Hospodaření/Služby/PPPoE

Z OmISP Official Wikipedia
Přejít na: navigace, hledání

PPPoE služby slouží pro poskytování datových služeb odběratelům a jejich konfiguraci. PPPoE služby spolupracují s RADIUS serverem. PPPoE služba umí obsloužit klienta v rozličných konfiguracích. Podporované možnosti jsou

  1. Ověrění uživatele
  2. Přidělení konfigurace klientovi dle nastavení služby

Ukázky práce s PPPoE službami

Konfigurace nové PPPoE služby

Pro vytvoření nové PPPoE služby je potřeba mít u kliena vytvořený balíček služeb. Poté je možné do tohoto balíčku zařadit i PPPoE služby. Formulář pro PPPoE službu sestává z několika kontextových částí vzájemně barevně odlišených.

  1. Parametry služby
  2. Koncové zařízení
    1. Parametry rohzhraní pro poskytnutí služby
  3. Omezení připojení služby
  4. IP konfigurace vytvořené služby
    1. Plná podpora IPv4 konfigurace
    2. Plná podpora IPv6 konfigurace

Parametry služby

V prvním kroku je nutné vybrat v poli "Ověřovací server" RADIUS server, který bude obsluhovat požadavky klienta. Na tomto serveru je poté uložena konfigurace klienta. Po výběru serveru, se zobrazí seznam PPP domén, které server obsluhuje a vybereme pro kterou doménu klientovi umožníme službu využívat. Následně vyplním uživatelské jméno a heslo, které klient použije pro své ověření při přístupu do síťě. V poli "Tarif" vybereme jeden z definovaných RADIUS tarifů, ktere RADIUS server poskytuje. Pomocí tohoto tarifu dojde uživateli k omezení a vyúčtování služby. V poli "Třída uživatelského účtu" vybereme jaké povahy je vytvářeny uživatelský účet. Ve správě uživatelů RADIUS serveru, se nám pak účet zařadí do správné kategorie. V poli "Platný do" můžeme nastavit do kdy je tento uživatelský učet platný. Pokud je nastavné datum překročeno, odběrateli bude služba odepřena. Pro poskytnutí služby je nuné zaškrnout pole "Povolit". V případě nezaškrtnutí je uživatelský účet zakázán a služba bude odepřena. Popis umožňuje stručně charakterizovat poskytnunou službu. Plní i roli poznámky.

Koncové zařízení

V sekci koncové zařízení definujeme zařízení na kterém bude klientovi poskytována služba. Na výběr je několik možností

Vytvořit nové zařízení

V této volbě se do systému zavedeno nově definované zařízení. U nového zařízení musíme specifikovat jeho název identifikující zařzení v rámci sítě, ve které je zařízení umístěno. Název hostitele se použije pro mapování reverzního záznamu do DNS služeb. Popis zařízení stručně charakterizuje jeho účel. Komentář slouží pro psaní poznámek k danému zařízení.

Parametry rozhraní

Jako další parametr konfigurace je definice nového síťovího rozhraní na které bude vázána poskytovaná PPP služba. U rozhraní je nutné specifikovat jeho název, MAC adresu a jeho třídu. Pole popis a komentář slouží pro psatní účelu rozhraní a případných poznámek.


Omezení připojení služby

Omezení připojení služby umožňuje omezit autorizani uživatele přímo na vybraný PPPoE server. Toho se využívá pokud poskytujeme odběrateli službu statickou. V případě, že je pole nevyplněno, je uživatel omezován PPP doménou, ze které se autorizuje.

Typ alokace IPv4 adresy

Systém umožňuje rozsáhlou škálu konfigurací v případě alokace IPv4 Adres. Je tak kompletně poktryta možnost různých systémových konfigurací.

Nealokovat adresu

V případě, že služba nepožaduje alokovat IPv4 adresy. Systém zpět uživateli neposílá žádné konfigurační parametry. Správce sítě např. má zavedenu ruční konfiguraci přímo na routerech. Dochází tak pouze k ověření uživatele a omezení služby dle vybraného tarifu. Pokud jsou potřeba zaslat klientovi individuální parametery, je možné je vyspecifikovat v odpovědi RADIUS uživatele přímo v konfiguraci daného RADIUS serveru.

Lokálním DHCP server

== V této konfiguraci, je klientovi přidělena IPv4 adresa pomocí lokálního DHCP serveru. Pokud je v konfiguraci DHCP serveru zaškrtnuta volba "Use RADIUS", pak systém vybere klientovi nejnižsí volnou IPV4 adresu z požadovaného poolu DHCP serveru a lokální DHCP server přidělí adresu pomocí protokolu DHCP. Pokud jsou potřeba zaslat klientovi individuální parametery, je možné je vyspecifikovat v odpovědi RADIUS uživatele přímo v konfiguraci daného RADIUS serveru.

