pptp и проблемы с блокировкой

[don_kuklachev]

Приветствую!
Необходимо организовать авторизацию пользователей через pptp-соединение. Поднял UTM 5.2.1-007.Создаю пользователя, тарифный план, к нему привязываю услугу(созданную в шаблоне услуг), добавляю тарифную связку к пользьзователю, к ней сервисную связку, прописываю ip, юзера и пароль. Не понятно несколько моментов:
1) правильно ли создают тарифы/пользователей
2) почему авторизация происходит по логину/паролю, который забивается в сервисной связке, а логин и пароль который в основных параметрах не влияет
3) почему не работает блокировка: выключал из основного меню пользователей("выключить интернет") и в лицевом счете выставил - все равно авторизуются
4) не формируется детальный отчет по трафику

Не пинайте за тупые вопросы, нормального мануала я не нашел по данным вопросам. Буду благодарен если снабдите ссылками.

[mrmix25]

Не понятно несколько моментов:
1) правильно ли создают тарифы/пользователей

судя по вашему описанию правильно.

2) почему авторизация происходит по логину/паролю, который забивается в сервисной связке, а логин и пароль который в основных параметрах не влияет

логин и пароль который в основных параметрах - это логин и пароль для WEB-кабинета, а в связке пароль и логин для доступа

3) почему не работает блокировка: выключал из основного меню пользователей("выключить интернет") и в лицевом счете выставил - все равно авторизуются

потому что в конфигурационном файле /netup/utm5/radius5.cfg стоит параметр radius_auth_vap=0 - этот параметр разрешает авторизовываться заблокированным пользователям, измени 0 на 1 и авторизировать заблокированных перестанет с блокировкой по лицевому счету. Для работы функционала "выключить интернет" необходимо настраивать utm5_rfw + настройка соответствующая сервера авторизации

4) не формируется детальный отчет по трафику

сбор Netflow настроил ? классы трафика указал ?

Не пинайте за тупые вопросы, нормального мануала я не нашел по данным вопросам. Буду благодарен если снабдите ссылками.

Читай документацию там все есть... + пользуйся поиском на форуме все это 100 раз обсуждалось ...
З.Ы. Удачного освоения УТМ

[don_kuklachev]

читал про параметр radius_auth_vap=0, но так и не понял где он?

## radius_auth_vap
## Description: If the value is set, authorization of blocked users, whose
## logins are set in IP traffic service link, is disallowed.
## Possible values: 1
##Default value: authorization is allowed

[ZeM]

radius_auth_vap=1 туда впишите!
Рестартуем радиус.

[don_kuklachev]

пробовал не помогло.

[don_kuklachev]

4) не формируется детальный отчет по трафику

сбор Netflow настроил ? классы трафика указал ?

вроде да, общий отчет по трафику то считает его и в классы попадает.

[mrmix25]

пробовал не помогло.

...... блокировку по лицевому счету ставил и все равно пускает ??? выложи содержимое файла radius5.cfg.

[serjk]

Статус интернета не является блокировкой и влияет на выполнение правил файрвол, так что нормально, что при выключенном интернете VPN подключается.

[don_kuklachev]

...... блокировку по лицевому счету ставил и все равно пускает ??? выложи содержимое файла radius5.cfg.

##
## /netup/utm5/radius5.cfg
## UTM5 RADIUS server configuration file
##

## =============================================================================
## MAIN RADIUS SERVER PARAMETERS
## =============================================================================

## core_host
## Description: IP address of a host running the utm5_core
## Possible values: an IP address
## Required field.
core_host=127.0.0.1

## core_port
## Description: UTM5 core listening port. Equal to stream_bind_port parameter
## in utm5.cfg.
## Possible values: an integer from 1 to 65534
## Required field.
core_port=12758

## radius_login
## Description: A system user login to access the UTM5 core.
## Possible values: <string>
## Default value: radius

