Совмещение PPPoE и IPoE на СКАТ с помощью FreeRADIUS Proxy

Пример условий:

Оператор связи использует две технологии доступа для оказания услуг интернета: PPPoE и IPoE. В качестве BRAS-маршрутизатора выступает VasExperts СКАТ DPI. Требуется настроить разделение авторизаций и аккаунтинга со СКАТ по PPPoE/IPoE.

Решение:

• настроить два экземпляра агента LBarcd: один для IPoE, второй для PPPoE,

• применять FreeRADIUS в режиме RADIUS Proxy,

• разделение запросов авторизации — по значению атрибута VasExperts-Service-Type,

• разделение запросов аккаунтинга — по префиксу в логинах учётных записей.

  Примечание: с версии СКАТ DPI VasExperts 14.0 атрибут VasExperts-Service-Type доступен на этапе аккаунтинга — настройка разделения запросов по префиксу УЗ не потребуется.

1. Установить и настроить агенты LBarcd
2. Установить и настроить FreeRADIUS
3. Требования со стороны СКАТ и биллинга

Установить и настроить агенты LBarcd

1. Установите два экземпляра агента LBarcd.

   Обратите внимание: не забудьте указать для каждого экземпляра агента LBarcd свои порты RADIUS authentication и RADIUS accounting.

   Пример файла конфигурации агента LBarcd, используемого для IPoE

   # LANBilling Configuration file
   # agent = SKAT5 IPoE
   
   # Database address
   database = mysql://lanbil-radius-ipoe:u!yXL5Be+GrNRWp79@192.168.22.58/LanBilling_radius_ipoe
   # Access to LBcore server
   server = admin:951@Sd159!@127.0.0.1:1502
   # System id. (Must be unique)
   sysid = 5
   # Log file
   logfile = /var/log/billing/lbarcd.5.log
   # Log verbosity level: error, warning, info, verbose, debug
   log_level = debug
   # pidfile
   pidfile = /var/run/lbarcd.5.pid
   
   enable_internal_shaper = 0
   
   handler = /usr/local/billing/scripts/handler_skat_ipoe.sh
   

   Пример файла конфигурации агента LBarcd, используемого для PPPoE

   # LANBilling Configuration file
   #
   
   # Access to LBcore server
   server = admin:951@Sd159!@127.0.0.1:1502
   
   # IP address and port to receive crypted JSON requests
   #server = ssl://admin:passwords@127.0.0.1:1502
   #japi_ssl_certificate = ./japi_lbarcd.crt
   #japi_ssl_private_key = ./japi_lbarcd.key
   
   # Database address
   database = mysql://lanbil-radius:u-ywL5Be=GrNKWj7!@192.168.22.58/LanBilling_radius
   
   # Agent ID. (Must be unique)
   sysid = 1
   
   # Log file: filename or special word 'syslog' to use syslog daemon on Unix system
   logfile = /var/log/billing/lbarcd.log
   
   # Log verbosity level: error, warning, info, verbose, debug
   log_level = debug
   
   # Uncomment to create pidfile at startup
   pidfile = /var/run/LBarcd.pid
   
   enable_internal_shaper = 1
   
   # External script handler
   # handler = ./handler.LBarcd.sh
   handler = /usr/local/billing/scripts/handler_skat_pppoe.sh
   

   отступ

   • для IPoE-клиентов выбран тип взаимодействия со СКАТ cisco_isg. Адреса разрешено отдавать динамически, сохраняя статические записи, при этом есть проверка авторизации по IP-адресу. DHCP не LBinet.

   • для PPPoE клиентов выбран тип взаимодействия generic.

   Используются handler-скрипты.

