Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:



The time now is 28.03.2024 - 15:24


RADIUS IP pooly

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Author Message
pixall
Post subject: RADIUS IP pooly  PostPosted: 21.07.2008 - 20:59 #67308
Majster


Joined: Okt 21, 2003
Posts: 4247

dobre duse, poradte kto viete.

mam radius a (povedzme) 10 NAS serverov (pppoe), na kazde NASko je naroutovany jeden verejny IP subnet (194.145.x.x) a jeden vnutorny IP subnet (10.x.x.x).

uzivatelom v radiuse chcem zadelit, kto z nich bude mat verejnu IPcku, a kto vnutornu. podla toho, aku IPku ma mat uzivatel a cez ktore NASko sa hlasi, sa mu ma vybrat IPcka zo spravneho poolu. ako na to? nejak sa nevieme dostat k rieseniu.


otazka cislo 2 je zakernejsia - ako sa robi to, ze dam usivatelovi pevnu verejnu IP adresu a dostane ju vzdy bez ohlasu na to, cez ktory NAS sa prihlasi? (problem je ten ze na kazdom NASku mam iny verejnu subnet, nemozem mat jeden na desiatich NASkach). napadlo nas jedine take riesenie, ze nad tymi vsetkymi NASkami by bezalo OSPF, a prislusne NASko by po prihlaseniu usera injektlo do OSPFka tu userovu IPcku s maskou /32.

ako toto riesia velke siete? adsl od t-comu?
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
lol
Post subject: RE: RADIUS IP pooly  PostPosted: 21.07.2008 - 21:12 #67309
Ucen


Joined: Jan 15, 2005
Posts: 768

Hral som sa s tym davnejsie, IP sa zadava do radiusu, na kazdom NASe mi bezalo OSPF + sumarizacia rout (aby som nemal route tabulky s milion riadkami). Takze ked som sa prihlasil cez ktorykolvek NAS mal som vzdy rovnaku IP (neverejnu) kedze ja priamo verejne IP nerozdavam ale riesim to cez NAT 1:1

Toto riesenie mi vyhovovalo najviac kedze pouzivam vsade OSPF kazdy hop backbonu mam routovany a na kazdom last-mile pristupaku (pri zakaznikovi) bude bezat pppoe koncentrator s overovanim oproti centralnemu radiusu a zakaznik bude shapovany priamo na tomto pppoe koncentratore

Inak radius je super vec, len skoda, ze na stretku na Polane to (skoro) nikto nechapal

Ak sa nemylim, tak pri dsl sa vybera IP dynamicky z poolu daneho NASu, ak mas staticku IP tak ju dostanes zo segnemtu, ktory je na dany NAS naroutovany
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: RADIUS IP pooly  PostPosted: 22.07.2008 - 14:18 #67327
Majster


Joined: Okt 21, 2003
Posts: 4247

lol wrote: ›Hral som sa s tym davnejsie, IP sa zadava do radiusu, na kazdom NASe mi bezalo OSPF + sumarizacia rout (aby som nemal route tabulky s milion riadkami). Takze ked som sa prihlasil cez ktorykolvek NAS mal som vzdy rovnaku IP (neverejnu) kedze ja priamo verejne IP nerozdavam ale riesim to cez NAT 1:1


ako to potom vyzera pri routingu? prosim napis mi priklad pre 3 NASka, ake rozsahy su na nich naroutovane (ci vari ziadne a OSPF si tam doroutuje konkretnu IPcku /32) ? ak tam je plny routing tak by to rovnako fungovalo aj s verejnymi IPckami. btw OSPF bezis ako? my sme mali quaggu na linuxe ale bola to katastrofa.

lol wrote: ›
Ak sa nemylim, tak pri dsl sa vybera IP dynamicky z poolu daneho NASu, ak mas staticku IP tak ju dostanes zo segnemtu, ktory je na dany NAS naroutovany


u Tcomu mozes mat
- dynamicku verejnu (zrejme pool priradeny NASku)
- staticku verejnu (asi sa naroutuje pri spojeni na to konkretne NASko na ktorom je user prave prihlaseny)

u mna by mala byt
- dynamicka privatna
- dynamicka verejna
- staticka verejna

ale ked to inak nepojde tak to asi zredukujem na dynamicka privatna a staticka verejna, akurat kym tam nie je OSPF tak bude podmienka aby sa user pripajal na to NASko na ktorom ma tu verejnu IPcku naozaj naroutovanu, inak nastane blud (dostane verejnu IPcku ale na NASku na ktorom taky rozsah nie je naroutovany tj konekt m nepofici). a pri pevnom viazani usera na NASko stracam napriklad moznost pouzit dva NASka na jednom segmente siete kvoli redundancii.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
lol
Post subject: RE: RADIUS IP pooly  PostPosted: 22.07.2008 - 15:29 #67335
Ucen


Joined: Jan 15, 2005
Posts: 768

Skusal som to pred pol rokom, mal som to pripravene na nasadenie v sieti ale nejako som sa na to vykaslal (spustil som WPA2 na APckach co mi zatial maximalne postacuje).

