Šikovné RADIUS attributy pro PPPoE

[zdenek.svarc]

Edit: Průběžně přidávám attributy do seznamu a do závorky uživatele ISPforum.cz, který na daný attribut upozornil.

Pomáhám trošku ladit jednu RouterOS/Freeradius/PPPoE instalaci a napadlo mě otevřít tohle vlákno, kde bysme zkusili dát dohromady nejšikovnější attributy pro PPPoE, které používáte. Každé rozšíření je vítáno.

- Framed-IP-Adress
- Framed-Route
- Framed-IPv6-Prefix
- Mikrotik-Delegated-IPv6-Pool (Majklik)
- DNS-Server-IPv6-Address (Majklik)
- Mikrotik-Rate-Limit
- MS-Primary-DNS-Server
- MS-Secondary-DNS-Server
- Filter-Id
- Mikrotik-Address-List (loopie)
- Session-Timeout (loopie)

[zajdee]

Delegated-IPv6-Prefix - tim rikam koncentratoru, jaky IPv6 prefix ma naroutovat ke klientovi. (Pokud vim, jeste stale nefunguje v RouterOS PPPoE serveru...)

[okoun]

jo tenhle parametr mi také nic nedělá a nebylo by něco co by mi na pppoe clientovi vytvořilo ipv6 adresu jako D a ta by byla ve formátu něco /64 a advertise?
potřebuji už trochu jednoduše u klientů nahazovat ipv6 a zatím tedy nic moc...

[loopie]

Mikrotik-Address-List - šikovný atribut se spoustou využití
Session-Timeout - používám pro nastavení času ukončení služby, pokud zákazník končí.

Delegated-IPv6-Prefix je RFC atribut, který pokud vím nikdy nefungoval. Podle reakcí na fóru Mikrotiku se na tom asi ani nikdy nic nezmění.

Nastavujete někdo na ROSu klientům IPv6 prefixy přímo z radiusu? Jak, když Delegated-IPv6-Prefix není podporován? Já už jsem se kvůli tomuto nedostatku začal poohlížet po jiných platformách na PPPoE koncentrátory.

Jarda

[okoun]

Mikrotik-Address-List - šikovný atribut se spoustou využití
Session-Timeout - používám pro nastavení času ukončení služby, pokud zákazník končí.

Delegated-IPv6-Prefix je RFC atribut, který pokud vím nikdy nefungoval. Podle reakcí na fóru Mikrotiku se na tom asi ani nikdy nic nezmění.

Nastavujete někdo na ROSu klientům IPv6 prefixy přímo z radiusu? Jak, když Delegated-IPv6-Prefix není podporován? Já už jsem se kvůli tomuto nedostatku začal poohlížet po jiných platformách na PPPoE koncentrátory.

Jarda

hmm u mě ten Session-Timeout vyslaný radiusem vůbec nic nedělá, chtěl jsem takto řešit aktualizaci parametrů jelikož CoA ani OP prý nefunguje ale bohužel nic respektive funguje mi to jen když to nastavím na koncetrátoru v nastavení ppp profile na MK. vysílám třeba "acct-Session-Time = 20" jinač má to jednu malinkou nevýhodu a to vypadnutí cca na 1sec.. nevím jeslti je to zrovna nejlepší no
jinak nechápu proč to ipv6 nejde? je to snad stejné jako vyslat IPV4 adresu ne? v čem je problém?

[Majklik]

Se to spíše změnilo v pláč nad těma chybějícíma, že? Tak si přidám další: DNS-Server-IPv6-Address - význam asi jasný.

Ohledně toho, jak předat IPv6 segment pro LAN klienta, tak z Radiusu je nyní jen jeden možný způsob, a to atribut Mikrotik-Delegated-IPv6-Pool (nefunguje ani RFC ekvivalent Delegated-IPv6-Prefix-Pool). Předám jméno poolu v kterém je IPv6 segment, který má dostat klient. Bohužel je to pruda, protože musím mít dopředu pod DHCPv6-PD serverem namlácené jednotlivé pooly per user s přidělenýma segmenty a pak v radius odpovědi posílat jen jméno toho poolu, co se na uživatele aplikuje (pokud tedy chci mít jendoznačně přidělený segment ke klientovi, pokud je mi jendo, co dostane, tkamám pool jeden veliký, jeho jméno posílám všem a DHCPv6-PD server si to porcuje po /60 blocích).... Možná něco půjdu doskriptovat v ROS6.33 a jeho up/down PPP skriptech?