   Пример handler-скрипта, используемого для IPoE

   lanbill@Lanbilling-Core:~$ sudo cat /usr/local/billing/scripts/handler_skat_ipoe.sh
   #!/bin/bash
   #
   #
   #################################
   ### Created by Pavel Savasin  ###
   ### Network Solutions, 2018   ###
   ### savasin@lanbilling.ru     ###
   ### SKAT DPI                  ###
   #################################
   #
   #
   
   # Prerequisites:
   # - freeradius-utils
   #   - yum install freeradius-utils
   #   - apt-get install freeradius-utils
   
   
   PARAMS="$*" # all parameters for ./handler from billing
   LOG='/var/log/billing/srvctl_ipoe.log' # no comments
   
   # RADIUS params
   COA_PORT='3799' # port is default
   COA_SECRET='uyQP68pW3y' # coa secret key
   RATE_PREFIX='rate_'
   REDIRECT='my_redirect_profile'
   
   RADCLIENT='/usr/bin/radclient -t1 -r1 -c1 -x' # use mega-special radius client that support CoA :)
   
   # flushing variables
   ACTION=''
   REASON=''
   SESSION=''
   LOGIN=''
   NAS=''
   IPLIST=''
   SHAPE=''
   OLDSHAPE=''
   BNGNAME=''
   MAC=''
   GUEST=''
   PASSWORD=''
   OLDBLOCKED=''
   BLOCKED=''
   nIP=''
   nNET=''
   USERNAME=''
   VGLOGIN=''
   
   log()
   {
       echo "[`date +'%d-%m-%Y %H:%M:%S'`] (${LOGIN} ${IP}) - $1 -> ${NAS} [$PARAMS]" >> $LOG # log regular events
   }
   
   log_error()
   {
       echo "[`date +'%d-%m-%Y %H:%M:%S'`] - $1 [$PARAMS]" >> $LOG # log error events
   }
   
   account_logoff()
   {
       log "Logging off subscriber => ${REASON}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} disconnect ${COA_SECRET} >> ${LOG}
   }
   activate_redirect()
   {
       log "Activating service redirect ${SERVICENAME}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\",VasExperts-Restrict-User="1",VasExperts-Service-Profile=\"5:${REDIRECT}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> ${LOG}
   }
   deactivate_redirect()
   {
       #PROFILENAME=${RATE_PREFIX}${SHAPE}
       log "Deactivating service redirect ${SERVICENAME}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\",VasExperts-Restrict-User="0",VasExperts-Enable-Service=\"5:off\",VasExperts-Policing-Profile=\"${PROFILENAME}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> ${LOG}
   }
   change_speed()
   {
       #PROFILENAME=${RATE_PREFIX}${SHAPE}
   
       log "Activating Policing Profile ${PROFILENAME}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\",VasExperts-Policing-Profile=\"${PROFILENAME}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> ${LOG}
   }
   
   
       # for debug purposes
   # log_error "DEBUG"
   
   # parsing handler parameters
   while [ -n "$1" ]
   do
       case $1 in
       "--action")
           ACTION=$2
           ;;
       "--reason")
           REASON=$2
           ;;
       "--session")
           SESSION=$2
           ;;
       "--login")
           LOGIN=$2
           ;;
       "--nas")
           NAS=$2
           ;;
       "--ip" | "--net")
           IP=$2
           ;;
       "--shape")
           SHAPE=$2
           ;;
       "--oldshape")
           OLDSHAPE=$2
           ;;
       "--opt-bng-name")
           BNGNAME=$2
           ;;
       "--mac")
           MAC=$2
           ;;
       "--guest")
           GUEST=$2
           ;;
       "--password")
           PASSWORD=$2
           ;;
       "--oldblocked")
           OLDBLOCKED=$2
           ;;
       "--blocked")
           BLOCKED=$2
           ;;
       "--user-name")
           USERNAME=$2
           ;;
       "--vg-login")
           VGLOGIN=$2
           ;;
       *)
           log_error "Unknown parameters: $1, $2"
           ;;
       esac
   
