URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 98006
[ Назад ]
Исходное сообщение
"Freeradius в роли прокси-сервера"
Отправлено Maniac , 09-Окт-24 16:30 
Добрый день. Настраиваю прокси на основе FreeRadius: от браса приходит запрос авторизации на прокси, запрос проксируется в зависимости от определенных условий на один из двух радиус-серверов. Радиус-сервер, в зависимости от пришедшего запроса, может либо отправить ответ Access-Accept (доступ есть), либо ответ вообще не отправить (в этом случае в логах прокси сообщение типа "Login incorrect (Failing proxied request for user "x.x.x.x", due to lack of any response from home server x.x.x.x")). В случае отсутствия ответа от радиус, прокси посылает на брас ответ с reject. Вопрос: как сделать так, чтобы в случае отсутствия ответа от радиуса прокси так же не отвечал брасу, вместо reject'а?
Содержание
Сообщения в этом обсуждении
"Freeradius в роли прокси-сервера"
Отправлено Pahanivo пробегал , 10-Окт-24 00:05 
> Вопрос: как сделать так, чтобы в
> случае отсутствия ответа от радиуса прокси так же не отвечал брасу,
> вместо reject'а?

А какой в этом смысл?
Чтоб брас ждал и задалбывал ретраями твой прокси радиус?

"Freeradius в роли прокси-сервера"
Отправлено Maniac , 10-Окт-24 07:39 
>> Вопрос: как сделать так, чтобы в
>> случае отсутствия ответа от радиуса прокси так же не отвечал брасу,
>> вместо reject'а?
> А какой в этом смысл?
> Чтоб брас ждал и задалбывал ретраями твой прокси радиус?

Брас настроен таким образом, что пока не получит reject от радиуса, сессия находится в статусе "Error", пользователь при этом имеет доступ к инету. Не я настраивал, но мне нужно, чтобы прокси не отправлял reject

"Freeradius в роли прокси-сервера"
Отправлено Pahanivo , 10-Окт-24 12:18 
>>> Вопрос: как сделать так, чтобы в
>>> случае отсутствия ответа от радиуса прокси так же не отвечал брасу,
>>> вместо reject'а?
>> А какой в этом смысл?
>> Чтоб брас ждал и задалбывал ретраями твой прокси радиус?
> Брас настроен таким образом, что пока не получит reject от радиуса, сессия
> находится в статусе "Error", пользователь при этом имеет доступ к инету.
> Не я настраивал, но мне нужно, чтобы прокси не отправлял reject

ммммм ну поменяй тип ответа в post-proxy на accept ...
не уверен что получится дропнуть reject прокси.

"Freeradius в роли прокси-сервера"
Отправлено Maniac , 10-Окт-24 13:02 
> ммммм ну поменяй тип ответа в post-proxy на accept ...
> не уверен что получится дропнуть reject прокси.

Если в разделе authorize применить параметр do_not_respond - никакой ответ от прокси не отправляется. Но тут требуется еще как-то проверять, есть ли ответ от радиуса.
Если d post-proxy поменять тип ответа на accept, то разве прокси не будет отвечать accept на все запросы?

"Freeradius в роли прокси-сервера"
Отправлено Pahanivo , 10-Окт-24 13:27 
> Если в разделе authorize применить параметр do_not_respond - никакой ответ от прокси
> не отправляется. Но тут требуется еще как-то проверять, есть ли ответ
> от радиуса.
> Если d post-proxy поменять тип ответа на accept, то разве прокси не
> будет отвечать accept на все запросы?

Ну дак ты не глобально меняй, а что-то типа
Post-Proxy-Type Fail.... {}
я думал это понятно.

"Freeradius в роли прокси-сервера"
Отправлено Pahanivo , 10-Окт-24 13:31 
>> Если в разделе authorize применить параметр do_not_respond - никакой ответ от прокси
>> не отправляется. Но тут требуется еще как-то проверять, есть ли ответ
>> от радиуса.
>> Если d post-proxy поменять тип ответа на accept, то разве прокси не
>> будет отвечать accept на все запросы?
> Ну дак ты не глобально меняй, а что-то типа
> Post-Proxy-Type Fail.... {}
> я думал это понятно.

post-proxy {
     Post-Proxy-Type Fail-Authentication {
                        update reply {
                               &Reply-Message := "FAIL proxy request"
                        }
     }

}

"Freeradius в роли прокси-сервера"
Отправлено Maniac , 10-Окт-24 15:35 
>[оверквотинг удален]
>  update reply {
>            
>            
>         &Reply-Message := "FAIL
> proxy request"
>            
>            
>  }
>      }
> }

То есть так?
post-proxy {

      Post-Proxy-Type Fail-Authentication {
                                    do_not_respond
                    }
    }

"Freeradius в роли прокси-сервера"
Отправлено Pahanivo , 10-Окт-24 15:51 
>   do_not_respond

При чем тут это?
> Если d post-proxy поменять тип ответа на accept, то разве прокси не будет отвечать accept на все запросы?

на accept пробуй менять тут

"Freeradius в роли прокси-сервера"
Отправлено Maniac , 10-Окт-24 16:09 
>>   do_not_respond
> При чем тут это?
>> Если d post-proxy поменять тип ответа на accept, то разве прокси не будет отвечать accept на все запросы?
> на accept пробуй менять тут

Но мне не нужен accept) прописал именно с do_not_respond в post_proxy - вроде норм, ответа от прокси нет, если прокси не получил ответ от радиуса

"Freeradius в роли прокси-сервера"
Отправлено Pahanivo , 10-Окт-24 16:56 
пожалуйста

"Freeradius в роли прокси-сервера"
Отправлено Maniac , 11-Окт-24 07:09 
> пожалуйста

Спасибо! =)

"Freeradius в роли прокси-сервера"
Отправлено Andrey , 10-Окт-24 12:25 
> сессия находится в статусе "Error", пользователь при этом имеет доступ к инету.

Может это основная проблема? Давать доступ до прохождения авторизации... ну так себе решение.

"Freeradius в роли прокси-сервера"
Отправлено Maniac , 10-Окт-24 13:03 
>> сессия находится в статусе "Error", пользователь при этом имеет доступ к инету.
> Может это основная проблема? Давать доступ до прохождения авторизации... ну так себе
> решение.

Ну, решение не мое, и нет возможность что-то поменять в этой схеме

"Freeradius в роли прокси-сервера"
Отправлено Pahanivo , 10-Окт-24 13:41 
> Может это основная проблема? Давать доступ до прохождения авторизации... ну так себе
> решение.

кривые костыли + мотороллер не мой = классика