LMS + RADIUS - inne podejście.
Przepraszam, że tworzę nowy wątek, ale chciałbym podejść do tematu z trochę innej strony. Na chwilę obecną niepotrzebnie (IMHO) rozwodzimy się nad implementacją zamiast wspólnie ustalić konkretny zestaw ficzerów i zwyczajnie zaimplementować.
Napiszcie, do czego potrzebny Wam RADIUS, może zacznę ja:
WIFI: - autoryzacja po adresie MAC, sama lub w połączniu z 802.1x (login+haslo). ( bez konieczności określania w LMS , z której ma korzystać, aczkolwiek jeżeli komuś zależy na uściśleniu , to można dodać.) - zbieranie info o tym , kto do jakiego radia się podłaczył (post auth w radiusie) - przypisanie klienta do konkretnego portu (SSID) ( równie dobrze może być to port w switchu czy innym urządzeniu, o ile wspiera radiusa i przekazuje w rządaniu odpowiednie atrybuty)
PPPoE: - baza loginów i haseł - przypisanie do konkretnego koncentratora - accounting.
Ktoś jeszcze czegoś potrzebuje ? Dopisywać , byle bez duplikowania.
Pozdrawiam.
!DSPAM:49a5d1e1241051614647931!
----- Original Message -----
From: "Przemysław Kudyba" przemekk@zwierzu.zepsul.net To: "lista użytkowników LMS" lms@lists.lms.org.pl Sent: Thursday, February 26, 2009 12:20 AM Subject: [lms] LMS + RADIUS - inne podejście.
[...] Ktoś jeszcze czegoś potrzebuje ? Dopisywać , byle bez duplikowania.
Mam już zrobione radius+pppoe+LMS. Jedyne co mi do szczęścia potrzebne to dorobienie statystyk z accountingu radiusa per klient. Kiedyś o to pytałem, ale zostało bez odpowiedzi. Więc może teraz coś z tego będzie, poniżej wklejam tamtego posta bo nie chce mi się jeszcze raz go pisać (kopia maila sprzed kilku miesięcy - lekko zmodyfikowana):
----- Original Message ----- From: Maciej Kostyra To: lms@lists.lms.org.pl Sent: Sunday, November 30, 2008 10:01 PM Subject: [lms] LMS + statystyki radiusa
Witam, moze ktos pomoze ? :)
U mnie w sieci klienci loguja sie przez pppoe. Wszystkiego pilnuje radius weryfikujac wprowadzane loginy i hasla z tymi z bazy LMS'a. Dane o sesjach zapisywane sa w tabeli radacct (jest to tabela dolozona dodatkowo do bazy LMS). Przegladajac te tabele wiem kiedy klient sie logowal ostatnio, jak dlugo trwala sesja, co bylo powodem rozlaczenia, ile danych sciagnal i ile wyslal... Napisalem sobie do tego osobny panel w php, ale fajnie by bylo miec mozliwosc przegladania tych danych z poziomu LMS'a. Niestety tabela "stats" w bazie LMS zawiera tylko cztery pola: nodeid, dt, upload, download.
Pelnia szczescia by bylo dla mnie gdyby mozna bylo dodac do niej pola jak w tabeli radiusa, tj: `RadAcctId` - id tabeli `UserName` - nazwa uzytkownika (login) `NASIPAddress` - adres IP NAS'a `AcctStartTime` - dokladna data i godzina nawiazania sesji pppoe `AcctStopTime` - dokladna data i godzina rozlaczenia `AcctSessionTime` - czas trwania sesji `CallingStationId` - adres MAC usera `AcctTerminateCause` - powod rozlaczenia `FramedIPAddress` - adres IP usera
Nie pytam jak dodac pola do tabeli, bo z tym problemów nie bedzie, tylko jak przerobic LMS'a zeby spelnial moja mala liste zyczen:
1. Menu "STATYSTYKI" a). opcji filtr, ostatnia godzina, dzien, 30 dni, rok - nie trzeba by prawie zmieniac (dołożyć by trzeba było kilka kolumn przy wyświetlaniu) b). Kompaktowanie - tu z pewnoscia potrzebne beda zmiany skoro potrzebna jest zmiana tabeli 'stats' c). Raporty - po odfiltrowaniu danego klienta oraz okresu czasu, chcialbym aby drukowalo tabelke jak ponizej: login | start sesji | stop sesji | download | upload | przyczyna rozlaczenia 2. W Informacjach o komputerze jest opcja "ostatnio wlaczony" - tu tez chcialbym zmienic aby pobieralo ostatnią pozycję z pola AcctStartTime tabeli stats 3. W Informacjach o komputerze chcialbym tez dodac link "wydrukuj statystyki" obok przyciskow "edytuj, usun, anuluj" - statystyki otwieraly by sie w pop-upie ale identycznie jak w pkt 1.c) powyzej 4. Można by było jeszcze dodać w konfiguracji LMSa wybór rodzaju statystyk (np. simple - takie jak sa teraz, radiuspppoe - opisane przeze mnie) użytkownik sam decydowałby jakie chcemy mieć statystyki...