       shift 2
   done
   
   #Переопределяем
   NAS="217.197.255.134" # PCRF
   #NAS="217.197.255.159" # SCAT
   
   case $ACTION in
       "stop") # STOP session
       if [ -z ${SESSION} ]
       then
           log_error "SESSION_ID is not defined"
           exit 1
       fi
       if [ -z ${NAS} ]
       then
           log_error "NAS is not defined"
           exit 1
       fi
   
       if [ -z ${IP} ]
       then
           log_error "IP is not defined"
           exit 1
       fi
       if [ ${REASON} = 'changed' ]
       then
           if [ -n ${SHAPE} -o -n ${OLDSHAPE} ]
           then
               log "Changing speed ${OLDSHAPE} => ${SHAPE}"
               # ROUNDED_SHAPE=$(printf "%.0f" $(echo "$SHAPE + $SHAPE * 0.05" | bc))
               # ROUNDED_SHAPE=$(echo "scale=0; $SHAPE + $SHAPE * 0.05" | bc)
               ROUNDED_SHAPE=$(echo "scale=0; ($SHAPE + $SHAPE * 0.05)/1" | bc)
               PROFILENAME="BV##${ROUNDED_SHAPE}#${ROUNDED_SHAPE}#+++-++++"
               change_speed
           fi
       else
           account_logoff
       fi
       ;;
       # special action for ISG sessions and sub-sessions
       "isg-stop")
           ROUNDED_SHAPE=$(echo "scale=0; ($SHAPE + $SHAPE * 0.05)/1" | bc)
           PROFILENAME="BV##${ROUNDED_SHAPE}#${ROUNDED_SHAPE}#+++-++++"
           if [ ${OLDBLOCKED} = '0' ]
               then
               activate_redirect
           else
               deactivate_redirect
           fi
           ;;
       "quota")
           ;;
       "start") #start client session
           ;;
       "edit") #edit client account
           ;;
       "off") # block client account
           ;;
       "on") #unblock client account
           ;;
       "create") #create client account
           ;;
   
        *)
           log_error "Unknown action $action"
           ;;
   esac
   

   Пример handler-скрипта, используемого для PPPoE

   lanbill@Lanbilling-Core:~$ sudo cat /usr/local/billing/scripts/handler_skat_pppoe.sh
   #!/bin/bash
   #
   #
   #################################
   ### Created by Pavel Savasin  ###
   ### Network Solutions, 2018   ###
   ### savasin@lanbilling.ru     ###
   ### SKAT DPI                  ###
   #################################
   #
   #
   
   # Prerequisites:
   # - freeradius-utils
   #   - yum install freeradius-utils
   #   - apt-get install freeradius-utils
   
   
   PARAMS="$*" # all parameters for ./handler from billing
   LOG='/var/log/billing/srvctl_pppoe.log' # no comments
   
   # RADIUS params
   COA_PORT='3799' # port is default
   #COA_PORT='1700'
   COA_SECRET='uyQP68pW3y' # coa secret key
   RATE_PREFIX='rate_'
   REDIRECT='my_redirect_profile'
   
   RADCLIENT='/usr/bin/radclient -t1 -r1 -c1 -x' # use mega-special radius client that support CoA :)
   
   # flushing variables
   ACTION=''
   REASON=''
   SESSION=''
   LOGIN=''
   NAS=''
   IPLIST=''
   SHAPE=''
   OLDSHAPE=''
   BNGNAME=''
   MAC=''
   GUEST=''
   PASSWORD=''
   OLDBLOCKED=''
   BLOCKED=''
   nIP=''
   nNET=''
   USERNAME=''
   VGLOGIN=''
   
   log()
   {
       echo "[`date +'%d-%m-%Y %H:%M:%S'`] (${LOGIN} ${IP}) - $1 -> ${NAS} [$PARAMS]" >> $LOG # log regular events
   }
   
   log_error()
   {
       echo "[`date +'%d-%m-%Y %H:%M:%S'`] - $1 [$PARAMS]" >> $LOG # log error events
   }
   
