Статьи Галерея Форум Чат Файлы HowTo Ссылки Поиск
Текущее время: 21 сен 2019, 13:00




Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: VPN: привязка ip или mac к логину.
СообщениеДобавлено: 20 дек 2006, 22:14 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
вобщем картина такая: есть биллинг локалки, траффик считается роутерами исходя из мака и айпишника и передается на биллинг сервак.

в домашних сетях народ более хитрый, нежели зажравшиеся буржуи из элитных домов, которых мы подключаем лично. юзеры самопальных дом.сетей без труда меняют маки и тырят друг у друга траффик, в результате получается нехорошо. я бы такую конфигурацию отверг изначально, но все это начиналось задолго до меня и теперь все надо переделывать.

решили внедрять VPN на линуксе и соответствующий биллинг который мы обсудим отдельно. но сразу остановить старый биллинг и поднять новый вот так разом нельзя. надо постепенно заменять компоненты всей системы по одному. таким образом считать траффик непосредственно по VPN интерфейсам не представляется возможным. траффик считается на роутерах, которые лежат между юзерами и VPN серваком, по прежнему, по маку и айпишнику. незная логин нельзя выйти в инет, но можно выходить по своему логину с чужим маком и айпишником. задача - позволить логинится на определенные логины только с определенных айпишников(несоответствие мака и айпишника отловит роутер). решение временное, но необходимое.

второй вариант решения - парсить логи и вылавливать несоответствие логина и айпишника при поднятии ppp линков, но это уж совсем брутальный костыль.

третий вариант, windows style - при жалобах на воровство траффика копатся в логах руками.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: VPN: привязка ip или mac к логину.
СообщениеДобавлено: 20 дек 2006, 23:59 
Интересующийся

У нас с: 11.08.2002
Сообщения: 44
vpn - pptp (poptop+pppd)?

Дебильный вариант добавть в конец /etc/ppp/ip-up что-то типа:

remote=`cat /path/to/user/file | grep "^$PEERNAME" | awk '{print $2}'`
[ -n "$remote" -a "$remote" != "$6" ] && { sleep 1 ; kill -term `cat /var/run/$IFNAME.pid` ; } &

Где файл /path/to/user/file имеет вид:
name ip

Правильный вариант - через радиус.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 21 дек 2006, 11:54 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
pptp(кстати, а лучшее ли это решение?)

и какие свободные и нелажовые реализации радиуса бывают?


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 21 дек 2006, 12:07 
Фанатеющий

У нас с: 13.03.2006
Сообщения: 145
Откуда: Minsk, BY
лучше решение это cisco+radius или mpd+radius+*bsd на худой конец.
Хотя циско все равно говно :) Там тоже проблем хватает.

_________________
Join jabber.org.by. avb@jabber.org.by


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 21 дек 2006, 13:00 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
а что за mpd и почему именно под БСД?

я к тому, что существует еще pppoe и это я еще не пробывал.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 21 дек 2006, 15:58 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
1.я честноговоря не совсем просек как именно работает скрипт предложенный в качестве дебильного варианта. и как его написать - не совсем представляю. что передается в качетсве шестого параметра и откуда оно берется? да и awk я как-то не пользовался. в чем смысл? поясни плиз.

2.как достичь аутентификации средствами радиуса - я понял, но как не позволять юзеру аутентифицироватся, если он лезет с чужого айпишника - тоже пока не ясно.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 21 дек 2006, 17:32 
Интересующийся

У нас с: 11.08.2002
Сообщения: 44
tes+or писал(а):
что передается в качетсве шестого параметра и откуда оно берется?


man pppd, man pptpd - ip.

tes+or писал(а):
в чем смысл? поясни плиз.


Прибить процесс pppd. Получится юзер залогинится, но его сразу выкинет.

tes+or писал(а):
я понял, но как не позволять юзеру аутентифицироватся, если он лезет с чужого айпишника - тоже пока не ясно.


А это уж как ты в радиус сервере определишь.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 22 дек 2006, 12:13 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
Цитата:
man pppd, man pptpd - ip.

еще раз. как именно получается айпишник? если ты говоришь об айпишнике ppp интерфейса, то с одного конца, это локальный айпишник для сервака, а с другого - то что выдается клиенту. айпишник опорной сети в мане вообще нигде не фигурирует, я его читал и проблема именно в этом.

узнать бы айпишник с которого юзер логинится, а там я уже разберусь.

---

насчет радиуса - допустим. посмотрю еще - может пойму.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 22 дек 2006, 12:52 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 06.02.2002
Сообщения: 9760
Откуда: Менск
tes+or, гм, а окночные точки построены на нормальном оборудовани или мыльницах? Т.е. из самого тривиального - поднять на окончных свичах 802.1Q VLAN'ы и запихивать в них юзеров...

_________________
Опыт растет прямо пропорционально выведенному из строя оборудованию


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 24 дек 2006, 00:40 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
хм.. *сделал вид что понял* там где у нас стоят управляемые свичи мы все на уровне физического порта и рубим, а вот там где цепочки из мыльниц, там и юзеры поумнее не от хорошей жизни и следить за ними сложнее в виду специфики мыльниц, что и порождает проблему, решить которую я и задумал при помощи VPNа, а для этого надо как-то получать айпишник юзера с которого он, юзер, коннектится.

я пока что видел этот айпишник только в логах на дебаг режиме(кажется) и пока ничего лучше чем автоматический разбор логов не придумал. логи пишутся в файл, файл периодически читает перл скрипт на кроне и проверяет, какие логины логинились с каких айпишников, и если все без обмана - не трогает юзера, а если он слишком хитрый, делает соответствующему процессу kill -9, после чего(в обоих случаях) делает логу ротэйт.

почти смешно, да

будут идеи попрозаичнее?


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 24 дек 2006, 01:27 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 06.02.2002
Сообщения: 9760
Откуда: Менск
tes+or, в случе debian и pptpd (poptop) в качестве шестого праметра скриптам из /etc/ppp/ip-up.d/ передается IP клиентского компа. Судя по всем, в переменно $PEERNAME по мнению tungus содержится логин юзера....

_________________
Опыт растет прямо пропорционально выведенному из строя оборудованию


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 24 дек 2006, 09:48 
Интересующийся
Аватара пользователя

У нас с: 11.11.2006
Сообщения: 47
http://linuxforum.ru

_________________
Всегда найдешь ответ


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 24 дек 2006, 12:47 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
гхм..


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 26 дек 2006, 14:01 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
Llama,
из коммента в ip-up:

Код:
# the followings parameters are available:
# $1 = interface-name
# $2 = tty-device
# $3 = speed
# $4 = local-IP-address
# $5 = remote-IP-address
# $6 = ipparam


из мана pppd:

Код:
 ipparam string
              Provides an extra parameter to the ip-up, ip-pre-up and ip-down scripts.  If this option is  given, the string supplied is given as the 6th parameter to those scripts.


т.е. это айпишник клиента по дефолту если этому параметру не назначить что-то другое? пока не проверял, но по логике это работать не должно.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 26 дек 2006, 14:07 
Неотъемлемая часть форума
Аватара пользователя

У нас с: 16.12.2004
Сообщения: 535
Откуда: minsk
да, наверное я туговат на английский или что-то в этом духе, но это в самом деле передает скрипту айпишник клиента по опорной сети.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
[ All resources are available under GNU GPL ] [ Support ] [ Hosted by DataHata | MyCloud.by ] [ Powered by phpBB® Forum Software © phpBB Group ]

LVEE Winter LVEE Rambler's Top100