!DSPAM:49a5e2e3293231252921014!
accounting jest już w wypisanych przeze mnie funkcjonalnościach , prosiłem żeby nie dublowac.
!DSPAM:49a5e3a3298054062814199!
Dnia 26 lutego 2009 0:20 Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Przepraszam, że tworzę nowy wątek, ale chciałbym podejść do tematu z trochę innej strony. Na chwilę obecną niepotrzebnie (IMHO) rozwodzimy się nad implementacją zamiast wspólnie ustalić konkretny zestaw ficzerów i zwyczajnie zaimplementować.
Co do innego podejścia, rozmawiałem na MUMie z Czechem który ma tam sieć na jakieś 2 tys. klientów. On zarządzanie pasmem przerzucił na końcówki klienckie (mówimy o MT). Klient łączy się z radiusem i zakłada sam sobie SQ na interfejsie. Ja tu w sumie widzę 2 plusy: pierwszy jest taki, że klient nie będzie przeciążał radia niepotrzebnym ruchem, który jest kształtowany zanim wyjdzie z CPE (szczególnie w przypadku DoSa), drugie to mniejsze zużycie procesora na stacji bazowej. Minusem może być to, że każde CPE trzeba by wpuścić do radiusa. Ale jeśli ma być robiona integracja LMSa z radiusem, może by warto było się nad tym zastanowić. Można by np. potraktować login lub hasło pppoe klienta jako pole secret dla radiusa.
Pozdrawiam glaca
!DSPAM:49b01bdb148621310814384!
Co do innego podejścia, rozmawiałem na MUMie z Czechem który ma tam sieć na jakieś 2 tys. klientów. On zarządzanie pasmem przerzucił na końcówki klienckie (mówimy o MT)
Oczywiście że pasmo powinno się ograniczać także na końcówkach klienckich, ale w centralnym punkcie też musi być coś co reguluje pasmo całości inaczej cała sieć działa kiepsko nawet jak nie jest przeciążana. Wprowadzanie ograniczeń po stronie klientów i regulacji w centralnym punkcie zdecydowania poprawia jakość takie sieci jako całości i jest koniecznością w dużych sieciach Pozwolenie żeby klienci hasali sobie z AP z pełną prędkością na jaką pozwala radio to samobójstwo.
Dariusz Kowalczyk
!DSPAM:49b01f56152675750622685!
Dnia 5 marca 2009 19:52 "Dariusz Kowalczyk - Webvisor" dariusz.kowalczyk@webvisor.pl napisał(a):
Co do innego podejścia, rozmawiałem na MUMie z Czechem który ma tam sieć na jakieś 2 tys. klientów. On zarządzanie pasmem przerzucił na końcówki klienckie (mówimy o MT)
Pytanie po co, skoro SQ zakłada serwer pppoe (w MT, na interfejsie radiowym do którego bezpośrednio jest podłączony klient - jest to samo, może troszkę mniej obciąża MT na bazie, ale jednocześnie dajesz hasła do radius'a na CPE, co moim zdaniem jest niedopuszczalne).
Poza tym, SQ nie trzyma zbyt dobrze kolejek.
Ale jak to rozwiążesz u siebie, to w sumie nie ma za wiele wspólnego z tym jak to będzie obsługiwał LMS.
Pozdrawiam
!DSPAM:49b02d93181172010814668!
Poza tym, SQ nie trzyma zbyt dobrze kolejek.
wiesz z wlasnych doswiadczen czy powielasz plotki, pytam bo uzywam tego produkcynie i jestem ciekaw opinii innych.