   account_logoff()
   {
       log "Logging off subscriber => ${REASON}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} disconnect ${COA_SECRET} >> ${LOG}
   }
   activate_redirect()
   {
       log "Activating service redirect ${SERVICENAME}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\",VasExperts-Restrict-User="1",VasExperts-Service-Profile=\"5:${REDIRECT}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> ${LOG}
   }
   deactivate_redirect()
   {
       # PROFILENAME=${RATE_PREFIX}${SHAPE}
       log "Deactivating service redirect ${SERVICENAME}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\",VasExperts-Restrict-User="0",VasExperts-Enable-Service=\"5:off\",VasExperts-Policing-Profile=\"${PROFILENAME}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> ${LOG}
   }
   change_speed()
   {
       # PROFILENAME=${RATE_PREFIX}${SHAPE}
       log "Activating Policing Profile ${PROFILENAME}"
       echo "Framed-IP-Address=\"${IP}\",Acct-Session-Id=\"${SESSION}\",VasExperts-Policing-Profile=\"${PROFILENAME}\" " | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> ${LOG}
   }
   
   
       # for debug purposes
   # log_error "DEBUG"
   
   # parsing handler parameters
   while [ -n "$1" ]
   do
       case $1 in
       "--action")
           ACTION=$2
           ;;
       "--reason")
           REASON=$2
           ;;
       "--session")
           SESSION=$2
           ;;
       "--login")
           LOGIN=$2
           ;;
       "--nas")
           NAS=$2
           ;;
       "--ip" | "--net")
           IP=$2
           ;;
       "--shape")
           SHAPE=$2
           ;;
       "--oldshape")
           OLDSHAPE=$2
           ;;
       "--opt-bng-name")
           BNGNAME=$2
           ;;
       "--mac")
           MAC=$2
           ;;
       "--guest")
           GUEST=$2
           ;;
       "--password")
           PASSWORD=$2
           ;;
       "--oldblocked")
           OLDBLOCKED=$2
           ;;
       "--blocked")
           BLOCKED=$2
           ;;
       "--user-name")
           USERNAME=$2
           ;;
       "--vg-login")
           VGLOGIN=$2
           ;;
       *)
           log_error "Unknown parameters: $1, $2"
           ;;
       esac
   
       shift 2
   done
   
   
   #Переопределяем
   NAS="217.197.255.134" # PCRF
   #NAS="217.197.255.159" # SCAT
   
   
   case $ACTION in
       "stop") # STOP session
       if [ -z ${SESSION} ]
       then
           log_error "SESSION_ID is not defined"
           exit 1
       fi
       if [ -z ${NAS} ]
       then
           log_error "NAS is not defined"
           exit 1
       fi
   
       if [ -z ${IP} ]
       then
           log_error "IP is not defined"
           exit 1
       fi
       if [ ${REASON} = 'changed' ]
       then
           if [ -n ${SHAPE} -o -n ${OLDSHAPE} ]
           then
               ROUNDED_SHAPE=$(echo "scale=0; ($SHAPE + $SHAPE * 0.05)/1" | bc)
               PROFILENAME="BV##${ROUNDED_SHAPE}#${ROUNDED_SHAPE}#+++-++++"
               log "Changing speed ${OLDSHAPE} => ${SHAPE}"
               change_speed
           fi
       else
           account_logoff
       fi
       ;;
       # special action for ISG sessions and sub-sessions
       "isg-stop")
           ROUNDED_SHAPE=$(echo "scale=0; ($SHAPE + $SHAPE * 0.05)/1" | bc)
           PROFILENAME="BV##${ROUNDED_SHAPE}#${ROUNDED_SHAPE}#+++-++++"
           if [ ${OLDBLOCKED} = '0' ]
               then
               activate_redirect
           else
               deactivate_redirect
           fi
           ;;
       "quota")
           ;;
       "start") #start client session
           ;;
       "edit") #edit client account
           ;;
       "off") # block client account
           ;;
       "on") #unblock client account
           ;;
       "create") #create client account
           ;;
   