Behalo to na Mikrotiku Smile Tvoje skusenosti s quaggov su mi dobre zname, nastastie s OSPF som zatial (az na nejake drobnosti spokojny).

Na kazde NASko som mal naroutovany /24 subnet privatnych IP. Teda presnejsie povedane ten /24 subnet sa mi propagoval dalej do zbytku siete aj ked nebol aktivny ziadny pppoe session - kvoli sumarizacii rout. Keby som to nepouzival tak by sa pri kazdom nadviazani novej pppoe session musel vyslat route-update a pridat /32 subnet v celej ospf arei. Snad chapes Smile

Takze preto je lepsie "nekuskovat" IP sady aby si nemal miliony /32 rout, ktore sa ti budu pri nadviazani spojenia pridavat a pri ukonceni spojenia vymazavat z routing tabuliek.

Pokial rozumies ako to cele funguje tak nieje problem to behom hodiny nastavit.

2x NAS na jednom segmente budu fungovat? Nebude to robit problemy ako 2x DHCP ... ?
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: RADIUS IP pooly  PostPosted: 23.07.2008 - 01:15 #67343
Majster


Joined: Okt 21, 2003
Posts: 4247

lol wrote: ›Skusal som to pred pol rokom, mal som to pripravene na nasadenie v sieti ale nejako som sa na to vykaslal (spustil som WPA2 na APckach co mi zatial maximalne postacuje).


neprikapcalo mi ze co to ma s APckami a WPA2.. ?

lol wrote: ›Behalo to na Mikrotiku Smile Tvoje skusenosti s quaggov su mi dobre zname, nastastie s OSPF som zatial (az na nejake drobnosti spokojny).


tak sme dnes pod tiahou okolnosti (ze sa to zrejme najrozumnejsie riesi s OSPF) rozdiskutovali znovuotestovanie quaggy, skusime to, druhy pokus Wink skusenosti su tak instalacia snad bude hodinka tak jak hovoris. predtym sme to bezali na hooodne starom jadre (2.4.18, to je snad z roku 2002) a dnes to bude na najnovsom moznom, rovnako aj quaaga, tak snad... boh da... ze to bude drzat a nepadat Wink

lol wrote: ›Na kazde NASko som mal naroutovany /24 subnet privatnych IP. Teda presnejsie povedane ten /24 subnet sa mi propagoval dalej do zbytku siete aj ked nebol aktivny ziadny pppoe session - kvoli sumarizacii rout. Keby som to nepouzival tak by sa pri kazdom nadviazani novej pppoe session musel vyslat route-update a pridat /32 subnet v celej ospf arei. Snad chapes Smile

Takze preto je lepsie "nekuskovat" IP sady aby si nemal miliony /32 rout, ktore sa ti budu pri nadviazani spojenia pridavat a pri ukonceni spojenia vymazavat z routing tabuliek.


mo tak my sme to nakoniec doriesili takto:
cez huntgroups alebo cez users (subory v konfiguracii freeradiusu) sa da nastavit, ze pre konkretne NAS-ko sa bude pouzivat konkretny IPpool. vyborne. dalej sme s trochu stastia pri googleni dosli k tomu, ze sa da do toho pridat aj kontrola skupiny (parameter SQL-Group, namiesto Group ktore matchuje proti UNIX grupam).

konkretne to potom vyzera tak, ze uzivatelia standardne maju dynamicku IP z neverejneho rozsahu (10.x.x.x). ked sa zakaznikovi v SQL nastavi clenstvo v skupine (napriklad "verejne-ip") tak pri prihlasovani dostane dynamicku IPcku z verejneho poolu toho NASka. (inak dostava IPcku z neverejneho poolu taktiez staticky naroutovaneho na to konkretne NASko). no a dalsia uroven (chvalabohu posledna) je pridelenie statickej verejnej IP uzivatelovi, to este bude treba doriesit, ale uz aspon vieme ako (OSPF).

inac vznika tam pri tom taky smiesny paradox, ze na dynamicky pridelovane IP sa pouzije staticky routing, a na staticky pridelene IP uzivatelom sa pouzije dynamicky routing Smile

lol wrote: ›
Pokial rozumies ako to cele funguje tak nieje problem to behom hodiny nastavit.