Ale jak to rozwiążesz u siebie, to w sumie nie ma za wiele wspólnego z tym jak to będzie obsługiwał LMS.
dokladnie, w sumie uzywanie radiusa jak i sposob w jakis sie go uzywa jest zalezne od indywidualnych potrzeb kazdego z nas
Dnia 5 marca 2009 21:06 Robert cyberm@sarocom.net napisał(a):
Poza tym, SQ nie trzyma zbyt dobrze kolejek.
wiesz z wlasnych doswiadczen czy powielasz plotki, pytam bo uzywam tego produkcynie i jestem ciekaw opinii innych.
Z własnych doświadczeń - też używam, ale dodatkowo mam HFSC na centralnym routerze. na SQ mam trochę większe kolejki niż na centralnym routerze. Staram się dbać o to, że jak klient "wyssa" swoje pasmo np. przez p2p, to jeszcze stronki mu działają przyzwoicie. na SQ nie da się tego osiagnąc. Na pewno SQ ma problem z jumbo frames.
!DSPAM:49b0c66950141327519691!
malpi pisze:
Dnia 5 marca 2009 19:52 "Dariusz Kowalczyk - Webvisor" dariusz.kowalczyk@webvisor.pl napisał(a):
Co do innego podejścia, rozmawiałem na MUMie z Czechem który ma tam sieć na jakieś 2 tys. klientów. On zarządzanie pasmem przerzucił na końcówki klienckie (mówimy o MT)
Pytanie po co, skoro SQ zakłada serwer pppoe (w MT, na interfejsie radiowym do którego bezpośrednio jest podłączony klient - jest to samo, może troszkę mniej obciąża MT na bazie, ale jednocześnie dajesz hasła do radius'a na CPE, co moim zdaniem jest niedopuszczalne).
Poza tym, SQ nie trzyma zbyt dobrze kolejek.
Ale jak to rozwiążesz u siebie, to w sumie nie ma za wiele wspólnego z tym jak to będzie obsługiwał LMS.
Pozdrawiam
Problem w tym, że jeżeli CPE wypuści floodzika, to na dropowanie na bazie jest już cokolwiek za późno, bo radio przyjmie każdy ruch jaki się do niego wyśle. SQ na CPE to niegłupi pomysł.
Jaki widzisz problem w podaniu radiusowego secreta klientowi, skoro każdy może mieć swój własny.
!DSPAM:49b03eb6230027818312239!
Problem w tym, że jeżeli CPE wypuści floodzika, to na dropowanie na bazie jest już cokolwiek za późno, bo radio przyjmie każdy ruch jaki się do niego wyśle. SQ na CPE to niegłupi pomysł.
Stosujesz pppoe? Nie jest za późno. to nie jest tak jak normalnie na radiu - masz tunel pppoe, a SQ jest zakładane właśnie na sesji pppoe - nie ma znaczenia na którym końcu tunelu założysz SQ, będzie działać tak samo z tą różnicą, że obciąży się procek nadajnika a nie CPE.
Jaki widzisz problem w podaniu radiusowego secreta klientowi, skoro każdy może mieć swój własny.
Ale w takim wypadku CPE staje się NAS'em - nie wydaje mi się, aby taki był zamysł twórców radius'a. Poza tym u mnie np. instalatorzy mają dostęp do CPE więc automatycznie mieliby dostęp do tych danych. Wolę dmuchać na zimne :P
!DSPAM:49b0c94653921703090906!
W dniu 6 marca 2009 07:57 użytkownik malpi malpi@o2.pl napisał:
Stosujesz pppoe? Nie jest za późno. to nie jest tak jak normalnie na radiu - masz tunel pppoe, a SQ jest zakładane właśnie na sesji pppoe - nie ma znaczenia na którym końcu tunelu założysz SQ, będzie działać tak samo z tą różnicą, że obciąży się procek nadajnika a nie CPE.
Ale w takim wypadku CPE staje się NAS'em - nie wydaje mi się, aby taki był zamysł twórców radius'a. Poza tym u mnie np. instalatorzy mają dostęp do CPE więc automatycznie mieliby dostęp do tych danych. Wolę dmuchać na zimne :P
malpi ma racje i potwierdzam to produkcyjnie ;)
!DSPAM:49b0d71764259031758699!