        *)
           log_error "Unknown action $action"
           ;;
   esac
   

Установить и настроить FreeRADIUS

• Установить FreeRADIUS
• Добавить атрибуты VasExperts в словарь FreeRADIUS
• Настроить файлы конфигурации FreeRADIUS для proxy-режима
• Перезапустить FreeRADIUS

Установить FreeRADIUS

1. Установить FreeRADIUS:

   apt install freeradius
   

   ``

   После установки FreeRADIUS запускается автоматически.

2. Добавить в автозагрузку:

   systemctl enable freeradius
   

   ``

Добавить атрибуты VasExperts в словарь FreeRADIUS

1. Создайте файл словаря с названием dictionary.vasexperts в папке /usr/share/freeradius/.

2. Добавьте в него содержимое:

   # -*- text -*-
   # Copyright (C) 2020 The FreeRADIUS Server project and contributors
   # This work is licensed under CC-BY version 4.0 https://creativecommons.org/licenses/by/4.0
   # Version $Id: a4c3a0511b5a33ac90ae0ac6e64199a03e5a4dc4 $
   #
   #       VAS Experts dictionary
   #
   VENDOR          VasExperts                      43823
   
   BEGIN-VENDOR    VasExperts
   
   ATTRIBUTE       VasExperts-Policing-Profile             1       string
   ATTRIBUTE       VasExperts-Service-Profile              2       string
   ATTRIBUTE       VasExperts-Enable-Service               3       string
   ATTRIBUTE       VasExperts-Multi-IP-User                4       integer
   ATTRIBUTE       VasExperts-UserName                     5       string
   ATTRIBUTE       VasExperts-Service-Type                 6       integer
   ATTRIBUTE       VasExperts-Restrict-User                7       integer
   ATTRIBUTE       VasExperts-Enable-Interconnect          8       integer
   ATTRIBUTE       VasExperts-OutVLAN                      9       integer
   ATTRIBUTE       VasExperts-Command-Code                 10      integer   # CoA command code
   ATTRIBUTE       VasExperts-OutMAC                       11      string
   
   VALUE   VasExperts-Service-Type         Auth                    0   # L3-authorization, known IP
   VALUE   VasExperts-Service-Type         DHCP                    1   # DHCP
   VALUE   VasExperts-Service-Type         PAP                     2   # PAP authorization
   VALUE   VasExperts-Service-Type         CHAP                    3   # CHAP authorization
   VALUE   VasExperts-Service-Type         MS_CHAPv2               4   # MS-CHAPv2 authorization
   VALUE   VasExperts-Service-Type         MAC_QinQ                5   # MAC/QinQ authorization
   VALUE   VasExperts-Service-Type         ARP                     6   # ARP
   VALUE   VasExperts-Service-Type         DHCPv6                  7   # DHCPv6
   VALUE   VasExperts-Command-Code         Check-Acct              1   # Check Accounting session for Framed-IP-Address
   
   # Accounting
   
   ATTRIBUTE       VasExperts-Acct-Traffic-Class-Name      16      string
   ATTRIBUTE       VasExperts-Acct-Traffic-Class-Input-Octets 17   integer64
   ATTRIBUTE       VasExperts-Acct-Traffic-Class-Output-Octets 18  integer64
   ATTRIBUTE       VasExperts-Acct-Traffic-Class-Input-Packets 19  integer64
   ATTRIBUTE       VasExperts-Acct-Traffic-Class-Output-Packets 20 integer64
   ATTRIBUTE       VasExperts-NAT-IP                       21      ipaddr     # NAT 1:1 white address
   