Komplikace toho Delegated-IPv6-Prefix je v tom, že vlastně musím nakonfigurovat dynamicky DHCPv6-PD server, ten přidělit na danou PPPoE linku a řící mu, že přidělovat ten segment. Asi to ještě celé nedobastlili... A hodilo by to nejen pro PPPoE, ale i pro klasické IPoE, abych DHCPv6-PD server mohl konfigurovat z Radiusu stejně pohodlně, jak můžu normálni DHCP pro IPv4....

[loopie]

Session-Timeout asi budeš chtít jako Access-Accept atribut. Je to číslo ve vteřinách, které NASu říká, za jak dlouho má klienta vykopnout. Já ho posílám pouze klientům, kteří už mají nastavené datum ukončení služby.

S tím IPv6 to Mikrotikové dělají složitější, než to musí být. Představují si to tak, že na každém NASu budeš mít definovaný (staticky) IPv6 pool, ze kterého budeš odřezávat prefixy pro klienty. Můžeš mít těch poolů víc a pomocí Mikrotik-Delegated-IPv6-Pool si vybrat, který se použije. Po navázání PPPoE se nahodí dynamický DHCPv6-PD server na PPPoE interfacu a vybraný prefix se nabídne zákošovi, který zase musí mít nastaveného DHCPv6-PD klienta. Tohle všechno funguje, včetně nastavení LAN strany CPE a následné autokonfigurace. Problémy jsou dva - zaprvé musíš definovat ty pooly na NASech (což můžete být otrava, pokud jich máš víc) a zadruhé pokud vím ROS nemá žádný accounting pro IPv6, takže nebudeš vědět, jaký prefix vlastně zákazník aktuálně používá. Třetí problém jsou statické prefixy, které jsou v tomhle podání úplně nahlavu.

Mě by spíš zajímalo, jestli někdo máte IPv6 přes PPPoE na Mikrotiku ve větší míře nasazené, případně jak jste se vypořádali s výše uvedeným.

Jarda


edit: Majklik byl rychlejší

[hyb]

Doplním - úspěšně používáme atributy:

Filter-Id - pro nasměrování na firewall chain
WISPr-Session-Terminate-Time - pro ukončení připojení k danému času (absolutní čas, ne počet vteřin od připojení jako má Session-Timeout)

[okoun]

a ten čas si hlídá dle čeho? Nasu a nebo radius serveru?

[hyb]

a ten čas si hlídá dle čeho? Nasu a nebo radius serveru?

IMHO je to záležitost NASu, radius jen pošle attribute.

[okoun]

takže podmínkou je mít na nasu dobře nastaven čas, hmm dobrý škoda jen že neumí aby si to hlídal radius a potom radius poslal disconnect

[hyb]

takže podmínkou je mít na nasu dobře nastaven čas, hmm dobrý škoda jen že neumí aby si to hlídal radius a potom radius poslal disconnect

Jasně, ale nastavit čas přes ntp je jednoduchý a hodí se to. Jinak by šlo posílat coa disconnect přes rádius, ale musel by se dopsat scriptik, kterej by někde v db pravidelně hledal komu končí povolená doba a pak ho odstřelil..

[Standula]

Ale to prece neni problem ? Pokud mam u sluzby ulozen cas platnosti, tak preci mohu kdykoli dopocitat zbyvajici cas session a pri vytvoreni spojeni posilam patricny udaj. A je to osetrene na NAS
http://wiki.omisp.cz/index.php/Soubor:Detail_balicku_sluzeb.png
http://wiki.omisp.cz/images/a/af/Detail_poskytnute_pppoe_sluzby.png

[okoun]

jasně scripty nejsou problém, ale je to zbytečné kdyby to právě mohl umět přímo radius, jinak pro mikrotik coa poslat disconnect neumí, mám ten pocit..
jinak líbí se mi tvůj projekt, brzy budu vydávat svůj podobný s tím, že ale kod nebude otevřený, nicméně licence zatím bude zdarma.

[hyb]

jinak pro mikrotik coa poslat disconnect neumí, mám ten pocit...

coa disconnect na mikrotik funguje. Nechodil mi coa na zmenu parametru bez odpojeni klienta, ale mozna jsem se jen malo snazil. Chodi to nekomu? Treba zmena Mikrotik-Rate-Limit ?