W dniu 6 marca 2009 10:16 użytkownik Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał:
Że niby co?
ze niby to, ze jezeli masz tylko tunel pppoe masz wylaczone wszystkie inne protokoły na interfejsie, to jezeli zalozysz na tunelu jakie kolowiek ograniczenie chocby dropy... to bardzo ciezko jest zabic taki interfejs, wiem bo mialem przypadek ze gosc floodowal pozatym pamietaj o tym ze taki userek nie jest w stanie zapchac ci calego interfejsu... potrzeba by bylo co najmniej 2, 3 takich, ale jak masz radiusa i oprocz pppoe robisz 802.1x to mozesz takiego goscia wyjebac z radia w 5 sekund,
3 sprawa skoro masz cpe mikrotika, to chyba dobrze jest wlaczyc polling, wtedy naprawde jest ciezko zapchac taki interfejs
co do robienia nasow na cpe, to troszke poroniony pomysł. już lepiej shapować sam interfejs radia cpe, niz robic na cpe nasa. Rozumiem że ideologia jest taka zeby odlozyc userka jak najdalej od sieci (po to jest radius i ideologia nasow), ale robić nasa na cpe, to juz troszke paranoja ;), ale wolnoć tomku w swoim domku..
Nie każdy ładuje CPE mikrotika klientom....
!DSPAM:49b0eebd83056908914954!
Michał Gacek pisze:
ze niby to, ze jezeli masz tylko tunel pppoe masz wylaczone wszystkie inne protokoły na interfejsie, to jezeli zalozysz na tunelu jakie kolowiek ograniczenie chocby dropy... to bardzo ciezko jest zabic taki interfejs, wiem bo mialem przypadek ze gosc floodowal pozatym pamietaj o tym ze taki userek nie jest w stanie zapchac ci calego interfejsu... potrzeba by bylo co najmniej 2, 3 takich, ale jak masz radiusa i oprocz pppoe robisz 802.1x to mozesz takiego goscia wyjebac z radia w 5 sekund,
No ale ameryki tu nie odkryłeś :)
3 sprawa skoro masz cpe mikrotika, to chyba dobrze jest wlaczyc polling, wtedy naprawde jest ciezko zapchac taki interfejs
No ba.
co do robienia nasow na cpe, to troszke poroniony pomysł.
Zapomniałeś dodać "moim zdaniem" ;)
już lepiej shapować sam interfejs radia cpe, niz robic na cpe nasa. Rozumiem że ideologia jest taka zeby odlozyc userka jak najdalej od sieci (po to jest radius i ideologia nasow), ale robić nasa na cpe, to juz troszke paranoja ;), ale wolnoć tomku w swoim domku..
Pytanie dotyczyło "dmuchania na zimne" w kwestii znajomości radius secret przez techników i praktycznego tego wykorzystania, bo odniosłem wrażenie, że przytaknąłeś malpiemu w tej kwestii.
Nie każdy ładuje CPE mikrotika klientom....
Nie każdy może też zrobić użytek z potencjalnych korzyści z tego płynących.
Zarządzanie pasmem przerzucone na końcówki klienckie to nie był mój pomysł - poprostu mi się spodobał, bo jest to najlepsze (imho) podejście do kwestii ograniczania pasma w sieci, co nie oznacza wcale, że jest najprostsze do zrobienia. Robienie tego via radius to też nie mój pomysł (nawet nie mam koncepcji jak to elegancko zrealizować).
Pozdrawiam.
!DSPAM:49b0f21986987818312239!
Wracając do tematu uważam, że glaca nie do końca zrozumiał tego czecha... napewno chodzilo mu o to ze cpe jest nasem a do tego nasa wpina sie klient juz po kablu czy czym kolwiek, za pomoca chociazby pppoe, wtedy cpe nakłada SQ, na tunel miedzy cpe a komputerem klienta, Co do rozwiazania tego to nie mozemy uzyc login i hasla jako secretu, raczej powinno sie dodawac kazdego cpe do bazy jako NASA i tyle,
!DSPAM:49b12687128587818312239!
Michał Gacek pisze:
Wracając do tematu uważam, że glaca nie do końca zrozumiał tego czecha... napewno chodzilo mu o to ze cpe jest nasem a do tego nasa wpina sie klient juz po kablu czy czym kolwiek, za pomoca chociazby pppoe, wtedy cpe nakłada SQ, na tunel miedzy cpe a komputerem klienta, Co do rozwiazania tego to nie mozemy uzyc login i hasla jako secretu, raczej powinno sie dodawac kazdego cpe do bazy jako NASA i tyle,
Tak, my w ten sposób małe bloki podpinamy (~10 klientów na blok) i dokładnie tak to wygląda.
!DSPAM:49b12b48133226258220944!