Zaslaná RADIUS serverem

V této konfiguraci přebírá systém kompletní správu nad alokací IPv4 adres pro připojení. IPv4 Adresy se alokují podle následující konfigurace. Pokud je zaškrnuto pole "Dynamická IPv4 adresa" a je klientovi služba dle předchozích omezení poskytnuta, vybere se pro připojení první nejnižsí volná IPv4 adresa platná pro PPPoE server, ze kterého se klient hlásí. Aktuálně použitá IPv4 adresa je obsažena v poli "IP adresa". Jestliže požadujeme vždy statickou IPv4 adresu, stačí v ji poli "IP adresa" začít vyhledávat. Pokud není nastaveno omezení na připojení služby pro daný PPPoE server, jsou brány v potaz všechny definované adresy pro danou síť, které jsou volné. Pokud je nastaveno omezení na konkrétní PPPoE server, jsou k dispozici pouze volné IPv4 adresy přiřazené pro vybraný PPPoE server.


Typ alokace IPv6 adresy / prefixu

Systém umožňuje rozsáhlou škálu konfigurací v případě alokace IPv6 adres a prefixů. Je tak kompletně poktryta možnost různých systémových konfigurací.

Nealokovat

IPv6 prefixy se nealokují. Nedojde k žádné aktivitě v oblasti IPv6 protokolu.

Lokálním DHCP server

Mikrotik podporuje delegování prefixů (PD - Prefix Delegation ) pomocí DHCP serveru vytvořeného při navázání PPP spojení. Více o nastavení je v dokumentaci mikrotiku. Bohužel není v Mikrotiku zatím implementováno RFC 4818. Z tohoto důvodu není zatím toto řešení implemenotváno za důvodu nepraktičnosti - je třeba zadávat nabízené prefixy do IPv6 DHCP Poolu přímo v Mikrotiku což znemužňuje držet kontrolu nad alokací jednotlivých prefiů . Pokud je třeba toto řečení realizovat je nutné k PPPoE službě editovat zasílané parametry RADIUS uživatele a přidat do parametrů odpovědí "Mikrotik-Delegated-IPv6-Pool :='nazev_ipv6_poolu'" a provést nastavení NAS dle manuálu Mikrotiku.

Zasílat RADIUS serverem

OmISP podporuje zasílání libovolného počtu IPv6 prefixů uživateli. Tyto je nutné vybrat v dialogu zřízení/úpravy služby PPPoE. Systém nabízí pouze IPv6 prefixy, které jsou umístěné na dané sítí, a nejsou zatím u žádné PPPoE služby využité. Není tak možné zavést duplicity na síti a tím zmást routování.

POZOR !!! Problém Mikrotiku

Při zaslání více IPv6 prefixů bude použit POUZE PRVNÍ PREFIX. Dle RFC je možné použít tento parametr několikrát, ovšem Mikrotik vezme pouze první a ostatní zaslané prefixy IGNORUJE. Bohužel.

Ověření přístupu služby

V NAS musí být nakonfigurovaný radius server a jeho doména musí začínat třemi znaky "ppp". Pokud těmito znaky nění doména uvedena, pak systém neprovede ověření PPPoE služby uživatele

Služba nebude poskytnuta, pokud

  1. Doména v NAS nezačíná "ppp"
  2. Služba pro uživatelské jméno a heslo není definována, nebo není spuštěna
  3. Je služba vyúčtována, a není plně uhrazena. Termín vyučtování se stanovuje dle nastavní služby
  4. Pokud se klient hlásí z jiného PPPoE serveru, než je definováno v omezení služby

Systém klasifikace navázaných spojení

Jednotlivá sezení jsou klasifikována dle následujících typů. V systému je tak vždy naprosto jasně vidět v jakém stavu se služba nachází. Klasifikací sezení je docíleno toho, že správce sítě, přesně ví kolik odběratelů a kdy síť využívá, případně kolik služeb je zablokováno. Dle vlastních požadavků jsou dělat různé statistiky

  • CORRECT - Spojení je v pořádku vytvořeno a na tomto spojení je řádně poskytována služba. Probíhá účtování
  • TEMPORARY_USER_REQUEST - Spojení je v pořádku vytvořeno a na tomto spojení je řádně poskytována služba. Dočasné spojení bylo vytvořeno na žádost uživatele (např. chce uhradit zatím neuhrazenou službu).
  • SERVICE_CHECKER - Spojení je v pořádku vytvořeno, ale veškeré www požadavky od klienta jsou směřovány na dohledový systém, který klienta po přihlášení obslouží. Ostatní síťový provoz je odepřen.

Poskytování služeb a dohledový systém

Systém kompletně řídí přístup k síti, přidělování zdrojů sítě rovněž je monitorován dohled nad službami. Systém je pro operátora maximálně pasivní. To znamená, že maximum zodpovědnosti za konfiguraci služby, včetně dohledlu nad přístupem je delegováno na klienta. Klient tak vždy ví v jakém stavu se jeho služba nachází a v případě, že je služba omezena zná i důvod proč není služba poskytnuta.