   # DHCP -> Radius attributes
   
   ATTRIBUTE       VasExperts-DHCP-Hostname                32      octets  # DHCP Opt12
   ATTRIBUTE       VasExperts-DHCP-ClientId                33      octets  # DHCP Opt61
   ATTRIBUTE       VasExperts-DHCP-ClassId                 34      octets  # DHCP Opt60
   ATTRIBUTE       VasExperts-DHCP-RelayInfo               35      octets  # DHCP Opt82
   ATTRIBUTE       VasExperts-DHCP-ClientIP                36      ipaddr  # DHCP Opt50
   ATTRIBUTE       VasExperts-DHCP-Request                 37      integer
   ATTRIBUTE       VasExperts-DHCP-RelayRemoteId           38      octets  # DHCP Opt82 subopt 2
   ATTRIBUTE       VasExperts-DHCP-RelayCircuitId          39      octets  # DHCP Opt82 subopt 1
   
   VALUE   VasExperts-DHCP-Request         Discover                0
   VALUE   VasExperts-DHCP-Request         Inform                  1
   VALUE   VasExperts-DHCP-Request         Request                 2
   
   # Radius -> DHCP (Access-Accept, Access-Reject)
   
   ATTRIBUTE       VasExperts-DHCP-Option                  40      octets  # Any DHCP option in binary form
   ATTRIBUTE       VasExperts-DHCP-DNS                     41      ipaddr  # DNS IP address
   ATTRIBUTE       VasExperts-DHCP-Gateway                 42      ipaddr  # Gateway IP address
   ATTRIBUTE       VasExperts-BOOTP-SName                  43      string  # BOOTP SName
   ATTRIBUTE       VasExperts-BOOTP-File                   44      string  # BOOTP File
   ATTRIBUTE       VasExperts-DHCP-Option-IP               45      string  # IPv4 option: "opt:192.168.6.90", for example: "42:192.168.6.90"
   ATTRIBUTE       VasExperts-DHCP-Option-Num              46      string  # Numeric option: "opt:1500", for example: "58:3600"
   ATTRIBUTE       VasExperts-DHCP-Option-String           47      string  # String option: "opt:text", for example: "56:Hello from DHCP!"
   ATTRIBUTE       VasExperts-DHCP-Option-Bin              48      string  # Binary option in hex form: "opt:xxxxxxxx", for example: "58:100E"
   ATTRIBUTE       VasExperts-ARP-SourceIP                 60      ipaddr  # ARP source IP
   ATTRIBUTE       VasExperts-ARP-TargetIP                 61      ipaddr  # ARP target IP
   
   # DHCPv6 -> Radius attributes
   
   ATTRIBUTE       VasExperts-DHCPv6-Request               70      integer # DHCPv6 request type
   ATTRIBUTE       VasExperts-DHCPv6-UserClass             71      octets  # DHCPv6 User Class option
   ATTRIBUTE       VasExperts-DHCPv6-VendorClass           72      octets  # DHCPv6 Vendor Class option
   ATTRIBUTE       VasExperts-DHCPv6-RemoteId              73      octets  # DHCPv6 RemoteId option [RFC 4649]
   ATTRIBUTE       VasExperts-DHCPv6-SubsId                74      octets  # DHCPv6 SubscriberId option [RFC 4580]
   ATTRIBUTE       VasExperts-DHCPv6-Delegated             75      integer # DHCPv6 flag: (1) - CPE requests delegated prefix, (0) - does not
   
   # Radius -> DHCPv6 attributes
   
   ATTRIBUTE       VasExperts-DHCP-Option-IPv6             80      string  # IPv6 option: "opt:2001:fde3::709", for example: "22:2001:fde3::709"
   ATTRIBUTE       VasExperts-DHCP-Option-IPv6-Prefix      81      string  # IPv6 prefix option: "opt:2001:fde3/64"
   ATTRIBUTE       VasExperts-DHCP6-Option-Num             82      string  # DHCPv6 numeric option: "opt:1500", for example: "58:3600"
   ATTRIBUTE       VasExperts-DHCP6-Option-String          83      string  # DHCPv6 string option: "opt:text", for example: "56:Hello from DHCP!"
   ATTRIBUTE       VasExperts-DHCP6-Option-Bin             84      string  # DHCPv6 binary option in hex form: "opt:xxxxxxxx", for example: "58:100E"
   VALUE   VasExperts-DHCPv6-Request       Solicit                 1
   VALUE   VasExperts-DHCPv6-Request       Request                 3
   VALUE   VasExperts-DHCPv6-Request       Renew                   5
   VALUE   VasExperts-DHCPv6-Request       Rebind                  6
   