W dniu 6 marca 2009 14:58 użytkownik Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał:
Michał Gacek pisze: Tak, my w ten sposób małe bloki podpinamy (~10 klientów na blok) i dokładnie tak to wygląda.
przy tylu klientach ma to sens, ale to już chyba nie jest CPE ;), chyba ze wpinacie tego nasa dla 10 klientow po normalnym radiu dla klientow, ale przeciez to wszystko teraz to kwestia terminologi
BTW: CPE - client premises equipment, sprzęt zainstalowany na posiadłosci klienta sluzacy do odbioru łącza, przez tego klienta, z reguły sam za takie urządzenie płaci, w jawny badz nie jawny sposób... ;)
!DSPAM:49b12cf2138112889253296!
Dnia 6 marca 2009 10:36 Michał Gacek michal.gacek@gmail.com napisał(a):
ze niby to, ze jezeli masz tylko tunel pppoe masz wylaczone wszystkie inne protokoły na interfejsie, to jezeli zalozysz na tunelu jakie kolowiek ograniczenie chocby dropy... to bardzo ciezko jest zabic taki interfejs, wiem bo mialem przypadek ze gosc floodowal pozatym pamietaj o tym ze taki userek nie jest w stanie zapchac ci calego interfejsu...
Cięcie pasma na CPE ma na celu: Po pierwsze primo wyeliminować niepotrzebny ruch na radiu. Po drugie primo zminimalizować ryzyko zakłócenia pracy sieci przez floody. (nie będę się spierał czy chodzi o zabicie całego interfejsu czy 5/4 czy 1/2) Po trzecie primo odciążenie stacji bazowej. Przy włączonym Nstreme, SQ czy koncentratorze pppoe procesor RBka szybko się kończy.
Generalnie zwiększenie bezpieczeństwa/niezawodności i redukcja kosztów.
potrzeba by bylo co najmniej 2, 3 takich, ale jak masz radiusa i oprocz pppoe robisz 802.1x to mozesz takiego goscia wyjebac z radia w 5 sekund,
Możesz siedzieć patrzyć w statystyki co się dzieje w sieci, a możesz chwilę pomyśleć przy budowie sieci i zająć się tak pożytecznym zajęciem jak np. picie piwa :)
3 sprawa skoro masz cpe mikrotika, to chyba dobrze jest wlaczyc polling, wtedy naprawde jest ciezko zapchac taki interfejs
pooling to nie kaszpirowski - nie rozwiązuje całego zła tego świata
co do robienia nasow na cpe, to troszke poroniony pomysł. już lepiej shapować sam interfejs radia cpe, niz robic na cpe nasa. Rozumiem że ideologia jest taka zeby odlozyc userka jak najdalej od sieci (po to jest radius i ideologia nasow), ale robić nasa na cpe, to juz troszke paranoja ;), ale wolnoć tomku w swoim domku..
Wytłumacz mi w czym widzisz problem, żeby zrobić NASa na CPE? Wydaje mi się, że po to korzystamy z radiusa, żeby ograniczyć niepotrzebne czynności związane z obsługą i serwisowaniem sieci. Skoro można gdzieś go wykorzystać do automatyzacji procesu przydzielania transferow, to po robić to ręcznie albo na około? Wybacz, ale paranoją trąci mi obawa o to, że instalator pozna radius secret, skoro dajesz mu dostęp do loginu/hasła pppoe klienta...
Nie każdy ładuje CPE mikrotika klientom....
Nie każdego stać na montowanie wynalazków: mydelnica, ubnt czt karta radiowa. Mnie wynalazki już po kieszeni pociągnęły jeszcze na 2,4 GHz - 5GHz to juz tylko MT.
Pozdrawiam glaca
!DSPAM:49b11de7122112889253296!
W dniu 6 marca 2009 13:58 użytkownik glaca@o2.pl napisał:
Cięcie pasma na CPE ma na celu: Po pierwsze primo wyeliminować niepotrzebny ruch na radiu. Po drugie primo zminimalizować ryzyko zakłócenia pracy sieci przez floody.
1 i 2 sprowadza sie do tego samego
(nie będę się spierał czy chodzi o zabicie całego interfejsu czy 5/4 czy 1/2) Po trzecie primo odciążenie stacji bazowej. Przy włączonym Nstreme, SQ czy koncentratorze pppoe procesor RBka szybko się kończy.
nie wiem jak ty to rozwiazujesz, ale jesli robi sie konkretny nas to napewno nie na rb133, robi sie konkretny router a do niego wpina sie osobne urzadzenia, ktore a) obsluguje userow b) zajmuje sie radiem backbone'a.
