BFW Firewall & Router

por **ghost** » Qui Jun 03, 2010 10:20 pm

lei que le mandaste un mail a woshman, pero por lo que tengo entendido el dejo de lado el proyecto y ahora lo retomo daniel.uramg, podrías intentar ponerte en contacto con el a ver si implementa tu idea que me parece muy buena...

Saludos :o!

por **jhonfw** » Qui Jun 03, 2010 11:31 pm

colemanhot escreveu:jhonfw hermano que bueno escuchar palabras de aliento...

pero habra que agregarle a esos addons algunas funciones ya que estube leyendo un poquitico y me parecio que son escaneadores de red y al parecer tienen algunos problemitas...corrigeme amigo si me equivoco si!!!

gracias por su interes en este tema.. sobre el arping si que suena bien.. ese addons podra hacer lo que comente arriba...

ups
el netdiscover de consola funciona bien es el netdiscover con interfaz web en que tiene problema
el arping ase lo mismo que el netdiscover pero de forma manual
es decir le hace arping a una ip y devuelve la mac
creo que el arping ya esta incluido en el brz

colemanhot escreveu:estube pensando algunas cosas y si hubiese un addons, que guardara automaticamente todas las mac de los clientes nuestros... y sepa que ip le corresponde a cada mac...entonces cuando alguien quiera clonar una ip,, el addons, se de cuenta que no es una mac conocida y automaticamente bloquee la mac ,,mas no la ip y asi nuestro cliente pueda navegar seguro cuando lo desee.. se podra crear esto amigos...

entonces seria asi la primera ves que se conecta automáticamente el mismo addon le hace un arping y la guarda la mac en una lista de mac conocidas
luego hace todo lo demás

ahora hacerlo y que funcione es un poquito mas dificil

por **ChiapasiP** » Sex Jun 04, 2010 1:27 am

Entendido mi buen colemanhot

No habia pensado en el punto de que no concordarian los datos,tanto de la targeta como la iP asignada al BFW.

Consideo que tendria que ser de forma directa,que el cliente presente su portatil para extrer los datos y despues venderle el saldo o targeta para internet
haciendo una base de datos con las mac,asignarle un numero espesifico de cliente y resolver proximos abonos con un mensaje de telefono enviando su numero de cliente codigo de la targeta que le abonaria el saldo

o en su caso dejarles navegar unos minutos por un portal nuestro como prueba ,en el cual exista link de registro con detalles para extraer la mac para futuras recargas y mandarles un numero de cliente a un mail, asi cuando compren targetas de abono,en ellas solo habra un codigo el cual deveran enviar con su numero de cliente en un mensaje celular y en 30 minutos tendriamos amarrada la IP MAC y enviariamos su clave de Login Easycaptive como respuesta

Bueno estoy un poco cansado,espero no errar con mis ideas

por **AdslWiFi** » Sex Jun 04, 2010 8:22 am

jhonfw escreveu:
entonces seria asi la primera ves que se conecta automáticamente el mismo addon le hace un arping y la guarda la mac en una lista de mac conocidas
luego hace todo lo demás

ahora hacerlo y que funcione es un poquito mas dificil

Con un poco de ayuda podríais hacerlo ustedes. Realmente hacer eso que comentas no es muy complicado. Fijaos que solo tenéis que modificar los propios archivos de configuracion de Brazil y recargar... es sencillo... podriamos empezar con este hilo a dar unas nociones y ustedes vais aprendiendo... ¿ok?... ¿os parece la idea?... seria bueno que todos vayamos aprendiendo y de esta forma creceríamos mas rapido... ;-)

Saludos...

por **ZaPa** » Sex Jun 04, 2010 1:56 pm

Hola.

¿Que addon quereis que se elabore colemanhot? Quizás pueda realizár esa tarea

.

Enviarme privi con info al respecto.

Saludos.

por **pablino76** » Sex Jun 04, 2010 2:15 pm

a ver zapa
fíjate bien el hilo
ahi el kia expone cuales son las necesidades
entre cosas la más fundamental
es bájate el easycaptive
y re modifícalo agrégale una opción o mejórala para que este detecte IP mas MAC del cliente original
y evite también las posible clon de IP que se pueden suceder
vos fíjate que si entra un cliente y clava en su interface de red la misma ip gateway + mas quizás la MAC address del easy captive y lo deja asi estando conectado a la red esa
mueren todos los cybernautas que pagaron, se quedan sin navegación hasta el propio root creo ni podria entrar al webadmin de easycaptive a no ser que este tenga una subred en la misma interface para poder accederlo tambien por esa misma.
entonces la idea es fortalecer a easy para que no permita que esto se suceda.
Entre otras cosas.

por **colemanhot** » Sex Jun 04, 2010 4:15 pm

hola amigo ChiapasiP dejame decirte que tus ideas no son erroneas, mas bien gracias por aportal algo, lo que hay es que ir modificando las ideas hasta conseguir lo que buscamos...

zapa amigo lo que buscamos es lo mismo que te explica pablino, lo que necesitamos es agregarle una opcion al easycaptive para que guarde todas las mac de nuestros clientes.... y reconozca en el momento de que alguien quiera clonar una, que esa mac no es una MAC conocida y de insofacto la bloquee por un tiempo definido...gracias por colaborar hermano.....