## radius_password
## Description: A system user password to access the UTM5 core.
## Possible values: <string>
## Default value: radius

## radius_ssl_type
## Description: SSL connection type. If 'none' is set, the connection
## is unencrypted.
## Possible values: tls1, ssl3, none
## Default value: none
#radius_ssl_type=none

## radius_acct_host
## Description: IP address of the host receiving Accounting-Requests.
## Possible values: interface IP address or 0.0.0.0
## Default value: 0.0.0.0

## radius_acct_port
## Description: Port of the host receiving Accounting-Requests.
## Possible values: an integer from 1 to 65534
## Default value: 1813

## radius_auth_host
## Description: IP address of the host receiving Access-Requests.
## Possible values: interface IP address or 0.0.0.0
## Default value: 0.0.0.0

## radius_auth_port
## Description: Port of the host receiving Access-Requests.
## Possible values: an integer from 1 to 65534
## Default value: 1812

## radius_auth_mppe
## Description: Enables MPPE 128 bit key generation used for authorization
## via MS-CHAP-v2 protocol.
## Possible values: enable
## Default value: the keys are not generated
radius_auth_mppe=enable

## radius_auth_vap
## Description: If the value is set, authorization of blocked users, whose
## logins are set in IP traffic service link, is disallowed.
## Possible values: 1
## Default value: authorization is allowed
## radius_auth_vap = 1

## radius_ippool_acct_timeout
## Description: A time interval during which the IP address is labeled as
## occupied after sending Access-Accept.
## Possible values: time in seconds
## Default value: 30

## radius_ippool_timeout
## Description: A time interval during which the IP address is labeled as
## occupied after receiving Accounting-Start.
## Possible values: time in seconds
## Default value: The address is labeled as occupied until coming of the
## Stop packet

## radius_auth_null
## Description: If enabled, the RADIUS server authorizes requests without
## User-Password(2) attribute, if the user's password, defined in the
## service link, is empty.
## Possible values: yes, enable
## Default value: authorization without a password is not performed
#radius_auth_null=yes

## radius_auth_h323_remote_address
## Description: If enabled, then telephone calls authentication is performed
## using h323-remote-address(9;23) attribute value, but not using
## User-Name(1) attribute. The attribute value is used as a login.
## Possible values: enable, on, yes
## Default value: replacement of login with h323-remote-address is not
## performed

## radius_nas_port_vpn
## Description: This parameter is checked against NAS-Port-Type(61) attribute
## value when connecting using the login specified in the IP traffic service
## link. Several values can be set.
## Possible values: a positive integer
## Default value: Checking against NAS-Port-Type for the IP traffic service
## link is not performed

## radius_nas_port_dialup
## Description: This parameter is checked against NAS-Port-Type(61) attribute
## value when connecting using the login specified in the Dial-up service
## link. Several values can be set.
## Possible values: a positive integer
## Default value: checking against NAS-Port-Type for the Dial-up service link
## is not performed

## radius_nas_port_tel
## Description: This parameter is checked against NAS-Port-Type(61) attribute
## value when connecting using the login specified in the Telephony service
## link. Several values can be set.
## Possible values: a positive integer
## Default value: checking against NAS-Port-Type for the Telephony service
## link is not performed

## radius_card_autoadd
## Description: If 'yes' is set, the automatic registration of users is
## enabled via the RADIUS server using prepaid cards. In this case in the
## Login field a user enters the card number and in the Password field - the
## PIN code. In case of the Telephony service, in the Login field it is
## entered the PIN code or its first part and the remainder is used as a
## password.

