Создание кэширующих radius серверов
Использование связки freeradius+pppd вызывает следующие проблемы:
- потери пакетов из-за большого числа запросов (особенно при массовом отключении юзеров)
- потери пакетов из-за отказа центрального radius сервера
- частые попытки авторизации для некоторых клиентов (например, при запрете доступа для роутеров d-link)
- использование СУБД в качестве хранилища
Решение проблемы в установке freeradius на каждом сервера доступа.
Схема работы:
- Локальный сервер принимает все пакеты (auth+acct)
- Auth пакет проверяет в кэше и при необходимости делает запрос на мастер-сервер
- Acct пакет пишется в файл detail
- При наличии файла detail сервер отсылает их мастеру
Конфигурирование локальных серверов(только основные параметры):
#разрешаем передачу с порта 1814 proxy_requests = yes realm DEFAULT {# перенаправление на мастера type = radius authhost = IP_мастера:1812 accthost = IP_мастера:1813 secret = секрет } modules{# настройки модулей always ok { rcode = ok simulcount = 0 mpp = no } detail { detailfile = ${radacctdir}/detail detailperm = 0644 } caching { filename = ${logdir}/db.cache cache-ttl = 30 hit-ratio = 3 key = "%{User-Name}" cache-size = 2000 cache-rejects = yes } } # приемный сервер server proxy{ listen { type = auth ipaddr = приемный IP } listen { type = acct ipaddr = приемный IP } authorize { caching {# кэшируем запросы ok = return } update control {# отправляем на мастера Proxy-To-Realm := DEFAULT } } post-auth { caching } preacct { files } accounting {# пишем в буферный файл detail } } ############################## # вспомогательный буферирующий сервер server buf-acct { listen {# читаем из буферного файла type = detail filename = ${radacctdir}/detail load_factor = 10 poll_interval = 1 retry_interval = 30 } pre-proxy { #pre_proxy_log } post-proxy { #post_proxy_log } preacct { files } accounting { update control {# отсылаем на мастера Proxy-To-Realm := DEFAULT } } }
P.S. Работа с резервированными мастер серверами буду рассматривать позже (если возникнет у меня необходимость)
Теги: freeradius proxy caching, radius proxy
DD-WRT + Dual Access
Из скриншота должно быть все понятно. Выбор между SNAT и MASQUERADE дело вкуса и возможных глюков.
Теги: DD-WRT Dual Access
Mgcamd: автоматическая генерация priority.list и ignore.list
При использовании mgcamd всегда возникает проблема с задержкой переключения каналов из-за порядка и неиспользуемых CAID. Делать это вручную сложно. Был написан парсер на perl для логов mgcamd. На выходе два списка. Основной это ignore.list и дополнительно priority.list(тут может понадобиться ручная корректировка порядка следования строк).
Также потребуется где-то запущенный syslogd.
В mg_fg выставляем:
D: { 7 }
L : { 03 } syslog-IP 514
Запускаем mgcamd и начинаем переключать каналы подряд.
Затем запускаем программу:
get_priolist.pl < mgcamd-syslog-file >list.txt
Редактором разделяем list.txt на priority.list и ignore.list. Правим при желании порядок строк в priority.list.
Скачать: get_priolist.pl
Теги: autogenerate ignore.list priority.list, ignore.list, mgacamd, priority.list
Дополнительная настройка «олеговой» прошивки
Прошивки лежат http://code.google.com/p/wl500g/downloads/list .
Для DIR-320 нужен вариант WL500gpv2. После обновления нужно выполнить через System Command веб-интерфейса:
- nvram set il0macaddr=xx:xx:xx:xx:xx:xx – поле MAC ID на нижней крышке
- nvram set et0macaddr=xx:xx:xx:xx:xx:xx+1
- nvram set wl_chan_list=»0 1 2 3 4 5 6 7 8 9 10 11 12 13 14″
После записи настроек перегружаем и смотрим, что установились правильные mac (System Command – ifconfig) и в поле Channel есть пунктик Auto
Для WL-520gU есть особенность: если на клиенте WPA Encryption=AES, то соединение устанавливается, но пакеты не принимаются. Если стоит TKIP, то все нормально. На клиенте карточка на Atheros 5007EG + Vista.
И еще – Enable WMM No-Acknowledgement? должен быть Disabled, иначе дальность катастрофически падает.
Теги: "default mac", 00:90:4C:C0:00:00, DIR-320, Enable WMM No-Acknowledgement, oleg, wl520gpv2
MAC-и по-умолчанию
Решил сделать список mac-ов на которые сбрасываются различные устройства:
| MAC | Устройство | Источник |
00:13:10:d1:00:01-02 00:de:fa:19:c0:01-02 |
DIR-300 | DIR-300 v1.04 GPL Code.tar.gz |
00:e0:06:09:55:66 |
||
00:04:61:ff:ff:ff |
||
04:4b:80:80:80:03 |
||
00:90:4c:a1:00:2d 00:11:22:33:44:51-53 00:01:02:03:47:10-12 |
ASUS W500g | GPL_1927.tar.gz |
00:90:4C:C0:00:00 |
DIR-320 | после обновления «олеговой» прошивкой (WL500gpv2-1.9.2.7-d-rXXXX) |
Теги: "default mac"