SKFREE
Software - RADIUS IP pooly
pixall - 21.07.2008 - 20:59
Post subject: RADIUS IP pooly
dobre duse, poradte kto viete.
mam radius a (povedzme) 10 NAS serverov (pppoe), na kazde NASko je naroutovany jeden verejny IP subnet (194.145.x.x) a jeden vnutorny IP subnet (10.x.x.x).
uzivatelom v radiuse chcem zadelit, kto z nich bude mat verejnu IPcku, a kto vnutornu. podla toho, aku IPku ma mat uzivatel a cez ktore NASko sa hlasi, sa mu ma vybrat IPcka zo spravneho poolu. ako na to? nejak sa nevieme dostat k rieseniu.
otazka cislo 2 je zakernejsia - ako sa robi to, ze dam usivatelovi pevnu verejnu IP adresu a dostane ju vzdy bez ohlasu na to, cez ktory NAS sa prihlasi? (problem je ten ze na kazdom NASku mam iny verejnu subnet, nemozem mat jeden na desiatich NASkach). napadlo nas jedine take riesenie, ze nad tymi vsetkymi NASkami by bezalo OSPF, a prislusne NASko by po prihlaseniu usera injektlo do OSPFka tu userovu IPcku s maskou /32.
ako toto riesia velke siete? adsl od t-comu?
lol - 21.07.2008 - 21:12
Post subject:
Hral som sa s tym davnejsie, IP sa zadava do radiusu, na kazdom NASe mi bezalo OSPF + sumarizacia rout (aby som nemal route tabulky s milion riadkami). Takze ked som sa prihlasil cez ktorykolvek NAS mal som vzdy rovnaku IP (neverejnu) kedze ja priamo verejne IP nerozdavam ale riesim to cez NAT 1:1
Toto riesenie mi vyhovovalo najviac kedze pouzivam vsade OSPF kazdy hop backbonu mam routovany a na kazdom last-mile pristupaku (pri zakaznikovi) bude bezat pppoe koncentrator s overovanim oproti centralnemu radiusu a zakaznik bude shapovany priamo na tomto pppoe koncentratore
Inak radius je super vec, len skoda, ze na stretku na Polane to (skoro) nikto nechapal
Ak sa nemylim, tak pri dsl sa vybera IP dynamicky z poolu daneho NASu, ak mas staticku IP tak ju dostanes zo segnemtu, ktory je na dany NAS naroutovany
pixall - 22.07.2008 - 14:18
Post subject:
lol wrote: ›Hral som sa s tym davnejsie, IP sa zadava do radiusu, na kazdom NASe mi bezalo OSPF + sumarizacia rout (aby som nemal route tabulky s milion riadkami). Takze ked som sa prihlasil cez ktorykolvek NAS mal som vzdy rovnaku IP (neverejnu) kedze ja priamo verejne IP nerozdavam ale riesim to cez NAT 1:1
ako to potom vyzera pri routingu? prosim napis mi priklad pre 3 NASka, ake rozsahy su na nich naroutovane (ci vari ziadne a OSPF si tam doroutuje konkretnu IPcku /32) ? ak tam je plny routing tak by to rovnako fungovalo aj s verejnymi IPckami. btw OSPF bezis ako? my sme mali quaggu na linuxe ale bola to katastrofa.
lol wrote: ›
Ak sa nemylim, tak pri dsl sa vybera IP dynamicky z poolu daneho NASu, ak mas staticku IP tak ju dostanes zo segnemtu, ktory je na dany NAS naroutovany
u Tcomu mozes mat
- dynamicku verejnu (zrejme pool priradeny NASku)
- staticku verejnu (asi sa naroutuje pri spojeni na to konkretne NASko na ktorom je user prave prihlaseny)
u mna by mala byt
- dynamicka privatna
- dynamicka verejna
- staticka verejna
ale ked to inak nepojde tak to asi zredukujem na dynamicka privatna a staticka verejna, akurat kym tam nie je OSPF tak bude podmienka aby sa user pripajal na to NASko na ktorom ma tu verejnu IPcku naozaj naroutovanu, inak nastane blud (dostane verejnu IPcku ale na NASku na ktorom taky rozsah nie je naroutovany tj konekt m nepofici). a pri pevnom viazani usera na NASko stracam napriklad moznost pouzit dva NASka na jednom segmente siete kvoli redundancii.
lol - 22.07.2008 - 15:29
Post subject:
Skusal som to pred pol rokom, mal som to pripravene na nasadenie v sieti ale nejako som sa na to vykaslal (spustil som WPA2 na APckach co mi zatial maximalne postacuje).