## Possible values: yes, on, enable
## Default value: automatic registration is not performed
radius_card_autoadd=yes

## send_xpgk_ep_number
## Description: If this option is enabled, for the Telephony service, when a
## user is being authorized, in Access-Accept it is transmitted the
## Cisco-AVPair(9;1) attribute with the value:
## xpgk-ep-number=<a semicolon separated list of telephone numbers>.
## Possible values: <any>
## Default value: telephone numbers are not transmitted in affirmative replies
## to authorization requests

## send_h323_ivr_in
## Description: If this option is enabled, for the Telephony service, when a
## user is being authorized, in Access-Accept it is transmitted the
## Cisco-AVPair(9;1) attribute with the value: h323-ivr-in=terminal-alias:
## <a semicolon separated list of telephone numbers>.
## Possible values: <any>
## Default value: telephone numbers are not transmitted in affirmative replies
## to authorization requests

## enable_fast_telephony
## Description: This option enables the rapid mechanism for determination of
## directions and zones when rating telephone calls. In this case templates
## for telephone directions must contain the digits from 0 to 9 and the
## symbols: ^ $ + )( |.
## Possible values: enable, yes
## Default value: the default mechanism for determination of zone/direction
## is used

## h323_origin_reject
## Description: Sets zero cost for Accounting-Requests in which the
## h323-call-origin(9;26) attribute equals the value of this parameter.
## Possible values: <string>
## Default value: unset
#h323_origin_reject=originate {answer|callback|etc}

## interim_update_interval
## Description: Enables session control mechanism using Interim-Update
## packets. The value is transmitted in the Acct-Interim-Interval(85)
## attribute of the Access-Accept packet.
## Possible values: time in seconds, more than 61
## Default value: the default session closure control mechanism is used

## radius_default_session_timeout
## Description: A value of the Session-Timeout(27) attribute transmitted in
## Access-Accept for the IP traffic service link.
## Possible values: a positive integer
## Default value: 86400

## radius_callback_avpair_enable
## Description: Enables transmission of the Cisco-AVPair(9;1) attribute with
## the value lcp:callback-dialstring=<callback number>, where
## <callback number> is the part of the login from the beginning to the
## ':'-symbol.
## Possible values: <any>
## Default value: unset

## radius_acct_rewrite_login_answer
## Description: If the value of the h323-call-origin(9;26) attribute is
## 'originate', then setting this parameter enables replacing of the login
## with the value of the h323-remote-address(9;23) attribute when processing
## Accounting-Request packets.
## Possible values: enable, on, true
## Default value: unset

## radius_acct_rewrite_login_originate
## Description: If the value of the h323-call-origin(9;26) attribute is
## 'answer', then setting this parameter enables replacing of the login with
## the value of the h323-remote-address(9;23) attribute when processing
## Accounting-Request packets.
## Possible values: enable, on, true
## Default value: unset

## =============================================================================
## LOGGING (valid if logfile rotation is enabled)
## =============================================================================

## log_level
## Description: Logging level.
## Possible values: 0, 1, 2, 3
## Default value: 1

## log_file_main
## Description: Main logfile path.
## Possible values: <filename>
## Default value: STDERR
log_file_main=/netup/utm5/log/radius.log

## log_file_debug
## Description: Debug logfile path.
## Possible values: <filename>
## Default value: STDERR
log_file_debug=/netup/utm5/log/radius.log

## log_file_critical
## Description: Critical logfile path.
## Possible values: <filename>
## Default value: STDERR

## rotate_logs
## Description: Enables rotation of logfiles.
## Possible values: yes, on, enable
## Default value: rotation is disabled

## max_logfile_size
## Description: Maximum logfile size. When logfile size reaches this limit,
## a rotation is performed.
## Possible values: a size in bytes
## Default value: 10485760

## max_logfile_count
## Description: Maximum number of logfiles to retain. Valid if logfile rotation
## is on.
## Default value: not limited


Вот логи радиуса:

?Debug : Jul 25 13:49:25 AuthServer: User <user3> connecting
?Debug : Jul 25 13:49:25 AuthServer: Session for sessionid <user3> not found in <172.21.17.3> cache
?Debug : Jul 25 13:49:25 RADIUS DBA: Info for login <user3> found. type <1>
?Debug : Jul 25 13:49:25 AuthServer: Auth scheme: MS-CHAPv2
?Debug : Jul 25 13:49:25 AuthServer: MS-CHAPv2: Authorized user <user3>
?Debug : Jul 25 13:49:25 AuthServer: MS-CHAPv2: MPPE Keys send
?Debug : Jul 25 13:49:25 RADIUS IPPool: Dropped on timeout: 0xc16a4b16
?Debug : Jul 25 13:49:25 AuthServer: IP claimed: 0xc16a4b16 (<193.106.75.22>)
?Debug : Jul 25 13:49:25 AuthServer: Calling fill radius attributes for service. Attr storage size <0>
?Debug : Jul 25 13:49:25 AuthServer: Calling fill radius attributes for slink. Attr storage size <0>
?Debug : Jul 25 13:49:25 AuthServer: Calling fill radius attributes for NAS. Attr storage size <0>
Notice: Jul 25 13:49:25 AuthServer: Login OK <user3> from NAS <172.21.17.3> CLID <> Calling-station <>
?Debug : Jul 25 13:49:25 AuthServer: Setting interim update interval from config
?Debug : Jul 25 13:49:25 AuthServer: Auth reply: RPacket:
Code: 2; ID: 162
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 8>[4]: c16a4b16
<Vendor: 0; Attr: 9>[4]: ffffffff
<Vendor: 0; Attr: 27>[4]: 00015180
<Vendor: 311; Attr: 7>[4]: 00000001
<Vendor: 311; Attr: 8>[4]: 00000006
<Vendor: 311; Attr: 16>[34]: 849b17c69cef165798761634b74686ca65a9572bf23748038f811218d4d085bf36e8
<Vendor: 311; Attr: 17>[34]: 8f126d6459b7f858f85b70a65d38c95c854341864a3bae9a05a176ddb820194f7262
<Vendor: 311; Attr: 26>[43]: 81533d30444237464434353235353034304235393332464337353933303833423237453138364343363130

?Debug : Jul 25 13:49:25 RADIUS Packet: raw data constructed! size <209>
?Debug : Jul 25 13:49:25 RadiusSocket: Moving RADIUS packet into send queue
?Debug : Jul 25 13:49:25 RadiusSocket: RADIUS raw data sent
?Debug : Jul 25 13:49:25 AuthServer: Next...
?Trace : Jul 25 13:49:25 AuthServer: Process loop step
?Debug : Jul 25 13:49:25 RadiusSocket: Waiting for RADIUS raw data
?Debug : Jul 25 13:49:25 RadiusSocket: RADIUS raw data obtained
?Debug : Jul 25 13:49:25 RADIUS Packet: Size <186>; HDR.Size <186>
?Debug : Jul 25 13:49:25 AcctServer: Recv...
?Debug : Jul 25 13:49:25 AcctServer: Packet from <172.21.17.3> packet dump: RPacket:
Code: 4; ID: 146
<Vendor: 0; Attr: 1>[5]: 7573657233
<Vendor: 0; Attr: 4>[4]: ac151103
<Vendor: 0; Attr: 5>[4]: 00000003
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 7>[4]: 00000001
<Vendor: 0; Attr: 40>[4]: 00000001
<Vendor: 0; Attr: 41>[4]: 00000000
<Vendor: 0; Attr: 44>[8]: 3030303030323436
<Vendor: 0; Attr: 45>[4]: 00000001
<Vendor: 0; Attr: 65>[4]: 00000001
<Vendor: 0; Attr: 66>[13]: 3137322e32312e3132372e3331
<Vendor: 0; Attr: 67>[12]: 3137322e32312e3132372e31
<Vendor: 0; Attr: 68>[2]: 3734
<Vendor: 0; Attr: 82>[11]: 494e45542d6163636f7574
<Vendor: 0; Attr: 87>[15]: 5669727475616c2d41636365737333
<Vendor: 0; Attr: 91>[4]: 494e4554
<Vendor: 9; Attr: 1>[24]: 636f6e6e6563742d70726f67726573733d43616c6c205570