AdslWiFi amigo su idea esta estupenda.. a mi personalmente me encantaria aprender como modificar algun addons en brazilfw.. cuantas cosas no podriamos lograr con un poco de experiencia en esto....buena idea :o!

hola ghost como le va... si efectivamente ya les envie unos mp a woshman esperemos que conteste pronto...seria muy interesante su aporte...

saludos y adelante amigos......

por **pablino76** » Sex Jun 04, 2010 5:25 pm

che como responsable por decirlo de alguna forma de compilar la herramienta de auditoria Netdiscover
quiero dejar claro algo ya que se manoseo un poco vi.

arping sin desmerecerlo es bueno pero tiene la categoría de ser un constructor de paquetes TCP para inyectar envíos request de consulta de la capa 2 nada más.

Netdiscover-CGI
En cambio tiene Categoria de Auditing, Miscellaneous, Monitoring, Network, Network Utilities, Sniffers, System Security Management

yo te sugiero pruebes (si queres) la versión CGI beta 3 v1.06 digamos que es la mas estable y ordenada que se pudo conseguir tiene algunas mejoras.
Diría como usuario de esta que no esta fallando en CGI o no presenta grandes criticas malas salvo la dependencia de cron .
si instalas la versión CGI automáticamente pasas a tener también instalada la versión de consola que tiene la posibilidad de usar las hot keys eso si es beneficioso en modo consola.
la ventaja de usarlo por CGI es que vos dejas en modo pasivo a netdiscover y si abrís el monitor cada tanto de este vas a ir viendo que IP y MAC van entrando a la red en todo momento y si alguien va cambiando IP en el monitor cgi de netdiscover lo vas a ver claramente y entonces sacar conclusiones mas concretas de que paso.
algo para destacart tambien y muy benfisioso es que no solo este va a capturar el rango de IP que usas, este va capturar cualquier rango de IP que entre a la red, este brazilfw o, no este, dentro de ese rango de IP subred configurado, entonces de ahí, sacar conclusiónes de un posible ataque o alguien que esta jugando con el manoseo de configuración de IP’s puede ser más sencillo y mas provechoso que ejecutar solo un request de arping.
No digo entonces que este sea la solución full a lo que se busca pero no es lo mismo hacerlo a brazilfw esnifar promiscuamente en modo pasivo esta capa, que usar un arping en el momento de problemas en la subred de easycaptive.
y bueno si no se entendió (ni lo comentemos) :lol:

lo que quiero decir estudien vulnerabilidades de la capa 2 y sus posibles formas de auditarla y ahí van a conseguir comprender de que estamos hablando.
Tema netdiscover para hablarlo creo que no seria aca, este tiene un hilo en todo caso en factory.

Yo se que, y estoy estudiándola que la solución existe en hacer un server de encapsulamiento pppoe para esto, sobre la Ethernet entre brazilfw easycaptive y el cliente asi dándole una configuración a cada cliente, privada con una mascara cerrada (255.255.255.255) osea la maquina cliente debería quedar conectada al server asi para que se entienda bien.

Código: Selecionar todos: Adaptador PPP vpn-bfw : Sufijo de conexión específica DNS : Descripción. . . . . . . . . . . : WAN (PPP/SLIP) Interface Dirección física. . . . . . . . . : 00-53-45-00-00-00 DHCP habilitado. . . . . . . . . : No Dirección IP. . . . . . . . . . . : 192.168.3.23 Máscara de subred . . . . . . . . : 255.255.255.255 Puerta de enlace predeterminada : 192.168.3.23 Servidores DNS . . . . . . . . . .: 4.2.2.2 8.8.8.8

obsérvese la máscara y la gateway (fundamental).
Encapsulamiento osea es llegar a la misma idea que ha llegado cualquier proveedor de un servicio de internet echo a conciencia supongamos.
tiene muchos menos riesgos y mas privacidad para los clientes.
y si no es esta la solución abra que esperar un astro-

por **ZaPa** » Sex Jun 04, 2010 8:25 pm

Hola.

pablino76, te estas confundiendo amigo..

La conexión que muestras es una conexión pppoe. La cual debe de tener una parte para la marcación y otra parte para la conexión.¿Correcto? (si no esta en modo bridge)..

Solamente los proveedores de ADSL por linea telefonica ofrecen con esta posibilidad...

Un operador de cable por ejemplo, al obtener por DHCP, obtiene una IP dentro de su rango, con X máscara de red y puerta enlace dentro de ese rango obtenido. Osea, que no todos utilizan eso que comentas.

Además que implementar un servidor para encapsular todo por pppoe es más tedioso,complicado y no necesario.

