии". Список заменяемых параметров , имеющийся в админке, меняется в зависимости от выбранного набора событий.

нельзя поставить пароль на фаервол в списке брендмауэров.
данное поле было исключено из интерфейса, т.к. нигде не использовалось и никуда не передавалось, т.е. не имело никакого функционального значения.

С группами все работает, так даже удобнее стало, правда это лучше описать в документации, а то с первого раза можно и не понять)
с фаерволом не помогает, делал правило и так:
access-template 190 utm host FRAMED_IP any
и так:
access-template 190 utm host UIP any

все равно при подключении интернета на циску уходит:
?Debug : May 19 09:45:23 FWCntl: Send rule<access-template 190 utm host 0.0.0.0 any> to remote cisco <10.100.10.90>
?Debug : May 19 09:45:23 FWCntl: Call RSH: host 10.100.10.90, port 514, login netup, pass , cmd access-template 190 utm host 0.0.0.0 any

хотя при исполнении правила включения интернета уходит правильный айпи

shoorickello

Вопрос к разработчикам: исправлена ли в данной сборке проблема, при которой RADIUS-атрибуты не вставляются в пакет, если они указаны в сервисной связке:

Код: Выделить всё

?Debug &#58; May 19 12&#58;31&#58;58 AuthServer&#58; Calling fill radius attributes for service. Attr storage size <1>
?Debug &#58; May 19 12&#58;31&#58;58 AuthServer&#58; fill_radius_data Vendor&#58;<14988> Attr&#58;<8> Val&#58;<-168196424> Size<9>
?Debug &#58; May 19 12&#58;31&#58;58 AuthServer&#58; fill_radius_data result <0> message <Success>
?Debug &#58; May 19 12&#58;31&#58;58 AuthServer&#58; fill_radius_data verifying packet. fetched val <131k/131k> size&#58;<9>
?Debug &#58; May 19 12&#58;31&#58;58 AuthServer&#58; Calling fill radius attributes for slink. Attr storage size <0>
?Debug &#58; May 19 12&#58;31&#58;58 AuthServer&#58; Calling fill radius attributes for NAS. Attr storage size <0>
 Notice&#58; May 19 12&#58;31&#58;58 AuthServer&#58; Login OK <bigben> from NAS <127.0.0.1> CLID <1.1.1.1> Calling-station <192.168.1.249>

Интересующее место:

?Debug : May 19 12:31:58 AuthServer: Calling fill radius attributes for slink. Attr storage size <0>

хотя в сервисной связке указан один атрибут.

sclif · Сообщение **sclif** » Вт май 19, 2009 14:30

Разработчики!!! Новая документация будет, а то пишут что много изменений, а где они описываются или их надо выискивать методом тыка. Давно бы уже прикрутили wiki да и писали бы туда.

detx · Сообщение **detx** » Вт май 19, 2009 14:59

sclif писал(а):Разработчики!!! Новая документация будет, а то пишут что много изменений, а где они описываются или их надо выискивать методом тыка. Давно бы уже прикрутили wiki да и писали бы туда.

Wiki была, но они ее убрали, так как подумали что она не нужна

serjk · Сообщение **serjk** » Вт май 19, 2009 15:08

shoorickello писал(а):Вопрос к разработчикам: исправлена ли в данной сборке проблема, при которой RADIUS-атрибуты не вставляются в пакет, если они указаны в сервисной связке:

Не помню такой проблемы, но протестировал - атрибуты для связки добавляются.