?Debug : Jul 25 13:49:25 RADIUS DBA: NAS found. Data size <0>
?Debug : Jul 25 13:49:25 AcctServer: Acct packet with session ID: 00000246
?Debug : Jul 25 13:49:25 RADIUS DBA: NAS found. Data size <0>
?Debug : Jul 25 13:49:25 AcctServer: Acct-Start packet
?Debug : Jul 25 13:49:25 AcctServer: Acct-Start: User <user3>
?Debug : Jul 25 13:49:25 AcctServer: Acct-Session-Time (46) not present in accounting packet.
?Debug : Jul 25 13:49:25 AcctServer: No h323-setup-time (9, 25) attribute in accountig start packet. Setting to NOW <1374745765>!
?Debug : Jul 25 13:49:25 RADIUS DBA: Info for login <user3> found. type <1>
?Debug : Jul 25 13:49:25 RADIUS DBA: info for user found. type <1> info addr <-1248848296>
?Debug : Jul 25 13:49:25 RADIUS DBA: search_user_info return info <-1248848296>
?Debug : Jul 25 13:49:25 RADIUS DBA: search_user_info return valid info
?Debug : Jul 25 13:49:25 RADIUS DBA: session_log_insert: service_type <2>, setting default session timeout value
?Debug : Jul 25 13:49:25 RADIUS IPPool: Bind <0> : <c16a4b16>
?Debug : Jul 25 13:49:25 RADIUS DBA: Setting interim interval <0> for session id <00000246>
?Debug : Jul 25 13:49:25 RADIUS DBA: Calling send_session_log_init_sync ...
?Debug : Jul 25 13:49:25 RADIUS Stream[plugin]: send_session_log_init_sync
?Debug : Jul 25 13:49:25 RADIUS Stream[plugin]: init log id <5>
?Debug : Jul 25 13:49:25 AcctServer: Reply packet dump: RPacket:
Code: 5; ID: 146

?Debug : Jul 25 13:49:25 RadiusSocket: Moving RADIUS packet into send queue
?Debug : Jul 25 13:49:25 RadiusSocket: RADIUS raw data sent
?Debug : Jul 25 13:49:25 AcctServer: Next...
?Debug : Jul 25 13:49:25 RadiusSocket: Waiting for RADIUS raw data
?Debug : Jul 25 13:49:25 RadiusSocket: RADIUS packet successfully received

[don_kuklachev]

Статус интернета не является блокировкой и влияет на выполнение правил файрвол, так что нормально, что при выключенном интернете VPN подключается.

и даже когда пользователь только создан, висит системная блокировка и нет средств,все равно пускает

[serjk]

Потому что

## radius_auth_vap = 1 - строка закомментирована

[don_kuklachev]

Потому что

## radius_auth_vap = 1 - строка закомментирована

пробовал и без ## - одно все равно

[serjk]

Когда Вы поставили radius_auth_vap = 1 (без ## в начале строки), Вы:

1. Перезапускали utm5_radius ?
2. Абонент имел статус системной блокировки?

[don_kuklachev]

Когда Вы поставили radius_auth_vap = 1 (без ## в начале строки), Вы:

1. Перезапускали utm5_radius ?
2. Абонент имел статус системной блокировки?

Ребутал вообще сервер. Да абонент был в системной блокировке.

[serjk]

Зачем перезагружать сервер, если проблема в прикладном ПО?

Возможные варианты:

1. Вы что-то путаете в последовательности своих действий (добавили строчку и не перезагрузили utm5_radius, абонент не заблокирован, добавили 2 строчки с разными значениями, добавили строчку с лишними символами в начале и т.п.)
2. Баг в старой версии биллинга.