2x NAS na jednom segmente budu fungovat? Nebude to robit problemy ako 2x DHCP ... ?


hm ved prave ze nie Surprised) teda podla toho ake NAS myslime. pokial je to PPPoE koncentrator, tak to nie je problem, ba prave naopak. je uplne korektne prevadzkovat na jednom segmente siete viac PPPoE koncentratorov. PPPoE klient sa spoji s tym koncentratorom, ktori mu ako prvy odpovie (tj najskor odpovie najmenej vytazeny a zaroven najblizsi). klient pripadne ak velmi treba, moze specifikovat preferovany koncentrator na ktory sa chce pripojit, je to teda sucast protokolu, ale v zariadeniach (beznych home/residential gateway) som to videl len semtam. viac koncentratorov na jednom segmente je vhodnych na rozlozenie zataze, aj na backup pre pripad poruchy zeleza.

a este som dnes pri badani narazil na chillispot, celkom ma to oslovilo (v minulosti som na to tiez pozeral ale neprislo mi to uzitocne). je to stavane na overovanie uzivatelov na WIFI APckach ale predpokladam ze to pojde rovnako priohnut aj pre LAN. da sa s tym overovat cez radius jednak podla MAC adresy, ale tiez aj podla mena/hesla cez pristupovy portal, no a v kombinacii s pppoe sa bude mozne tiez overovat tymto sposobom.

doteraz sme overovali userov cez kombinaciu IP/MAC v statickych zoznamoch na APckach no pri pribudajucich useroch to zacina byt otravne aj napriek automatizacii. som extra zvedavy ze co nam radius spolu s troma novymi sposobmi overovania user prinesie, ci radost a vacsi poriadok, alebo viac starosti s padajucicmi technologiami Wink
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
mashinepistole2
Post subject: RE: RADIUS IP pooly  PostPosted: 04.09.2008 - 19:08 #68121
Basic


Joined: Máj 15, 2008
Posts: 413
Location: Nedaleko od Losonca
Rozbehal som freeradius na ubuntu + webrozhranie daloradius . Overovanie mena hesla PPPoE funguje , NAS je mikrotik . Teraz mam v mk nastaveny DHCP aby pridelil po nadviazani PPPoE klientovy IP , potrebujem aby mal klient vzdy rovnaku IP . Da sa nejako docielit aby radius prikazal NASu aku IP ma klientovy pridelit ? Dalo by sa to poriesit v mk statickym DHCP , ale ak by sa to dalo rovno cez radius bolo by stym menej nastavovania pri pripajani klienta .

dik
 
 View user's profile Send private message  
Reply with quote Back to top
Thomas
Post subject: RE: RADIUS IP pooly  PostPosted: 04.09.2008 - 22:15 #68124
Majster


Joined: Okt 31, 2006
Posts: 2062
Location: TT
no keby si skusil ine webrozhranie tak by si vlastne aj prišiel na to že daloradius nevyuživa všetky možnosti freeradiusu skus niečo ine
ja som skušal ARA tam si mal tu možnosť nastaviť IP ale nema zas niektore funkcie ktore ma daloradius
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
mashinepistole2
Post subject: RE: RADIUS IP pooly  PostPosted: 04.09.2008 - 23:20 #68125
Basic


Joined: Máj 15, 2008
Posts: 413
Location: Nedaleko od Losonca
Idem teda skusit ARA rozhranie . Tak ma napadlo ze ci sa to potom neda kombinovat , nieco nastavit v ARA a nieco daloradiuse . Pracuje to s touistou databazou , mozno by to slo .
 
 View user's profile Send private message  
Reply with quote Back to top
Thomas
Post subject: RE: RADIUS IP pooly  PostPosted: 04.09.2008 - 23:31 #68126
Majster


Joined: Okt 31, 2006
Posts: 2062
Location: TT
v podstate ano , len je tam tá nevýhoda že máš dva systémy , jedine že by sa ti chcelo poskladať niečo kde by bolo z každeho niečo , licencie ti to dovoluju upravovať takže môžeš vlastne stvoriť niečo nové čo by bolo vyhodne pre viacerých , na druhej strane ale zase som ara spomenul lebo viem že to vie , možno existuje niečo kde to maš pokope hotové
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
mashinepistole2
Post subject: RE: RADIUS IP pooly  PostPosted: 05.09.2008 - 01:08 #68128
Basic


Joined: Máj 15, 2008
Posts: 413
Location: Nedaleko od Losonca
Skusam skusam a nejak to nechce faklit , mam taky pocit ze ARA asi nezpojazdnim . Rolling Eyes
 
 View user's profile Send private message  
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Jump to:  

Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)