"Тонкая" настройка доступа юзеров и подсчета трафика

[Dozz]

Подскажите, где копать, т.к. с таким функционалом абиллса никогда раньше не сталкивался.
Необходимо организовать: бесплатный доступ к некоторым внешним ресурсам (например, google.com) + возможность поключение юзеров при негативном депозите.

В качестве NAS: mpd5 (VPN).

Я так понимаю, нужно в тарифном плане вписать что-нибудь в поле фильтра негативного депозита, что позволит юзерам подключаться даже при негативном депозите. Также в интервалах в класе трафика 0 я описываю сеть 0.0.0.0/0 и тарифы, а в класе 1 перечисляю необходимые "бесплатные" узлы в виде 1.2.3.4/32;5.6.7.8/32 и нулевые цены.

После этого тестирую - трафик на перечисленные узлы все равно считается как платный. Что делаю не так? Возможно, есть возможность более гибкой работы с фильтрами негативного депозита? Как их можно использовать в mpd5 или в pf для контроля доступа юзеров к некоторым сетям и узлам?

[ran]

Я так понимаю, нужно в тарифном плане вписать что-нибудь в поле фильтра негативного депозита, что позволит юзерам подключаться даже при негативном депозите.

да... и чем-нить обрабатывать радиуспараметр FILTERS на предмет наличия этого что-нибудь

Также в интервалах в класе трафика 0 я описываю сеть 0.0.0.0/0 и тарифы, а в класе 1 перечисляю необходимые "бесплатные" узлы в виде 1.2.3.4/32;5.6.7.8/32 и нулевые цены.

После этого тестирую - трафик на перечисленные узлы все равно считается как платный. Что делаю не так?

всё так... тики трииишечки не так

Ipn забыл прикрутить... мопед классифицировать не умеет

[Dozz]

Я так понимаю, нужно в тарифном плане вписать что-нибудь в поле фильтра негативного депозита, что позволит юзерам подключаться даже при негативном депозите.

да... и чем-нить обрабатывать радиуспараметр FILTERS на предмет наличия этого что-нибудь

А чуть-чуть этого самого чего-то можно в пример? У меня pf в качестве файрвола. Как им отловить фильтр?

Также в интервалах в класе трафика 0 я описываю сеть 0.0.0.0/0 и тарифы, а в класе 1 перечисляю необходимые "бесплатные" узлы в виде 1.2.3.4/32;5.6.7.8/32 и нулевые цены.
После этого тестирую - трафик на перечисленные узлы все равно считается как платный. Что делаю не так?

всё так... тики трииишечки не так

Ipn забыл прикрутить... мопед классифицировать не умеет

Это означает, что с мопедом в качестве НАСа вообще не годиться? Другими словами, классификация возможна только в IP-сетях? С VPN-доступом ничего не выйдет?

[Ck-NoSFeRaTU]

IPN`у всё равно откуда пришел клиент, он считает по детализации трафика, валящейся по netflow. У меня¸ например, куча nas-ов, в том числе экзотических типа openvpn или pppd over stunnel, всё нормально считается. Чистый IPN не использую. Единственное что понадобилось слегка подпилить юзерский кабинет, чтобы не орал, что юзер зашел в кабинет с левого ипа.

[ran]

Единственное что понадобилось слегка подпилить юзерский кабинет, чтобы не орал, что юзер зашел в кабинет с левого ипа.

а нафига его пилить? и так орать не будит

если канешна маршрутизацию правильно прописать

Просто ип сервера вебморды не должен быть в подсети изернета усера. В этом случае он будет доступен только через рутер. В качестве шлюза на изернете прописываем этот рутер. Если усер к инету не подключён, то он ходит на вебморду через рутер, но в этом случае никаких проверок ипа и не производится и никто не орёт. А вот если подключён (поднят туннель), то линк на вебморду пойдёт по дефолтовому маршруту (через туннель), а значит с родного ипа (потому что метрика дефолтового маршрута через туннель меньше метрики дефолтого маршрута через изернет)... то что доктор прописал - никто орать не будет

[Ck-NoSFeRaTU]

Единственное что понадобилось слегка подпилить юзерский кабинет, чтобы не орал, что юзер зашел в кабинет с левого ипа.

а нафига его пилить? и так орать не будит

если канешна маршрутизацию правильно прописать

Просто ип сервера вебморды не должен быть в подсети изернета усера. В этом случае он будет доступен только через рутер. В качестве шлюза на изернете прописываем этот рутер. Если усер к инету не подключён, то он ходит на вебморду через рутер, но в этом случае никаких проверок ипа и не производится и никто не орёт. А вот если подключён (поднят туннель), то линк на вебморду пойдёт по дефолтовому маршруту (через туннель), а значит с родного ипа (потому что метрика дефолтового маршрута через туннель меньше метрики дефолтого маршрута через изернет)... то что доктор прописал - никто орать не будет

Это в идеальном случае, когда все юзеры ходят одинаково и т.д. А у мну один клиент ходит в кабинет через туннель, другой прописал себе "левые" днс и ходит через туннель, но на внешний ип, третий вообще приходит через n-провайдеров и ходит в биллинг через канал своего прова. Мне проще было выпилить "Не существует IP 'xxx ".