   # Attributes 250 - 255 are dedicated to the customer's private use and are not used (ignored) by pcrf
   
   END-VENDOR      VasExperts
   

   ``

3. Откройте файл /usr/share/freeradius/dictionary.

   В разделе The Cisco VPN300 dictionary uses the same Vendor ID as the ASA one добавьте $INCLUDE dictionary.vasexperts.

Настроить файлы конфигурации FreeRADIUS для proxy-режима

Нужно отредактировать следующийе файлы конфигурации FreeRADIUS:

• default — описать логику разделения пакетов,
• proxy.conf — описать логику взаимодействия с RADIUS-агентами (LBarcd),
• clients.conf — описать NAS, с которыми должен взаимодействовать FreeRADIUS в proxy-режиме.

Описать логику разделения пакетов в файле default

1. Откройте файл /etc/freeradius/3.0/sites-enabled/default.

2. Отредактируйте секцию authorize. В ней описывается логика разделения запросов авторизации в зависимости от значения атрибута VasExperts-Service-Type.

   Пример:

   authorize {
     # Static + Dynamic ipoe
     if (VasExperts-Service-Type == 0 || VasExperts-Service-Type == 1)
     {
       # Проверка VLAN для ipoe_realm
       if (Nas-Port !~ /^(3251|251|106)$/)
       {
           reject
       }
       else
       {
         update control
         {
           Proxy-To-Realm := "ipoe_realm"
           #State := "ipoe"
         }
       }
     }
     # PPPoE PAP, CHAP, MS-CHAP,  (VasExperts-Service-Type == 3)
     else
     {
       # Проверка VLAN для pppoe_realm
       if (Nas-Port !~ /^(3105|105|106|3100|100|102|2000|2270|2271|2272|2273)$/)
       {
           reject
       }
       else
       {
         update control
         {
           Proxy-To-Realm := "pppoe_realm"
           #State := "pppoe"
         }
       }
     }
   }
   

   ``

   Примечание: если проверка VLAN не требуется, её можно убрать из скрипта.

3. Отредактируйте секцию accounting. В ней описывается логика разделения пакетов аккаунтинга в зависимости от того, есть ли префикс в логине УЗ (в примере — префикс ip_).

   Пример:

   accounting {
   
           # Проверка вхождения "ip" в User-Name
           if ("%{User-Name}" =~ /ip_/i) {
               update control {
                   Proxy-To-Realm := "ipoe_realm"
               }
           } else {
               update control {
                   Proxy-To-Realm := "pppoe_realm"
               }
           }
   

   ``

   Примечание: для версии СКАТ DPI VasExperts 14.0 или новее скопируйте в секцию accounting тот же скрипт, который используется в authorize.

Описать логику взаимодействия с RADIUS-агентами в файле proxy.conf

1. Откройте файл /etc/freeradius/3.0/proxy.conf.

2. Укажите необходимые IP-адреса, порты, пароли, какие порты отвечают за авторизацию и аккаунтинг и т.п.