Saludos.

por **pablino76** » Sex Jun 04, 2010 8:45 pm

che zapa un desastre corrobora acá
http://www.brazilfw.com.br/forum/viewtopic.php?f=23&t=73302#p220476
Eso que puse ahí arriba es una conexión PPTP con user pass real echo en con PPTPD en brazilfw no es nada super nuevo.
ahí puse una compilación pptpd.tgz todo lo que está en ese hilo son TGZ experimentales se instalan en vivo desde la raiz.
lo de pppoe se puede en LAN tenes que entender como es la negociación Over Ethernet lo estoy resolviendo busca mas información en la red.

SALUDOS.

por **jhonfw** » Sex Jun 04, 2010 10:32 pm

ZaPa escreveu:Solamente los proveedores de ADSL por linea telefonica ofrecen con esta posibilidad...

ppoe también hay un hilo en addon factory discutiendo lo mismo

por **pablino76** » Sáb Jun 05, 2010 2:27 pm

Hola
Che estoy investigando como hacer para que easy captive use la interface ppp0 creada por PPTPD y no doy con el hacerlo y estoy clavado acá

Cambio en coyote.conf lo clasico por
LOCAL_IPADDR='192.168.3.1' #esa ip es la de ppp0
IF_LOCAL='ppp0'

Bien cambio en el arrancador de easycaptive osea el
edit /etc/rc.d/pkgs/rc.zeasycaptive
las iptables que crea al arrancar

Código: Selecionar todos: $IPT -t nat -I easycaptive -i $IF_LOCAL -p tcp -d 0/0 -j DROP $IPT -t nat -I easycaptive -i eth0 -p tcp -d 192.168.0.1/24 --dport $WEBADMIN_PORT -j ACCEPT $IPT -t nat -I easycaptive -i eth0 -p tcp -d 192.168.0.1/24 --dport 1723 -j ACCEPT $IPT -t nat -I easycaptive -i eth0 -p tcp -d 192.168.0.1/24 --dport $SSH_PORT -j ACCEPT $IPT -t nat -I easycaptive -i $IF_LOCAL -p tcp -d $LOCAL_IPADDR/$LOCAL_NETMASK --dport $EASY_PORT -j ACCEPT $IPT -t nat -I easycaptive -i $IF_LOCAL -p tcp -d $LOCAL_IPADDR/$LOCAL_NETMASK --dport $SARG_WEB_PORT -j ACCEPT $IPT -t nat -I easycaptive -i $IF_LOCAL -p tcp -d 0/0 --dport 80 -j DNAT --to-destination $LOCAL_IPADDR:80

Arranco easy captive desde webadmin en modo proveedor
Corroboro las iptables creadas
iptables -L -t nat

Código: Selecionar todos: Chain easycaptive (1 references) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:www to:192.168.3.1:80 ACCEPT tcp -- anywhere 192.168.3.0/24 tcp dpt:8182 ACCEPT tcp -- anywhere 192.168.3.0/24 tcp dpt:8282 ACCEPT tcp -- anywhere 192.168.0.0/24 tcp dpt:ssh ACCEPT tcp -- anywhere 192.168.0.0/24 tcp dpt:1723 ACCEPT tcp -- anywhere 192.168.0.0/24 tcp dpt:8180 DROP tcp -- anywhere anywhere

perfecto pense easycaptive arranco y conicidio genial

Conecto desde el xp a pptpd (port 1723) de brazilfw todo bien
en easy captive esta pelado no adminiti a ningun usuario ninguna ip ninguna hora nada
Voy a navegar esperando que me pare easycaptive re direccionándome este a la pagina clasica de usuario aun no habilitado y no es asi va a google y todos lados, osea, mal ahí.

¿Porque será?

Esta muy claro las iptables que agrego el rc.zeasycaptive
Al webadmin port 8180 lo va aceptar por la ip 192.168.0.1
El 1723 tambien igual
El 22 tambien igual
De ahí en adelante usa las variables $LOCAL_IPADDR osea ppp0 (192.168.3.1) que yo cambie en coyote.conf
Asi las que le siguen igual. En síntesis, las trabas de easy captive
Y por ultimo el DROP total de los totales de :arrow:

no festeje mas nada que no sea esto.