Generalnie zwiększenie bezpieczeństwa/niezawodności i redukcja kosztów.
generalnie masz racje ale u mnie klient nie da wiecej za instale niz 250 zł... CPE mikrotika jest to swietna sprawa i daje duze mozliwosci, ale nas na cpe IMHO jest bez sensu, wystarczy kolejka na interfejsie wlan, ładnie jest miec strukturalna siec, to odpowiada za to to za tamto, ale tylke nasow co userow to troche, nie halo, nie trzeba nasa zeby sobie ustawiac shaping wystarczy prosta znajomosci api mikrotika...
Możesz siedzieć patrzyć w statystyki co się dzieje w sieci, a możesz chwilę pomyśleć przy budowie sieci i zająć się tak pożytecznym zajęciem jak np. picie piwa :)
ja nie siedze nie patrze na statystyki od tego sa odpowiednie systemy kolego ;)
pooling to nie kaszpirowski - nie rozwiązuje całego zła tego świata
nie powiedziałem ze rozwiązuje, powiedziałem, że wystarczy na proste zabezpieczenie sie przed floodem klienta, czemu ja mam dbac o dobre zachowanie klienta, widze ze user sra, ale pozwala tez innym na prace, wypierdalam go, tlumacze mu o co kaman i juz wiecej tego nie robi ;), proste
Wytłumacz mi w czym widzisz problem, żeby zrobić NASa na CPE? Wydaje mi się, że po to korzystamy z radiusa, żeby ograniczyć niepotrzebne czynności związane z obsługą i serwisowaniem sieci. Skoro można gdzieś go wykorzystać do automatyzacji procesu przydzielania transferow, to po robić to ręcznie albo na około?
mozna wykorzystac, tylko to jest jak zabijanie muchy z armaty, mowiłem wystarczy prosty skrypt, ktory bedzie ci te kolejki zakladal.
Wybacz, ale paranoją trąci mi obawa o to, że instalator pozna radius secret, skoro dajesz mu dostęp do loginu/hasła pppoe klienta...
login pppoe a radius secret to 2 rozne rzeczy, login pppoe klienta zminisz w 5 sekund secret na ilus tam bazach to juz problem... (aczkolwiek tez do rozwiazania ;)), ale skoro tak chetnie wszystkim rozdajesz hasełka to jeszcze może podaj hasło do propagacji ospfa...
Nie każdego stać na montowanie wynalazków: mydelnica, ubnt czt karta radiowa. Mnie wynalazki już po kieszeni pociągnęły jeszcze na 2,4 GHz - 5GHz to juz tylko MT.
nie chodzi tu o wynalazki tylko o przenoszalnosc, ja nie chce klientom sprzedawac stałego internetu od tego jest neostrada, chce sprzedawać, internet w miare mobilny, klient sobie siadzie gdzies pod baza ze swoim loginem i haslem i ma neta...., ba ja sobie siade pod baza z lapkiem, czy palmtopem i mam neta a nie bede sie tarabanił z mikrotikiem
Nie chce sie kłócić, czyje rozwiazanie jest lepsze, bo kazdy ma swoje potrzeby, podałeś rozwiazanie, więc napisałem jakie sa plusy i minusy jego. ale skoro chcesz miec cpe jako nasy, to dodawaj urzadzenia do lmsa jako nasy... bo skoro to ma byc nas to czemu ma brac informacje z karty komputera, co jak klient bedzie mial wiecej komputerow... itp itd.
P.S. gdzie to łaziłeś po tym mumie, generalnie wszyscy polacy trzymali sie razem ;>, a nie przypominam sobie abym cie poznawal
!DSPAM:49b12ad9131851989010922!
Michał Gacek pisze:
(...) potrzeba by bylo co najmniej 2, 3 takich, ale jak masz radiusa i oprocz pppoe robisz 802.1x to mozesz takiego goscia wyjebac z radia w 5 sekund (...)
(...) zachowanie klienta, widze ze user sra, ale pozwala tez innym na prace, wypierdalam go, tlumacze mu o co kaman i juz wiecej tego nie robi ;),
Bardzo cieszy nas twoja zaradność, ale hamuj się ze słownictwem, przy następnym ostrzeżeniu dostaniesz bana.
