Решено! Обрыв активных VPN сесий в mikrotik

[Davion]

Скрипт sh для удаленного управления Mikrotik

Код: Выделить всё

#!/bin/sh

ssh davion@172.21.7.236 "$*"

Передаем с помощью rfw или стороннего скрипта команду на обрыв VPN сесии:

Код: Выделить всё

/ppp  active remove [find name=LOGIN]

по логину.

Код: Выделить всё

/ppp  active remove [find address=UIP]

по IP VPN.

[_J_]

А ещё можно использовать для этого радиусклиент

Код: Выделить всё

cat /netup/utm5/bin/disconnect.sh
#!/bin/sh
USERNAME="$1"
/bin/echo "User-Name := $USERNAME" | radclient -r 1 nas_ip disconnect secret

[Davion]

гуд спасибо незнал

[starchik]

хм....почему-то не работает ни один из способов rfw

Код: Выделить всё

?Debug : Feb 25 01:48:13 StreamFirewall: Got 'exec' command...
?Debug : Feb 25 01:48:13 FWCntl: dont_fork disabled. Don't wait child process ... 
?Debug : Feb 25 01:48:13 FWCntl: Executing FW rule: /ppp  active remove [find name=LOGIN] is done.

Код: Выделить всё

?Debug : Feb 25 01:44:51 StreamFirewall: Got 'exec' command...
?Debug : Feb 25 01:44:51 FWCntl: dont_fork disabled. Don't wait child process ... 
?Debug : Feb 25 01:44:51 FWCntl: Executing FW rule: /ppp  active remove [find address=0.0.0.0] is done.

вот такое пишет в лог

хотя в лист добавляет IP нормально

Код: Выделить всё

?Debug : Feb 25 01:54:00 StreamFirewall: Got 'exec' command...
?Debug : Feb 25 01:54:00 FWCntl: dont_fork disabled. Don't wait child process ... 
?Debug : Feb 25 01:54:00 FWCntl: Executing FW rule: /ip firewall address-list add address=192.168.132.1 list=allow_ip comment=1 is done.

[Davion]

Страница 204 список возможных переменных.

[starchik]

борода

UIP там нельзя использовать, ULOGIN не подходит. и как же быть?(

[Davion]

как нельзя все можно!

[starchik]

как нельзя все можно!

вот так, нельзя. UIP использовать можно на включение.выключение Интернет. и больше нигде(((

изменение типа блокировки можно использовать только 6 переменных

Код: Выделить всё

ACCOUN_ID
UID
RULE_ID
BLOCK_TYPE
EMAIL
IP_LIST

хотя, если верить стр 204, то ULOGIN тоже не подходит для изменения типа блокировки. но он работает, ток не всегда разрывает сессию(

[gil]

как нельзя все можно!

вот так, нельзя. UIP использовать можно на включение.выключение Интернет. и больше нигде(((

изменение типа блокировки можно использовать только 6 переменных

Код: Выделить всё

ACCOUN_ID
UID
RULE_ID
BLOCK_TYPE
EMAIL
IP_LIST

хотя, если верить стр 204, то ULOGIN тоже не подходит для изменения типа блокировки. но он работает, ток не всегда разрывает сессию(

а IP_LIST в каком формате выдается?
может, его проще пропарсить скриптом, а микротику уже по отдельности дать каждый IP для разрыва?

[starchik]

IP_LIST выдает Список UIP/UMASK, разделенный ";"

2Davion а какая версия сборки UTM у Вас стоит?

[Davion]

ну... 5.2.004

[mikkey finn]

а вы события "смена блокировки" и "смена статуса интернета" не путаете?

[gil]

IP_LIST выдает Список UIP/UMASK, разделенный ";"

2Davion а какая версия сборки UTM у Вас стоит?

man awk, что я еще могу сказать..

[RuffiAn]

Скрипт sh для удаленного управления Mikrotik

Код: Выделить всё

#!/bin/sh

ssh davion@172.21.7.236 "$*"

Передаем с помощью rfw или стороннего скрипта команду на обрыв VPN сесии:

Код: Выделить всё

/ppp  active remove [find name=LOGIN]

по логину.

Код: Выделить всё

/ppp  active remove [find address=UIP]

по IP VPN.

А можно не заморачиваться со скриптами и использовать POD