Corroboro por ultimo desde xp un tracert pensando que se esta saltando el firewall

Código: Selecionar todos: C:\Documents and Settings>tracert google.com.ar Traza a la dirección google.com.ar [74.125.47.103] sobre un máximo de 30 saltos: 1 1 ms 1 ms 1 ms 192.168.3.1 #esta es ip de brazilfw ppp0 2 3 ms 3 ms 3 ms 192.168.60.1 #esta es ip subred del modem conectado a la wan ...etc en definitiva sigue viajando

No se no entendí que pasa que faltaría configurarle al easycaptive para que este use funcione todo por ppp0 de pptpd.
¿como es que se salta las chain de easycaptive en nat?

por **pablino76** » Sáb Jun 05, 2010 3:13 pm

bueno no queda otra que post de nuevo porque ahí el error era que yo estaba en p edo y tenia una vieja regla agregada
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d 0.0.0.0/0 -j MASQUERADE
la borre
reinicie todo de nuevo
ahora di de alta el user 23 en easy con password todo y ni me re direcciono
ni nada esasy ni bola no navega el 23 ni ahí nada es como que al darle de alta en prepago espere que este creara una regla de nat para el 192.168.3.23 y no es así
nose entonces que mas falta
si entro por el navegador a 192.168.3.1 todo bien me pide user y pass lo ingreso luego quiero ir a google nada y en easy se ve el user 23 como UP.

por **colemanhot** » Seg Jun 07, 2010 2:09 am

exactamente que quieres hacer amigo pablino...

saludos...

por **pablino76** » Seg Jun 07, 2010 3:21 am

Recrear easycaptive en un entorno encapsulado distinto al que se encuentra.
Libre de las posibles trabas que se le pueden presentar más seguro, mas privacidad, mejor calidad, un poco mas profesional.

mas preparado para entornos mucho mas hostiles de los que con suerte te toco estar a vos.
hoy en día la sociedad no es tan ilusa en redes coleman sin ir mas lejos vos ya te das cuenta como les estas enseñando a ingresar ip's gateways dns password la gente piensa coleman tarde o temprano el cliente aburrido sin poder navegar se despierta y arranca por probar sin animo de mal lograr las cosas pero esas pruebas te pueden quitar horas y dejar perplejo unas buenas horas quizás dias y te puede presentar trabas y travestis.
Entonces las malos porvenires de un script medio software como easycaptive a veces esta bueno analizarlos e ir buscándole posibles soluciones a tiempo a que quedarse en los laureles llenadose los bolsillo de grana inconcientemente puede ser pan para hoy hambre para mañana.

easycaptive es un gran addon mas me refiero a las horas que tiene de desarrollo si miras el codigo tiene muchas horas de análisis evidentemente dejarlo ahí involucionar y mantenerlo dentro de una red con clientes wireless tan expuesto no se en fin...
Eso justamente .

coleman por ultimo el tema de con los addon y sus futuros desarrollos viene no por la cantidad que pudiese uno haber estudiado teoría , si no que se basa en las cantidad de horas que uno tiene tras un X addon software o sistema utilizándolo y usándolo entonces viene ahí porque se te apreta un poco mas pienso para que cuentes mas y mas de que ves y que cosas mejorarías y COMO (fundamental) dando algunos ejemplo. Calcula que vos tenes ese addon 24 hs funcionando para una ocasión concreta real y yo acá en total lo abre usado para observación en total entre prueba y pruebas 10 hs calculo ósea incomparable ¿entendes a lo que voy?

por **colemanhot** » Seg Jun 07, 2010 3:44 am

tienes toda la razon amigo pablino :o!

sigamos adelante hermano y ojala logres algo que nos asegure la seguridad en nuestros aps...

saludos..

por **pablino76** » Seg Jun 07, 2010 3:53 am

aja si bueno me voy a dormir.
saludos

por **colemanhot** » Seg Jun 07, 2010 3:57 am

tan temprano..

yo hoy le doy hasta las 6 como minimo....

$\`´/$ $\`´/$ $\`´/$ no mentira hermano.. que descances..

saludos....

por **El guapo Dan** » Seg Jun 07, 2010 1:12 pm

pablino76 escreveu:Hola
Che estoy investigando como hacer para que easy captive use la interface ppp0 creada por PPTPD y no doy con el hacerlo y estoy clavado acá

Pablino, pptpd va a crear una ppp* por cada uno de los clientes terminados (terminado=conectado en ppp), entonces para el primer cliente será creada la interface ppp0, para le segundo ppp1, etc...

Lo que debes usar es la ip que pppd utiliza al momento de ser invocado, es la ip asignada con el flag "-L", todas la ppp* creadas van a usar esa ip como ip local.

PD.

En la if_local debe ir eth0 o la interface que tengas en lan.

por **pablino76** » Seg Jun 07, 2010 2:23 pm

hola dan
aca vengo entre mezclándome mas ahora con rp-pppoe

dan vos lo probaste eso que me sugerís ahí? te funciono realmente en practica asi?

el otro día cuando medio abandone easycaptive encapsulado
me desconcertaban 2 cosas

asi y todo lograra orbitar dentro de easy las interfaces ppp0 ppp1 ...etc
easycaptive habilitando el user ip pass en este
los clientes encapsulados por ppptd
no eran re direccionados por la chain primaria hacia el captor
esta precisamente
DNAT tcp -- anywhere anywhere tcp dpt:www to:192.168.3.1:80

de movida esta diciendo al entrar al firewal hasta llegar a esa regla que
todos anywhere sean re direccionados todos al portal de IP no habilitada aun o en su defecto enviarlo al formulario html para que ingrese user y pass

una vez autenticado el usuario se crea una chain mas arriba de estas que le habilita osea natea esa ip para navegar libre durante el time que corre luego la borra.

pero no es así aparentemente pasaría por la regla de redirección anywhere hacia el captive pero no lo hace muestra la clásica pagina de firefox de querer cargar algo y muere sitio no encontrado.

no se entonces que pasa ahí no lo pude comprender y medio me ofusque lo deje y pase a rp-pppoe pero me interesaría ir resolviéndolo algo mas en conjunto
me gustaría hagamos un integración y de acá a un año o lo que sea lograr hacer el easy captive con posibilidad de fusionarlo con pptpd.

