Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (3) 1 2 3  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> ubuntu:pptpd + chap + скрипты, и htb
svip | Профиль
Дата 12 Марта, 2009, 15:03
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


понял. перепешу под mysql и буду пользоваться. спасибо огромное. smile.gif


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
svip | Профиль
Дата 13 Марта, 2009, 22:05
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Смотрел так же параллельно фрирадиускрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипт. Перечитал кучу доков, поднял. Но так толком и не понял зачем он нужен? юзаетскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптя как модуль для авторизации pppd. читает данные из базы, файлов и тд. Запускрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткает внешние скрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипты. ВСЕ???? так этот же функционал можно реализовать одним скрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптиком. Зачем держать запущенный процескрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипт? Или я так и не нашел нормального объяскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптнения и опискрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптания его функционала. Кто "в курскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипте" подскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткажите. Так же вопроскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипт про SQUID. Прокскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипти- то понятно, логи скрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптоздает - хорошо. Порт 80 и 21 только - плохо. Ескрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптть что то аналогичное для мониторинга трафика пользователей по вскрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткрипткриптем портам?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
23/5345   
svip | Профиль
Дата 15 Марта, 2009, 1:10
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Народ подскажите где почитать про параметр Framed-.... для freeradius? особенно интересует Framed-routing
Перерыл весь гугл, но толком описания не нашел.


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
12/5345   
exn | Профиль
Дата 15 Марта, 2009, 5:15
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1421
Регистрация: 27.07.06
Авторитет: 0
Вне форума

Предупреждения:
(20%) X----


документация с офф сайта. Мне кажеться что ее там предостаточно чтобы разобраться с радиусом вплоть до самых мелочей.
PM
svip | Профиль
Дата 15 Марта, 2009, 16:43
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


exn
Спасибо. изучаю. хотелось бы на родном языке почитать. Дело быстрее пойдет.

В общем радиус поднят успешно с sql авторизацией. Но повились другие приколы из области фантастики. с киентских машин некоторые сайты вообще не работают. например nivea.com. Даже не пингуются. или mail.ru грузится, как будто сидит клиент на древнем модеме. Остальные сайты - норма (300-400 кб.с). Прокси никакой не стоит. траф пока никуда не заворачивал. На серваке все грузитсяи пингуется нормально.

Как решить?

из iptables только открыт пор для входящих vpn и маскарад

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ! eth0 -j MASQUERADE


(eth0 - смотрит в сетку, eth1 - к провайдеру, ppp0 - vpn допровайдера, ppp1-pppN - тунели клиентов).

Причем если в iptables юзать только первый маскарад (должно по идее работать) - то клиенты не получают нет, если юзать второй - все работает. Добился опытным путем, хотя недогоняю почему так "-o ! eth0", а вооще нужно дать прямойдоступ только к некоторым сетям, а все остальное переправлять с pppN на ppp0. Может кто подскажет рациональное решение?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
26/5345   
Пэтро | Профиль
Дата 15 Марта, 2009, 17:12
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


svip
Насколько я понмню надо

iptables -t nat -A POSTROUTING -o "ppp1-pppN - тунели клиентов" -j MASQUERADE


По идее надо в IP-UP прописать
iptables -t nat -A POSTROUTING -o "$1" -j MASQUERADE


Первая твоя запись вообще неправильная.
А вторая разрешает маскарадинг на все интерфейсы кроме eth0
PMEmail Poster
3/20841   
exn | Профиль
Дата 15 Марта, 2009, 17:56
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1421
Регистрация: 27.07.06
Авторитет: 0
Вне форума

Предупреждения:
(20%) X----


Не совсем. -o = output device. Соответственно нужно правило для исходящего интерфейса + обязательно только то что нужно маскарадить. Но ! Я смотрю тут eth интерфес, тогда надо использовать snat. Случай с POSTROUTING -j MASWQUERADE не прокатит в данном случае.

Насчет документации - сильно сомневаюсь что есть перевод. По framed-route могу сказать что он тебе понадобиться только если используеш mikrotic.

По поводу лагов

iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

PM
3/5313   
exn | Профиль
Дата 15 Марта, 2009, 17:58
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1421
Регистрация: 27.07.06
Авторитет: 0
Вне форума

Предупреждения:
(20%) X----


Да, и mtu в options поставь немного меньше чем на исходящем.
PM
1/5313   
Пэтро | Профиль
Дата 15 Марта, 2009, 18:21
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата(exn @ 15 Марта, 2009, 16:56)
Не совсем. -o = output device.

Тьфу точно.

Я обычно делаю iptables -t nat -A POSTROUTING -s "Айпиадрес клиента" -d 0/0 -j MASQUERADE
PMEmail Poster
3/20841   
svip | Профиль
Дата 15 Марта, 2009, 21:49
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Код
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


точно лаги прекратились., хотя раньше везде прописывал mtu 1400 и вроде должно было работать.


[code]iptables -t nat -A POSTROUTING -s "Айпиадрес клиента" -d 0/0 -j MASQUERADE[quote]

у меня у клиентов адреса 11.0.0.1-11.0.0.252 (на eth0 смотрят). А когдасоздаются ppp соединения радиус дает адреса 192.168.0.2-192.168.0.254 получается нужно прописать в ip-up

[code]iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 0/0 -j MASQUERADE[quote]

или

[code]iptables -t nat -A POSTROUTING -s 11.0.0.2 -d 0/0 -j MASQUERADE[quote]

??

