OPEN VPN + RADIUS

[kamelotnsk]

Добрый день коллеги.
Есть FreeRadius Server (MYSQL)(ubuntu 14.04) к которому подключаются 4 openvpn server-a через radiusplugin(ubuntu 14.04).
Пользователи авторизуются успешно, но как организовать отключение пользователей по превышению трафика, или по истечении времени подписки.
ТФП:
1.Ограниченный по времени
2.Граниченный по MB

Прошу помощи кто уже сталкивался с данным кейсом?
Из того что решил уже:
1.Трафик собираю по snmp c Ovpn по snmp и пишу в Cacti настроены autodiscover вижу статистику по каждому пользователю.
2.PPTP L2TP реализованы с помощью accel-ppp и успешно блокируются.

[AnrDaemon]

Так OpenVPN или L2TP?
В любом случае к радиусу ваш вопрос не имеет прямого отношения.
Всё, что вам нужно, это инструментарий, который будет отслеживать и прекращать соединения.

[kamelotnsk]

Так OpenVPN или L2TP?
В любом случае в радиусу ваш вопрос не имеет прямого отношения.
Всё, что вам нудно, это инструментарий, который будет отслеживать и прекращать соединения.

Протокол OpenVPN, и да как организовать отключение пользователя по средствам радиуса?

[AnrDaemon]

Как организовать закрытие двери посредством видеокамеры?…
У вас, батенька, iptables головного мозга.

[kamelotnsk]

AnrDaemon,

Как организовать закрытие двери посредством видеокамеры?…
У вас, батенька, iptables головного мозг

Троллиг, О Да давай....

Поехали по полочкам:
Разорвать сессию пользователя на radius сервере
Acct-Session-Id - таблица radacct колонка acctsessionid
User-Name - таблица radacct колонка username
NAS-IP-Address - таблица radacct колонка calledstationid - IP ноды
Отключаем одну сессию

Код: [Выделить]

echo -e "Acct-Session-Id=8120000d\nUser-Name=pptp\nNAS-IP-Address=XXX.XXX.XXX.XXX" | radclient -r 1 XXX.XXX.XXX.XXX disconnect ''node1-XXX.XXX.XXX.XXX''Отключаем несколько сессий

Код: [Выделить]

echo -e "Acct-Session-Id=8120000d\nUser-Name=pptp\nNAS-IP-Address=XXX.XXX.XXX.XXX\n\nAcct-Session-Id=8120000a\nUser-Name=pptp\nNAS-IP-Address=XXX.XXX.XXX.XXX\n\n" | radclient -r 1 XXX.XXX.XXX.XXX disconnect ''node1-XXX.XXX.XXX.XXX''
Пользователь добавил сообщение 17 Ноября 2016, 18:40:22:Нет понимания как заблокировать в базе пользователя, и для OPEN vpn такая команда не работает.

[AnrDaemon]

При чём тут троллинг? Я вам указал на то, что вы мне сами только что сказали - у вас нет понимания. Не как заблокировать, а как это вообще работает.
Во-первых, RADIUS - это система доставки информации, сама по себе она не делает ВООБЩЕ НИЧЕГО. Т.е. абсолютно. Не хранит, не оценивает и не предпринимает НИКАКИХ ДЕЙСТВИЙ.
Если у вас БД - MySQL, то это ВЫ должны настроить вашу связь с базой так, чтобы предусмотреть возможность блокировки клиентов.
Совершенно типичный ответ на ваш вопрос: http://lists.freeradius.org/pipermail/freeradius-users/2011-September/055789.html

[kamelotnsk]

При чём тут троллинг? Я вам указал на то, что вы мне сами только что сказали - у вас нет понимания. Не как заблокировать, а как это вообще работает.
Во-первых, RADIUS - это система доставки информации, сама по себе она не делает ВООБЩЕ НИЧЕГО. Т.е. абсолютно. Не хранит, не оценивает и не предпринимает НИКАКИХ ДЕЙСТВИЙ.
Если у вас БД - MySQL, то это ВЫ должны настроить вашу связь с базой так, чтобы предусмотреть возможность блокировки клиентов.
Совершенно типичный ответ на ваш вопрос: http://lists.freeradius.org/pipermail/freeradius-users/2011-September/055789.html

Прошу прощения за резкость.
Хорошо да, в моем случае все настройки хранятся в MySQL, в том числе и таблица NAS отвечающая за авторизацию железок.
Как я понял в моем случае оптимально будет использовать связку LDAP+RADIUS+(OPENVPN+(MIKROTIK L2TP PPTP SSTP))+SQUID.
Пользователи подключаются к VPN серверу и потребляют трафик, который идет через squid, настройки ТФП, а именно шейпинг  канала я выставляю на уровне Radius, если мне надо заблокировать пользователя, я его отключаю в LDAP.
Что касаемо потребления трафика это все отдается в SQUID.
Как считаете такая схема имеет жизнь?

[AnrDaemon]

Почти любая схема имеет шанс на жизнь. Вопрос только в цене интеграции.
Если у вас УЖЕ есть рабочая LDAP схема, в которой предусмотрена возможность пареключения статуса аккаунта, то всё, что вам нужно - это настроить связь LDAP с RADIUS с учётом этого вашего переключателя, чтобы при попытке авторизации выдавался правильный результат.