W dniu 6 marca 2009 15:36 użytkownik Grzegorz Chwesewicz grzegorz.chwesewicz@chilan.com napisał:
Bardzo cieszy nas twoja zaradność, ale hamuj się ze słownictwem, przy następnym ostrzeżeniu dostaniesz bana.
ok troszke mnie poniosło, przepraszam, ale jak masz ochote to możesz już mi dać bana, aż TAK bardzo na tej liście mi nie zależy, żebym się płaszczył przed tobą. Oczywiście użytkowników, których uraziłem swoim słownictwem najmocniej przepraszam, natomiast nudzącym się moderatorom, którzy nie mają nic ciekawego do powiedzenia, oprócz "nie przeklinaj" mówie stanowcze nie ;)
Pozdrawiam
!DSPAM:49b139ed162346258220944!
Czy w jakis prosty sposob mozna kozystac ze zmiennych zdefiniowanych np w Konfiguracja - interfej uzytkownika w szablonie html? Np s konf definiuje [sekcja] w niej zmienna = aaaa a w szablonie {$tu-niewiem-co.aaaa}
?????
!DSPAM:49b1c700235531989010922!
Igor Brzezek wrote:
Czy w jakis prosty sposob mozna kozystac ze zmiennych zdefiniowanych np w Konfiguracja - interfej uzytkownika w szablonie html? Np s konf definiuje [sekcja] w niej zmienna = aaaa a w szablonie {$tu-niewiem-co.aaaa}
O każdą pierdołę będziesz tutaj pytał? trochę wysiłku {$_config.sekcja.nazwa_zmiennej}
"A.L.E.C" alec@alec.pl napisał(a):
Igor Brzezek wrote:
Czy w jakis prosty sposob mozna kozystac ze zmiennych zdefiniowanych np w Konfiguracja - interfej uzytkownika w szablonie html? Np s konf definiuje [sekcja] w niej zmienna = aaaa a w szablonie {$tu-niewiem-co.aaaa}
O każdą pierdołę będziesz tutaj pytał? trochę wysiłku {$_config.sekcja.nazwa_zmiennej}
-- Aleksander 'A.L.E.C' Machniak http://alec.pl gg:2275252 LAN Management System Developer http://lms.org.pl Roundcube Webmail Developer http://roundcube.net
jesli tu nie wolno pytac to poprostu napiszcie i bedzie ok nie? a po zatym jakby Wasz system mial dobra dokumentacje nie bylo by tyle pytan... pozdrawiam
!DSPAM:49b2449b317131989010922!
Igor Brzezek pisze:
jesli tu nie wolno pytac to poprostu napiszcie i bedzie ok nie? a po zatym jakby Wasz system mial dobra dokumentacje nie bylo by tyle pytan... pozdrawiam
To już zakrawa na prowokację trolla pytatora. Skoro bierzesz się za zmiany w kodzie to powinieneś go przynajmniej trochę ogarniać, albo zostawić to deweloperom :)
Poza tym podpinasz się pod cudzy wątek.
!DSPAM:49b2500627868045311664!
malpi pisze:
Problem w tym, że jeżeli CPE wypuści floodzika, to na dropowanie na bazie jest już cokolwiek za późno, bo radio przyjmie każdy ruch jaki się do niego wyśle. SQ na CPE to niegłupi pomysł.
Stosujesz pppoe? Nie jest za późno. to nie jest tak jak normalnie na radiu - masz tunel pppoe, a SQ jest zakładane właśnie na sesji pppoe - nie ma znaczenia na którym końcu tunelu założysz SQ, będzie działać tak samo z tą różnicą, że obciąży się procek nadajnika a nie CPE.
Oczywiście mylisz się :) Sugerujesz, że zatkanie odkręconego kranu palcem spowoduje w nim zanik ciśnienia ? Co z tego, że na bazie na interfejsie ppp założysz SQ, skoro nie powstrzyma ono ruchu który dociera do radia od strony CPE.
Zupełnie inaczej sprawa wygląda przy kolejkach założonych bezpośrednio na CPE - wtedy jest pełna kontrola tego, co wychodzi klienckim radiem.
Jaki widzisz problem w podaniu radiusowego secreta klientowi, skoro każdy może mieć swój własny.
Ale w takim wypadku CPE staje się NAS'em - nie wydaje mi się, aby taki był zamysł twórców radius'a. Poza tym u mnie np. instalatorzy mają dostęp do CPE więc automatycznie mieliby dostęp do tych danych. Wolę dmuchać na zimne :P
Masz rację, nie wydaje Ci się, twórców radiusa g. obchodzi (IMHO) co staje się NAS-em , a co się nim nie staje.