Sigo aca experimentando y encontrando cosas muy positivas en la encapsulacion de clientes con respecto a la seguridad tanto del Server como de los clientes,
es un porcentaje mucho mayor en seguridad a que tener todo esto parado sobre una simple lan de clientes solo de mucha confianza.
claro hay contratiempo de remodificaciones luego de configuración de QOS y otras cosas nada que sea imposible
y calculo sera beneficioso al final de la cuestión trasca se aprendera mucho mas de como manejan los PROservices los ISP que nos estan proveyendo el acceso a la WAN.

es increíble darse cuenta que todo esto esta sostenido por un archivito de texto read only.
SI SE CAE, NOS VEMOS EN DISNEY!

por **El guapo Dan** » Seg Jun 07, 2010 2:29 pm

Pablino, tengo pppoe con radius en produccion con 87 clientes, no en bfw pero debe funcionar igual, no he usado pptpd pero el principio es el mismo que con pppoe.

Saludos.

por **pablino76** » Seg Jun 07, 2010 2:49 pm

si si en el final será
pptpd depende de TCP desde un principio y una interfase dedicada para el en el host cliente.
pppoe depende solo desde el principio inicio, de la capa 2 para hacer la negociación sobre ethernet luego se sincroniza al final sobre TCP dejando inclusive esa interfase del host siempre libre para configurarla hacia otras cosas si se quiere eso lo veo bueno.

Igual te entendí.

quien tiene el rp-pppoe.tgz con el radiusd? pásemelo por favor subalo a un server cualquiera si se puede
lo recontra re preciso para ver algo de la conf de radiusd que tiene unida a rp-pppoe. :lol:

por **El guapo Dan** » Seg Jun 07, 2010 3:09 pm

No tengo rp-pppoe.tgz, tengo ppoe + radius en otra distro pero dime que es lo que necesitas y con gusto lo posteo.

Saludos.

por **pablino76** » Seg Jun 07, 2010 3:19 pm

me pasa que mi compilación rp-pppoe el 2.3.10 permite que todos conecten con el mismo pass y user del que ya esta conectado
y estoy por comenzar a investigar como llegar a usar esta opción que seria de radiusd

DEFAULT Group == "cliente128k", Simultaneous-Use = "1"
ahi justamente eso dice solo simultáneamente 1 user por user y pass

luego tambien poder configurar esto
Fall-Through = Yes,
Download = 128,
Upload = 64,
Cliente = cliente

que radiusd bajo como logro fusionarlo a los dos?
esto ya esta echo solo que escribí a luapufo y me dijo que se le extravió el rp-pppoe-server.tgz que se había ya echo esta desaparecido.

otra cosa al instalar el pptpd de juanillo me sobre escribio los archivos de /etc/ppp/ip-up y el ip-down que pasa ahí luego me desfavorecerá en algo?
esos justamente son los que van a ir creando ppp0 ppp1 etc y bajando

por **El guapo Dan** » Seg Jun 07, 2010 4:08 pm

ya entiendo.

en mi caso es asi:

radius escuchando solicitudes en 127.0.0.1
pppoe enviando solicitudes a 127.0.0.1.

pppoe-server-options:

Código: Selecionar todos: #Generated automatically by /etc/rc.d/init.d/pppoes 0.2.7 please do not edit ms-dns 192.168.1.1 asyncmap 0 auth crtscts lock hide-password modem mru 1492 mtu 1492 lcp-echo-interval 30 lcp-echo-failure 4 noipx linkname server plugin radius.so plugin radattr.so

para usar radius lo mas importante son las 2 ultimas lineas.