и чтобы сделать маршрут на определенные сети (192.168.2.0/24) не через ppp нужно прописать
[code]iptables -t nat -A INPUT -s 11.0.0.2 -d 192.168.2.0/24 -j ACCEPT[quote]

Правильно?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
3/5345   
Пэтро | Профиль
Дата 16 Марта, 2009, 0:29
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата(svip @ 15 Марта, 2009, 20:49)
[code]iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 0/0 -j MASQUERADE
Цитата

Тот что выдается ppp


[quote=svip, 15 Марта, 2009, 20:49]и чтобы сделать маршрут на определенные сети (192.168.2.0/24) не через ppp нужно прописать
[code]iptables -t nat -A INPUT -s 11.0.0.2 -d 192.168.2.0/24 -j ACCEPT[quote]


Маршруты изменяются коммандой route и делать это лучше на клиенте. Т.к. по умолчанию все будет идти через ppp.
PMEmail Poster
3/20841   
svip | Профиль
Дата 17 Марта, 2009, 22:28
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Как мотключитьтключитьтключитьжнотключитьтключитьтключить протключитьтключитьтключитьграммнотключитьтключитьтключить отключитьтключитьтключитьтключить ppp соединениеоединениеоединениеотключитьтключитьтключитьединение? через радиусоединениеоединениеоединение или напрямую?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
3/5345   
Pretender | Профиль
Дата 18 Марта, 2009, 0:17
Quote Post




Group Icon

Группа: Старожил
Сообщений: 2249
Регистрация: 11.10.06
Авторитет: 35
Вне форума

Предупреждения:
(60%) XXX--


через радиус я не наю, а так вообще kill -9 ....


____________________
Are you a doсtor???
I'am today......
+79787927860
PMEmail PosterUsers Website
exn | Профиль
Дата 18 Марта, 2009, 0:59
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1421
Регистрация: 27.07.06
Авторитет: 0
Вне форума

Предупреждения:
(20%) X----


Через радиус нет. Stop приходить от клиента.
PM
Пэтро | Профиль
Дата 18 Марта, 2009, 12:39
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата(Pretender @ 17 Марта, 2009, 23:17)
kill -9 ...

А как выбрать правильное PPP ?
PMEmail Poster
1/20841   
svip | Профиль
Дата 18 Марта, 2009, 16:11
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


Пэтро
думаю можно сделат так.
добавить новый параметр AV в словарь радиуса и при коннекте писать в файл radattr.ppp5 типа UserName=ppp5.
потом скрпитом выбирать этот параметр и гасить его.

Так же несовсем удобно что статистика пишется в базу только после завершения сессии. может есть параметр чтобы статистика (кол-во байт принятое и отправленное) писалось через определенный промежуток времени?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
2/5345   
svip | Профиль
Дата 20 Марта, 2009, 0:42
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


набросал на скорую руку скрипт сбора данных о подключенных клиентах по vpn (с использованием радиуса)

Код

<?php
function getPppIpVpn($dirname)
 {
   // Открываем текущую директорию
   $dir = opendir($dirname);
   // Читаем в цикле директорию
   while (($file = readdir($dir)) !== false)
   {
     // Если файл обрабатываем его содержимое
     if($file != "." && $file != "..")
     {
       // Если имеем дело с файлом - производим в нём замену
       if(is_file($dirname."/".$file))
       {
         $ext = strtolower(array_pop(explode(".", $file)));
         $name=substr($file,0,strlen($file)-strlen($ext)-1);
         if ($name=="radattr")
         {
           $f = fopen($dirname."/".$file, "r");
           while (! feof($f))
           {
             $data = fgets($f,4096);
             $n=strpos($data,"Framed-IP-Address");
             if (is_numeric($n)) $arr[substr($data,$n+18,strlen($data)-$n-18)]=$ext;
           }
           fclose($f);
         }
       }
     }
   }
   // Закрываем директорию
   closedir($dir);
  return $arr;
}


$dirname = "/var/run";
$arr=getPppIpVpn($dirname);
foreach ($arr as $k=>$v) echo "k=".$k." => v=".$v."<br>";

?>


В итоге получаем массив с ключем - адрес Ip vpn и значением - pppX

например

$arr[192.168.0.5]=ppp8; И тд. а далее уже и убиваем соединение килом.



P.S. Нужно выбрать данные из базы и произвести некоторые действия (отрубание клиента или обновление данных в базе в зависимости от условий.) Вижу два варината - bash и си. Что лучше? что быстрее? что надежнее. Щас написал на баше скрипт вытягивания данных по крону, проверка лимита трафика, срока использования (для безлимиток), отрубление клиента и запрет на подключения путем записи в базу radcheck значения Auth-Type=reject вместо Accept. Вот думаю может лучше на си переписать? что скажите?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
5/5345   
exn | Профиль
Дата 20 Марта, 2009, 3:57
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1421
Регистрация: 27.07.06
Авторитет: 0
Вне форума

Предупреждения:
(20%) X----


Почему аккаунтинг не работает ?
PM
svip | Профиль
Дата 20 Марта, 2009, 12:48
Quote Post




Group Icon

Группа: Gold Member
Сообщений: 1493
Регистрация: 30.11.06
Авторитет: 13
Вне форума

Предупреждения:
(0%) -----


exn
то есть не работает?


____________________
Двое всегда договорятся, если хотя бы один из них – не дурак.
PMEmail Poster
Eugene | Профиль
Дата 20 Марта, 2009, 13:01
Quote Post



Юджин
Group Icon

Группа: VIP
Сообщений: 2047
Регистрация: 12.08.03
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


svip
ставь фрю и абиллс
там все работает bigwink.gif


____________________
Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
PMEmail Poster

Topic OptionsСтраницы: (3) 1 2 3  Start new topic Start Poll 

 



[ Script Execution time: 0.0898 ]   [ 13 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top