Behalo to na Mikrotiku 
Tvoje skusenosti s quaggov su mi dobre zname, nastastie s OSPF som zatial (az na nejake drobnosti spokojny).
Na kazde NASko som mal naroutovany /24 subnet privatnych IP. Teda presnejsie povedane ten /24 subnet sa mi propagoval dalej do zbytku siete aj ked nebol aktivny ziadny pppoe session - kvoli sumarizacii rout. Keby som to nepouzival tak by sa pri kazdom nadviazani novej pppoe session musel vyslat route-update a pridat /32 subnet v celej ospf arei. Snad chapes
Takze preto je lepsie "nekuskovat" IP sady aby si nemal miliony /32 rout, ktore sa ti budu pri nadviazani spojenia pridavat a pri ukonceni spojenia vymazavat z routing tabuliek.
Pokial rozumies ako to cele funguje tak nieje problem to behom hodiny nastavit.
2x NAS na jednom segmente budu fungovat? Nebude to robit problemy ako 2x DHCP ... ?
pixall - 23.07.2008 - 01:15
Post subject:
lol wrote: ›Skusal som to pred pol rokom, mal som to pripravene na nasadenie v sieti ale nejako som sa na to vykaslal (spustil som WPA2 na APckach co mi zatial maximalne postacuje).
neprikapcalo mi ze co to ma s APckami a WPA2.. ?
lol wrote: ›Behalo to na Mikrotiku
Tvoje skusenosti s quaggov su mi dobre zname, nastastie s OSPF som zatial (az na nejake drobnosti spokojny).
tak sme dnes pod tiahou okolnosti (ze sa to zrejme najrozumnejsie riesi s OSPF) rozdiskutovali znovuotestovanie quaggy, skusime to, druhy pokus 
skusenosti su tak instalacia snad bude hodinka tak jak hovoris. predtym sme to bezali na hooodne starom jadre (2.4.18, to je snad z roku 2002) a dnes to bude na najnovsom moznom, rovnako aj quaaga, tak snad... boh da... ze to bude drzat a nepadat
lol wrote: ›Na kazde NASko som mal naroutovany /24 subnet privatnych IP. Teda presnejsie povedane ten /24 subnet sa mi propagoval dalej do zbytku siete aj ked nebol aktivny ziadny pppoe session - kvoli sumarizacii rout. Keby som to nepouzival tak by sa pri kazdom nadviazani novej pppoe session musel vyslat route-update a pridat /32 subnet v celej ospf arei. Snad chapes
Takze preto je lepsie "nekuskovat" IP sady aby si nemal miliony /32 rout, ktore sa ti budu pri nadviazani spojenia pridavat a pri ukonceni spojenia vymazavat z routing tabuliek.
mo tak my sme to nakoniec doriesili takto:
cez huntgroups alebo cez users (subory v konfiguracii freeradiusu) sa da nastavit, ze pre konkretne NAS-ko sa bude pouzivat konkretny IPpool. vyborne. dalej sme s trochu stastia pri googleni dosli k tomu, ze sa da do toho pridat aj kontrola skupiny (parameter SQL-Group, namiesto Group ktore matchuje proti UNIX grupam).
konkretne to potom vyzera tak, ze uzivatelia standardne maju dynamicku IP z neverejneho rozsahu (10.x.x.x). ked sa zakaznikovi v SQL nastavi clenstvo v skupine (napriklad "verejne-ip") tak pri prihlasovani dostane dynamicku IPcku z verejneho poolu toho NASka. (inak dostava IPcku z neverejneho poolu taktiez staticky naroutovaneho na to konkretne NASko). no a dalsia uroven (chvalabohu posledna) je pridelenie statickej verejnej IP uzivatelovi, to este bude treba doriesit, ale uz aspon vieme ako (OSPF).
inac vznika tam pri tom taky smiesny paradox, ze na dynamicky pridelovane IP sa pouzije staticky routing, a na staticky pridelene IP uzivatelom sa pouzije dynamicky routing
lol wrote: ›
Pokial rozumies ako to cele funguje tak nieje problem to behom hodiny nastavit.