Luego hay una carpeta /etc/radiusclient, alli hay un archivo servers:
/etc/radiusclient/servers

Código: Selecionar todos: #Server Name or Client/Server pair Key #---------------- --------------- 127.0.0.1 testingPassword

Luego hay que configurar radius, para que escuche en 127.0.0.1, hay que modificar el archivo /etc/raddb/clients.conf:

Código: Selecionar todos: client localhost { ipaddr = 127.0.0.1 secret = testingPassword require_message_authenticator = no nastype = other # localhost isn't usually a NAS... }

Este es un ejemplo de mi archivo /etc/raddb/users:

Código: Selecionar todos: daniel@wemax.net Cleartext-Password := "123456" Service-Type = Framed-User, Framed-IP-Address = 192.168.1.33, Fall-through = yes daniel2@wemax.net Cleartext-Password := "654321" Service-Type = Framed-User, Framed-IP-Address = 192.168.1.34, Fall-through = yes DEFAULT Simultaneous-Use := 1 Framed-Protocol = PPP, Framed-IP-Netmask = 255.255.255.0, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1492, Framed-Compression = Van-Jacobsen-TCP-IP,

por **pablino76** » Seg Jun 07, 2010 4:21 pm

aja si muy buena esa informcion
aca me compile un radius

brazilfw# radiusd
radiusd: dict_init: Couldn't open dictionary: /etc/raddb/dictionary

voy a ir viendo entonces eso que me pasastes ahi me es muy util Thanks!
a ver preciso unas horas para verlo bien como lo modifico para mi y hago andar este radius aca primero.

a ver vos sabes que me faltaria creo
plugin radius.so
plugin radattr.so

esos dos archivos so
y estoy viendo que en fedora osea en el buildtree no se me quedaron
voy a chequiar bien.

por **pablino76** » Seg Jun 07, 2010 5:20 pm

dan estoy cerca parece ahí logre arrancar radius y pppoe-server
ahora al haber des comentado y activado los plugins radius.so y el otro en el pppoe-server-options
tengo en xp un error 651 al querer conectar es clasico ese
se que es porque los plugins no estan en brazilfw
donde se supone que tienen que estar en brazilfw acomodados estos en caso de que los encuentre? al compilar radiusd estos no se crearon ¿sabes de donde entonces los sacos para agregarlos a brazilfw?

asique fui a brazil volví a comentar las líneas

plugin radius.so
plugin radattr.so

y ahi conecte como siempre para poder escribir aca
parece que me faltan esos dos plugin entre a la carpeta plugin y no esta
/etc/ppp/plugins y no hay nada

por **El guapo Dan** » Seg Jun 07, 2010 5:33 pm

Si comentas esas lineas desactivas radius, por eso funciona bien, osea arrancas pppoe a pelo sin soporte para radius.
rdius.so y radattr.so son creados cuando complilas pppd. Compila pppd con el flag --prefix=/usr por que si no pppd va a estar buscando todo en /usr/local/ una vez que hayas compilado pppd sustituye el ejecutable pppd por el que tu acabas de compilar, cuando hagas make install ppd te va a colocar una carpeta en /usr/lib llamada pppd, copiala completa a bfw, alli adentro estan radius.so y radattr.so.

No se si bfw 2.x tiene syslog pero si lo tiene checa los logs de /var/log/daemon.log, allí vas a ver por que radius no está arrancando. El error 651 y otros similares es por que pppoe-server si escucha solicitudes que envia a pppd pero pppd no puede arrancar radius.

Este es un log de ppp cuando se hace la negociacion del acceso con radius:

Jun 2 08:59:00 sedi pppoe-server[24001]: Session 3 created for client 08:00:27:48:70:9e (10.67.15.3) on eth0 using Service-Name 'sedi'
Jun 2 08:59:00 sedi pppd[24001]: Plugin radius.so loaded.
Jun 2 08:59:00 sedi pppd[24001]: RADIUS plugin initialized.
Jun 2 08:59:00 sedi pppd[24001]: Plugin radattr.so loaded.
Jun 2 08:59:00 sedi pppd[24001]: RADATTR plugin initialized.
Jun 2 08:59:00 sedi pppd[24001]: pppd 2.4.5 started by root, uid 0
Jun 2 08:59:00 sedi pppd[24001]: Using interface ppp0
Jun 2 08:59:00 sedi pppd[24001]: Connect: ppp0 <--> /dev/pts/2
Jun 2 08:59:02 sedi pppd[24001]: local IP address 192.168.1.1
Jun 2 08:59:02 sedi pppd[24001]: remote IP address 192.168.1.34

Saludos.

por **pablino76** » Seg Jun 07, 2010 6:58 pm

bien dan di con los extraterretres de los pluings esos no conseguí hacer la compilación bien como me dijistes pero di con estos
los encontre en

/ppp-2.4.2+20040202.orig/upstream/tarballs/ppp/pppd/plugins/radius

muy bueno ese dato ahí que me pastes de que nada tenia que ver los tar.gz rp-pppoe y radiusd con estos archivos
bueno ahora el tema es que quise solo mudar estos pluings a brazilfw sin mudar el pppd
no se donde ponerlos exactamente en que directorio en brazilfw para que ya salga andando
te cuento que en brazilfw tengo el pppd que trae nativo nose si te sirve el dato
o sera fundamental que mude el nuevo pppd también a brazil?.