Podaj praktyczny przykład wykorzystania tych (radius secret dla tego konkretnego urządzenia) danych.
Pozdrawiam.
!DSPAM:49b0e8b179044380352099!
Oczywiście mylisz się :) Sugerujesz, że zatkanie odkręconego kranu palcem spowoduje w nim zanik ciśnienia ?
Chyba jesteś hydraulikiem, nie adminem ;-)
Napisałem jak to działa w praktyce w mojej sieci (koncentratory pppoe interfejsach radiowych na MT, dynamicznie zakładane SQ). Działa tak od ponad 2lat na dużej sieci (liczba abonentów 4-ro cyfrowa) i żaden dos jeszcze nie rozwalił mi nadajnika - jest tak jak pisze Michał Gacek.
A pppoe chyba nie masz w sieci.
Masz rację, nie wydaje Ci się, twórców radiusa g. obchodzi (IMHO) co staje się NAS-em , a co się nim nie staje..
Podaj praktyczny przykład wykorzystania tych (radius secret dla tego konkretnego urządzenia) danych.
Ciekawe podejście - najpierw robić "dziurę, a potem zastanawiać się jak kto może ją wykorzystać. Ale to komu dajesz swoje hasła, to Twoja sprawa.
Dla mnie EOT, bo bardzo uciekliśmy od wpsarcia radius'a przez LMS.
!DSPAM:49b108d2105251336712104!
FYI: Jestem adminem sieci, w tym również i takich z czterocyfrową liczbą abonentów. Zadanie domowe: "dlaczego nie mamy wpływu na ruch przychodzący i jak sie to ma do mojego SQ?".
!DSPAM:49b10a1a107306258220944!
Ciekawe podejście - najpierw robić "dziurę, a potem zastanawiać się jak kto może ją wykorzystać. Ale to komu dajesz swoje hasła, to Twoja sprawa.
tak chyba nie mozna na sprawe patrzec, Przemek ma racje. im wiecej regulacji i im blizej klienta tym lepiej. co do bezpieczenstwa to dajesz pracownikom WEP/WPA, pewnie czasem hasla klientow w ramach uslug serwisowych itp. wiec nie mozna popadac w paranoje bo tak rozumujac trzeba by wszystkie i wszedzie robic osobiscie :)
Robert CyberM
Na chwilę obecną niepotrzebnie (IMHO) rozwodzimy się nad implementacją zamiast wspólnie ustalić konkretny zestaw ficzerów i zwyczajnie zaimplementować.
na chwile obecna robota jest juz zrobiona wiec jakby zapozno na ustalanie konkretow zwalszcza ze juz to zrobiono :)
Co do innego podejścia, rozmawiałem na MUMie z Czechem który ma tam sieć na jakieś 2 tys. klientów. On zarządzanie pasmem przerzucił na końcówki klienckie (mówimy o MT). Klient łączy się z radiusem i zakłada sam sobie SQ na interfejsie. Ja tu w sumie widzę 2 plusy: pierwszy jest taki, że klient nie będzie przeciążał radia niepotrzebnym ruchem, który jest kształtowany zanim wyjdzie z CPE (szczególnie w przypadku DoSa), drugie to mniejsze zużycie procesora na stacji bazowej. Minusem może być to, że każde CPE trzeba by wpuścić do radiusa. Ale jeśli ma być robiona integracja LMSa z radiusem, może by warto było się nad tym zastanowić. Można by np. potraktować login lub hasło pppoe klienta jako pole secret dla radiusa.
wszystko to jest juz zrobione. pozostalo mi zrobic locale i wyslac to Alec'owi. mysle ze calosc niedlugo pojawi sie w cvs'ie wiec bedzie mozna sobie pobrac i ocenic. koncepcja byla taka zeby calosc byla prosta w obsludze, elastyczna w rozbudowie i umozliwiala pozniejsze dodanie obslugi wiekszej ilosci atrybutow radiusa
Skoro wszystko zrobione, to pozostaje tylko czekać na efekty :)
Pozdrawiam.
!DSPAM:49b03f46233734062814199!
uczestnicy (11)
-
A.L.E.C -
Dariusz Kowalczyk - Webvisor -
glaca@o2.pl -
Grzegorz Chwesewicz -
Igor Brzezek -
Maciej Kostyra -
malpi -
Michał Gacek -
Przemysław Kudyba -
Robert -
Robert CyberM