Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: OPEN VPN + RADIUS  (Прочитано 417 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kamelotnsk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
OPEN VPN + RADIUS
« : 14 Ноябрь 2016, 20:08:54 »
Добрый день коллеги.
Есть FreeRadius Server (MYSQL)(ubuntu 14.04) к которому подключаются 4 openvpn server-a через radiusplugin(ubuntu 14.04).
Пользователи авторизуются успешно, но как организовать отключение пользователей по превышению трафика, или по истечении времени подписки.
ТФП:
1.Ограниченный по времени
2.Граниченный по MB

Прошу помощи кто уже сталкивался с данным кейсом?
Из того что решил уже:
1.Трафик собираю по snmp c Ovpn по snmp и пишу в Cacti настроены autodiscover вижу статистику по каждому пользователю.
2.PPTP L2TP реализованы с помощью accel-ppp и успешно блокируются.
« Последнее редактирование: 14 Ноябрь 2016, 20:12:06 от kamelotnsk »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #1 : 14 Ноябрь 2016, 23:43:26 »
Так OpenVPN или L2TP?
В любом случае к радиусу ваш вопрос не имеет прямого отношения.
Всё, что вам нужно, это инструментарий, который будет отслеживать и прекращать соединения.
« Последнее редактирование: 16 Ноябрь 2016, 17:50:47 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kamelotnsk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #2 : 16 Ноябрь 2016, 17:43:32 »
Так OpenVPN или L2TP?
В любом случае в радиусу ваш вопрос не имеет прямого отношения.
Всё, что вам нудно, это инструментарий, который будет отслеживать и прекращать соединения.
Протокол OpenVPN, и да как организовать отключение пользователя по средствам радиуса?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #3 : 16 Ноябрь 2016, 17:51:48 »
Как организовать закрытие двери посредством видеокамеры?…
У вас, батенька, iptables головного мозга.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kamelotnsk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #4 : 17 Ноябрь 2016, 18:28:00 »
AnrDaemon,
Как организовать закрытие двери посредством видеокамеры?…
У вас, батенька, iptables головного мозг

Троллиг, О Да давай....

Поехали по полочкам:
Разорвать сессию пользователя на radius сервере
Acct-Session-Id - таблица radacct колонка acctsessionid
User-Name - таблица radacct колонка username
NAS-IP-Address - таблица radacct колонка calledstationid - IP ноды
Отключаем одну сессию
echo -e "Acct-Session-Id=8120000d\nUser-Name=pptp\nNAS-IP-Address=XXX.XXX.XXX.XXX" | radclient -r 1 XXX.XXX.XXX.XXX disconnect ''node1-XXX.XXX.XXX.XXX''Отключаем несколько сессий
echo -e "Acct-Session-Id=8120000d\nUser-Name=pptp\nNAS-IP-Address=XXX.XXX.XXX.XXX\n\nAcct-Session-Id=8120000a\nUser-Name=pptp\nNAS-IP-Address=XXX.XXX.XXX.XXX\n\n" | radclient -r 1 XXX.XXX.XXX.XXX disconnect ''node1-XXX.XXX.XXX.XXX''

Пользователь добавил сообщение 17 Ноябрь 2016, 18:40:22:
Нет понимания как заблокировать в базе пользователя, и для OPEN vpn такая команда не работает.
« Последнее редактирование: 17 Ноябрь 2016, 18:40:22 от kamelotnsk »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #5 : 18 Ноябрь 2016, 00:52:49 »
При чём тут троллинг? Я вам указал на то, что вы мне сами только что сказали - у вас нет понимания. Не как заблокировать, а как это вообще работает.
Во-первых, RADIUS - это система доставки информации, сама по себе она не делает ВООБЩЕ НИЧЕГО. Т.е. абсолютно. Не хранит, не оценивает и не предпринимает НИКАКИХ ДЕЙСТВИЙ.
Если у вас БД - MySQL, то это ВЫ должны настроить вашу связь с базой так, чтобы предусмотреть возможность блокировки клиентов.
Совершенно типичный ответ на ваш вопрос: http://lists.freeradius.org/pipermail/freeradius-users/2011-September/055789.html
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн kamelotnsk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #6 : 21 Ноябрь 2016, 16:55:18 »
При чём тут троллинг? Я вам указал на то, что вы мне сами только что сказали - у вас нет понимания. Не как заблокировать, а как это вообще работает.
Во-первых, RADIUS - это система доставки информации, сама по себе она не делает ВООБЩЕ НИЧЕГО. Т.е. абсолютно. Не хранит, не оценивает и не предпринимает НИКАКИХ ДЕЙСТВИЙ.
Если у вас БД - MySQL, то это ВЫ должны настроить вашу связь с базой так, чтобы предусмотреть возможность блокировки клиентов.
Совершенно типичный ответ на ваш вопрос: http://lists.freeradius.org/pipermail/freeradius-users/2011-September/055789.html
Прошу прощения за резкость.
Хорошо да, в моем случае все настройки хранятся в MySQL, в том числе и таблица NAS отвечающая за авторизацию железок.
Как я понял в моем случае оптимально будет использовать связку LDAP+RADIUS+(OPENVPN+(MIKROTIK L2TP PPTP SSTP))+SQUID.
Пользователи подключаются к VPN серверу и потребляют трафик, который идет через squid, настройки ТФП, а именно шейпинг  канала я выставляю на уровне Radius, если мне надо заблокировать пользователя, я его отключаю в LDAP.
Что касаемо потребления трафика это все отдается в SQUID.
Как считаете такая схема имеет жизнь?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: OPEN VPN + RADIUS
« Ответ #7 : 21 Ноябрь 2016, 16:59:08 »
Почти любая схема имеет шанс на жизнь. Вопрос только в цене интеграции.
Если у вас УЖЕ есть рабочая LDAP схема, в которой предусмотрена возможность пареключения статуса аккаунта, то всё, что вам нужно - это настроить связь LDAP с RADIUS с учётом этого вашего переключателя, чтобы при попытке авторизации выдавался правильный результат.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.056 секунд. Запросов: 25.