PD: la gente que pasa por acá me dice que van a hablar con Carl Sagan
para preguntarle si no me convertí en un marciano
muchas horas atras de esta pantalla sentado quiero conseguir la autenticación por radius y me levanto a comer algo toy sin neuronas ya.

por **El guapo Dan** » Seg Jun 07, 2010 7:18 pm

jajaja, bueno yo ya tengo antenas...

coloca los archivos radius.so y radiusattr.so en /lib/, luego has un link de ellos en /usr/lib/ y otros en /usr/local/lib, yo batalle mucho para dar con ese detalle, si pppd fue compilado sin modificar el --prefix=, va a buscar esas librerias en /usr/local/lib, no importa que en tu PATH tengas a /lib y los tengas allí.

por **pablino76** » Seg Jun 07, 2010 8:18 pm

si efectivamente dan era como me dijiste antes desde un principio tuve que cambiar el pppd también en brazilfw
ahí funciono salvo que ahora el problema me dice usuario y contraseña no son correctos
no se donde es que busca el pass pero el chap-secrets no es y radiusclient/users lo tengo en /etc/ metido ese directorio

ahora la version de pppd que uso es la

Código: Selecionar todos: brazilfw# pppd --help pppd version 2.4.2 Usage: pppd [ options ], where options are: <device> Communicate over the named device <speed> Set the baud rate to <speed> <loc>:<rem> Set the local and/or remote interface IP addresses. Either one may be omitted. asyncmap <n> Set the desired async map to hex <n> auth Require authentication from peer connect <p> Invoke shell command <p> to set up the serial line crtscts Use hardware RTS/CTS flow control defaultroute Add default route through interface file <f> Take options from file <f> modem Use modem control lines mru <n> Set MRU value to <n> for negotiation See pppd(8) for more options.

la version radiusd es radiusd-cistron-1.6.8.tar.gz

Código: Selecionar todos: Usage: radiusd [-a acct_dir] [-d db_dir] [-l logdir] [-csxYyz]

y la rp-pppoe server es

Código: Selecionar todos: brazilfw# pppoe-server --help pppoe-server: illegal option -- - Usage: pppoe-server [options] Options: -I if_name -- Specify interface (default eth0.) -T timeout -- Specify inactivity timeout in seconds. -C name -- Set access concentrator name. -m MSS -- Clamp incoming and outgoing MSS options. -L ip -- Set local IP address. -l -- Increment local IP address for each session. -R ip -- Set start address of remote IP pool. -S name -- Advertise specified service-name. -O fname -- Use PPPD options from specified file (default /etc/ppp/pppoe-server-options). -p fname -- Optain IP address pool from specified file. -N num -- Allow 'num' concurrent sessions. -o offset -- Assign session numbers starting at offset+1. -f disc:sess -- Set Ethernet frame types (hex). -s -- Use synchronous PPP mode. -u -- Pass 'unit' option to pppd. -r -- Randomize session numbers. -d -- Debug session creation. -x n -- Limit to 'n' sessions/MAC address. -P -- Check pool file for correctness and exit. -h -- Print usage information. PPPoE-Server Version 3.10, Copyright (C) 2001-2006 Roaring Penguin Software Inc. PPPoE-Server comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under the terms of the GNU General Public License, version 2 or (at your option) any later version. http://www.roaringpenguin.com

estoy re cansado dan me voy a comer mañana seguiré y veré como hacer para que de con el archivo de user y password
muy buena la ayuda me fue muy útil me degastes muy claro todo ahora si estoy mas familiarizado con esto de radiusd
GRACIAS muy buenas esas antenas que te salieron
mañana cuento si avance algo más, calculo que si.

por **colemanhot** » Ter Jun 08, 2010 12:10 am

amigos ya le envie un mp al amigo daniel uramg sobre ip duplicada de easycaptive..esperemos que nos de una mano....

saludos....

por **ZaPa** » Ter Jun 08, 2010 6:03 am

Hola...

Para evitar un posible conflicto de ip con otras personas del mismo servicio, quizás se podria otorgar la ip por DHCP pero con el uso de subredes, y para cada cliente que conecta una subred diferente... Para la creación de 1 subred por usuario da para muchas subredes...

Con esto. Cada cliente que realice una nueva conexión (ha comprado una tarjeta) tendrá distinta gateway y estará separado de otra persona que este conectado también a nosotros gracias a las tarjetas de prepago...

¿Ya lo probaron?

Saludos.

por **pablino76** » Ter Jun 08, 2010 11:15 am

si yo lo sugerí
pero proba vos te paso algo para facilitarte quizás las cosas un poco mas instálate el easycaptive 2.08

con esta línea creas en brazilfw 254 subredes con una mascara 255.255.255.252 en eth0

for i in `seq 1 254`; do ip addr add 10.67.$i.1/30 broadcast + dev eth0; done

luego corrobora con ip route show
y bueno para borrarlas lo mismo pero del.

proba hacete unas pruebas zapa de eso yo no recuerdo bien si probé eso estuve mas con el tema de agregarle las redes encapsuladas

por **colemanhot** » Ter Jun 08, 2010 12:04 pm

amigos lamento ser aguafiestas pero todas esas opciones ya las probe.. no podemos dar ip por dhcp a los posibles clientes prepago...ya que deveriamos de saber quien comprara, para asignarle una ip a la clave y login de esa tarjeta en especifico...
espero que se entienda.....