2x NAS na jednom segmente budu fungovat? Nebude to robit problemy ako 2x DHCP ... ?
hm ved prave ze nie 
) teda podla toho ake NAS myslime. pokial je to PPPoE koncentrator, tak to nie je problem, ba prave naopak. je uplne korektne prevadzkovat na jednom segmente siete viac PPPoE koncentratorov. PPPoE klient sa spoji s tym koncentratorom, ktori mu ako prvy odpovie (tj najskor odpovie najmenej vytazeny a zaroven najblizsi). klient pripadne ak velmi treba, moze specifikovat preferovany koncentrator na ktory sa chce pripojit, je to teda sucast protokolu, ale v zariadeniach (beznych home/residential gateway) som to videl len semtam. viac koncentratorov na jednom segmente je vhodnych na rozlozenie zataze, aj na backup pre pripad poruchy zeleza.
a este som dnes pri badani narazil na chillispot, celkom ma to oslovilo (v minulosti som na to tiez pozeral ale neprislo mi to uzitocne). je to stavane na overovanie uzivatelov na WIFI APckach ale predpokladam ze to pojde rovnako priohnut aj pre LAN. da sa s tym overovat cez radius jednak podla MAC adresy, ale tiez aj podla mena/hesla cez pristupovy portal, no a v kombinacii s pppoe sa bude mozne tiez overovat tymto sposobom.
doteraz sme overovali userov cez kombinaciu IP/MAC v statickych zoznamoch na APckach no pri pribudajucich useroch to zacina byt otravne aj napriek automatizacii. som extra zvedavy ze co nam radius spolu s troma novymi sposobmi overovania user prinesie, ci radost a vacsi poriadok, alebo viac starosti s padajucicmi technologiami
mashinepistole2 - 04.09.2008 - 19:08
Post subject:
Rozbehal som freeradius na ubuntu + webrozhranie daloradius . Overovanie mena hesla PPPoE funguje , NAS je mikrotik . Teraz mam v mk nastaveny DHCP aby pridelil po nadviazani PPPoE klientovy IP , potrebujem aby mal klient vzdy rovnaku IP . Da sa nejako docielit aby radius prikazal NASu aku IP ma klientovy pridelit ? Dalo by sa to poriesit v mk statickym DHCP , ale ak by sa to dalo rovno cez radius bolo by stym menej nastavovania pri pripajani klienta .
dik
Thomas - 04.09.2008 - 22:15
Post subject:
no keby si skusil ine webrozhranie tak by si vlastne aj prišiel na to že daloradius nevyuživa všetky možnosti freeradiusu skus niečo ine
ja som skušal ARA tam si mal tu možnosť nastaviť IP ale nema zas niektore funkcie ktore ma daloradius
mashinepistole2 - 04.09.2008 - 23:20
Post subject:
Idem teda skusit ARA rozhranie . Tak ma napadlo ze ci sa to potom neda kombinovat , nieco nastavit v ARA a nieco daloradiuse . Pracuje to s touistou databazou , mozno by to slo .
Thomas - 04.09.2008 - 23:31
Post subject:
v podstate ano , len je tam tá nevýhoda že máš dva systémy , jedine že by sa ti chcelo poskladať niečo kde by bolo z každeho niečo , licencie ti to dovoluju upravovať takže môžeš vlastne stvoriť niečo nové čo by bolo vyhodne pre viacerých , na druhej strane ale zase som ara spomenul lebo viem že to vie , možno existuje niečo kde to maš pokope hotové
mashinepistole2 - 05.09.2008 - 01:08
Post subject:
Skusam skusam a nejak to nechce faklit , mam taky pocit ze ARA asi nezpojazdnim . 