   Пример файла:

   #  Proxy server configuration
   #
   #  This entry controls the servers behaviour towards ALL other servers
   #  to which it sends proxy requests.
   #
   proxy server {
   	retry_delay = 5
   	retry_count = 3
   	default_fallback = no
   	#dead_time = 120
   	wake_all_if_all_dead = yes
   }
   
   # Радиус ipoe авторизация
   home_server auth_server_ipoe {
   	ipaddr = 127.0.0.1
   	port = 1822
   	type = auth
   	secret = uyQP68pW3y
   	response_window = 20
   	response_timeout = 5
   	max_outstanding = 5
   	weight = 100
   }
   
   # Радиус ipoe аккаунтинг
   home_server acct_server_ipoe {
   	ipaddr = 127.0.0.1
   	port = 1823
   	type = acct
   	secret = uyQP68pW3y
   	response_window = 20
   	response_timeout = 5
   	max_outstanding = 5
   	weight = 100
   }
   
   # Радиус pppoe авторизация
   home_server auth_server_pppoe {
   	ipaddr = 127.0.0.1
   	#ipaddr = 217.197.255.131
   	port = 1842
   	type = auth
   	secret = uyQP68pW3y
   	#response_window = 20
   	#response_timeout = 5
   	#max_outstanding = 5
   	weight = 100
   }
   
   # Радиус pppoe аккаунтинг
   home_server acct_server_pppoe {
   	ipaddr = 127.0.0.1
   	#ipaddr = 217.197.255.131
   	port = 1843
   	type = acct
   	secret = uyQP68pW3y
   	response_window = 20
   	response_timeout = 5
   	max_outstanding = 5
   	weight = 100
   }
   
   # Пул серверов авторизации ipoe
   home_server_pool lb_auth_pool_ipoe {
   	type = load-balance
   	home_server = auth_server_ipoe
   }
   
   # Пул серверов авторизации pppoe
   home_server_pool lb_auth_pool_pppoe {
   	type = load-balance
   	home_server = auth_server_pppoe
   }
   
   # Пул серверов аккаунтинга ipoe
   home_server_pool lb_acct_pool_ipoe {
   	type = load-balance
   	home_server = acct_server_ipoe
   }
   
   # Пул серверов аккаунтинга pppoe
   home_server_pool lb_acct_pool_pppoe {
   	type = load-balance
   	home_server = acct_server_pppoe
   }
   
   realm ipoe_realm {
   	auth_pool = lb_auth_pool_ipoe
   	acct_pool = lb_acct_pool_ipoe
   }
   
   realm pppoe_realm {
   	auth_pool = lb_auth_pool_pppoe
   	acct_pool = lb_acct_pool_pppoe
   }
   

   ``

Описать NAS в файле clients.conf

1. Откройте файл /etc/freeradius/3.0/clients.conf.

2. Опишите NAS, с которыми должен взаимодействовать FreeRADIUS в proxy-режиме.

   Пример файла:

   client 10.0.16.54 {
   	ipaddr = 10.0.16.54
   	secret = public
   }
   
   # fastPCRF Клементьевка
   client 217.197.255.134 {
   	ipaddr = 217.197.255.134
   	secret = uyQP68pW3y
   }
   
   # fastdpi
   client 217.197.255.159 {
   	ipaddr = 217.197.255.159
   	secret = uyQP68pW3y
   }
   
   client localhost {
   		ipaddr = 127.0.0.1
   		proto = *
   		secret = secret
   		require_message_authenticator = no
   #       shortname = localhost
   

   ``

Перезапустить FreeRADIUS

После того как внесёте изменения в эти файлы, перезапустите сервис:

systemctl restart freeradius

Требования со стороны СКАТ и биллинга

Чтобы работало поведение, описанное в файле default в секции accounting, необходимо:

• задавать префикс в логинах учётных записей агента LBarcd, используемого для IPoE (в примере — префикс ip_). Например, ip_alekseev.

• в таблице options LBcore для опции user-name-in-access-accept-response установить значение 1. В этом случае в Access-Accept будет передаваться атрибут User-Name (логин учётной записи), и по префиксу в логине УЗ FreeRADIUS сможет проксировать запрос на нужный агент LBarcd.

Для справки: документация VasExperts СКАТ DPI: Request, Accept, Reject, Атрибуты авторизации