  1. Poskytovatelem je definována nová služba dle nabídky služeb
  2. Služba je spuštěna. Tím je odběrateli povoleno využívat prostředků sítě
  3. Po přihlášení odběratele pomocí jména a hesla, jsou klientovi VŽDY přiděleny zdroje sítě(IP adresa, rychlost, atd.).
  4. V případě že služba ještě nebyla vyúčtována může odběratel využívat zdroje sítě
  5. Po vyúčtování služby musí odběratel uhradit vyúčtování do termínu splatnosti vyúčtování.Pokud není služba uhrazena je aktuální sezení ukončeno a je vytvořeno nové sezení, klasifikované jako SERVICE_CHECKER
  6. V režimu SERVICE_CHECKER jsou všechny http požadavky přesměrovány na dohledový systém
  7. Po přihlášení do klientského rozhraní, je odb2ratel jasně informován v jakém stavu se služba nachází a co může pro řešení situace udělat.
  8. Odběratel si může zpřístupnit službu na zvolenou dobu aby mohl provést úhradu za služby.
  9. Po uplnynutí této doby je dočasné spojení ukončeno a je vytvořeno nová spojení dle stavu služby. Klient si může službu odblokovat pouze jednou.

Konfigurace NAS

RADIUS klasicky funguje na principu povolení - odmítnutí služby. To se jeví jako neefektivní ve chvíli, kdy chceme odběratele informovat o nějaké události. Spojení není tedy navázáno pouze v případě, že nedojde k ověření jména a hesla. V ostaních připadech je spojení navázáno a podle typů sezení je obsloužen NAS. Aby bylo toto možné realizovat je nutné aby NAS prováděl dodatečné směrování uživatele v závislosti na typu navázaného sezení. Následující postup zabezpečuje směrování neautorizovaných služeb na dohledový systém. Sadu pravidel je samozřejmě měnit dle vlastních požadavků. Funguje pro verzi RoS 6.

Značkování spojení a paketů

Pro správnou klasifikaci je nejprve nutné spojení a data správě označit

[admin@test_rb] > ip firewall mangle print 
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=mark-connection new-connection-mark=omisp_authorized_connection passthrough=yes connection-state=new src-address-list=omisp_authorized_service in-interface=all-ppp 
1   chain=prerouting action=mark-packet new-packet-mark=omisp_authorized_packet passthrough=no in-interface=all-ppp connection-mark=omisp_authorized_connection 
2   chain=prerouting action=mark-connection new-connection-mark=omisp_unathorized_connection passthrough=yes connection-state=new src-address-list=!omisp_authorized_service in-interface=all-ppp 
3   chain=prerouting action=mark-packet new-packet-mark=omisp_unathorized_packet passthrough=yes src-address-list=!omisp_authorized_service connection-mark=omisp_unathorized_connection 
  1. Pravidlo označí všechna ppp spojení z autorizovaných adres značkou "omisp_authorized_connection"
  2. Pakety z autorizovaných ppp spojení jsou označeny značkou "omisp_authorized_packet"
  3. Ostatní spojení pocházející z neautorizovaných adres jsou označeny značkou "omisp_unathorized_connection"
  4. Pakety z neautorizovaných ppp spojení jsou ozačeny značkou "omisp_unathorized_packet"

Fitlrování spojení a paketů

V příkladu beží dohledový systém na IP adrese 1.1.1.1. Ve vlastní konfiguraci se adresa přepíše reálnou IP adresou.

[admin@test_rb] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0   ;;; Vsechny autorizovane spojeni pustit
chain=forward action=accept in-interface=all-ppp packet-mark=omisp_authorized_packet 

1   ;;; Odchozi pakety na dohledovy system
chain=forward action=accept dst-address=1.1.1.1 in-interface=all-ppp 

2   ;;; Prichozi pakety z dohledoveho systemu
chain=forward action=accept src-address=1.1.1.1 out-interface=all-ppp 

3 ;;; Vsechny nautorizovane pakety odmitnout
chain=forward action=reject reject-with=icmp-admin-prohibited src-address-list=!omisp_authorized_service in-interface=all-ppp 


Přesměrování spojení a paketů

V příkladu beží dohledový systém na IP adrese 1.1.1.1. Ve vlastní konfiguraci se adresa přepíše reálnou IP adresou.

[admin@test_rb] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 

 0   ;;; Vsechny neautorizovane HTTP požadavky přesměrovat na dohledový systém. 
chain=dstnat action=dst-nat to-addresses=1.1.1.1 to-ports=80 protocol=tcp src-address-list=!omisp_authorized_service in-interface=all-ppp dst-port=80 packet-mark=omisp_unathorized_packet 

 1   ;;;Zároveň překládat zdrojové IP adresy na adresu NAS rozhraní.
chain=srcnat action=masquerade to-addresses=2.2.2.2 protocol=tcp src-address-list=!omisp_authorized_service dst-port=80 packet-mark=omisp_unathorized_packet