de todas maneras como dice un amigo no todo esta escrito...sigamos buscando la forma, pero yo por mas que pruebo no veo la forma, pero dos cabezas piensan mas que una... adelante muchachos....

saludos....

por **AdslWiFi** » Ter Jun 08, 2010 12:12 pm

Pero por qué no cuando se mete un user y un pass automáticamente se asocia ese user a esa MAC hasta que se agote el saldo?. También se puede asociar a una IP en concreto y poner en la tarjeta ó en un mensaje, que una vez introducido user y pass debe reiniciar para que todo funcione. De esta manera ya pillará la IP que se quiera al haberse asociado a esa MAC.

Es una solución sencilla que se me ocurre para evitar que el cliente deba introducir a mano los datos... :shock:

Saludos...

por **El guapo Dan** » Ter Jun 08, 2010 12:48 pm

colemanhot escreveu:amigos lamento ser aguafiestas pero todas esas opciones ya las probe.. no podemos dar ip por dhcp a los posibles clientes prepago...ya que deveriamos de saber quien comprara, para asignarle una ip a la clave y login de esa tarjeta en especifico...
espero que se entienda.....

de todas maneras como dice un amigo no todo esta escrito...sigamos buscando la forma, pero yo por mas que pruebo no veo la forma, pero dos cabezas piensan mas que una... adelante muchachos....

saludos....

Las tarjetas prepagadas no son personalizadas, o sea, no necesitan contener tu nombre, cuando menos nunca me han vendido una tarjeta para el celular con mi nombre escrito en ella. La cosa es que ni siquiera se necesita un user para vender tarjetas, solo se necesita un codigo que identifique a la tarjeta en una base de datos.

Pablino, cuando usas radius el archivo chap-secrets pasa a ser irrelevante, radius busca los users en /etc/raddb/users o en /usr/local/etc/raddb/users, todo depende del --prefix de compilacion.

por **pablino76** » Ter Jun 08, 2010 1:33 pm

hola che cuando la critica sin prueba ya no esta mas de moda

Prueben esto
en la consola de brazilfw agregan esto

Código: Selecionar todos: for i in `seq 1 254`; do ip addr add 10.67.$i.1/30 broadcast + dev eth0; done for i in `seq 1 254`; do iptables -t nat -A nat-masks -s 10.67.$i.0/30 -d 0.0.0.0/0 -j MASQUERADE; done

van y habilitan easy captive proveedor
habilitan un user ip pass y horas
ejemplo > 1º user1 ip > 10.67.35.2 > le ponen hora pass listo

luego el cliente la configuracion seria , una de las 254 posibles una seria esta, en el cliente

10.67.35.2 #dos < no puede ser tres o cuatro por la máscara que se esta usando en este rango desde brazilfw
Luego >
255.255.255.0 #mascara
10.67.35.1 #gateway
8.8.8.8 #DNS

el próximo cliente puede ser 10.67.30.2 siempre dos

probé esto recien ahora y anda
es mas seguro? es mas seguro
es vulnerable? es vulnerable mucho menos que el sistema de habilitación de clientes que vienen usando hasta ahora si imaginan otras iptables, mas seguro va a ser esto

Luego el resto piénsenlo yo estoy re cansado estoy más amigos con rp-pppoe server pero no doy con configurar el radiusd se me anulo la cabeza mal estoy podrido quiero armar un hilo en integracion para rp-pppoe server pero no se como arrancar.

hagan prueba con esto que digo si quieren y púlanlo un poco mas y re formalícenlo mucho mas

por **pablino76** » Ter Jun 08, 2010 1:36 pm

dan ahora pruebo esos directorios que me decis de raddb

mira como se sugiere que haga un user en el archivo users

Código: Selecionar todos: steve Auth-Type = Local, Password = "1234" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.16.3.33, Framed-IP-Netmask = 255.255.255.255, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobson-TCP-IP

pero me parece que falta configurar otros archivos mas

si mato el proceso radiusd y voy a xp conecto sigue diciendo el user pass no coincide
yo pensé que si mataba el proceso radiusd ya ahi me iba a dar algún error

por **El guapo Dan** » Ter Jun 08, 2010 3:00 pm

Pablino, en radius 2.1.8 la asignacin de las variables de la primera linea del archivo users se hace con el simbolo ":=" no "=", según leí tambien se puede con "==", o sea un user sría:

Código: Selecionar todos: daniel@wemax.net Cleartext-Password := "123456" Service-Type = Framed-User, Framed-IP-Address = 192.168.1.33, Fall-through = yes

Y luego el default para todos los que hacen fall-through:

Código: Selecionar todos: DEFAULT Simultaneous-Use := 1 Framed-Protocol = PPP, Framed-IP-Netmask = 255.255.255.0, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1492, Framed-Compression = Van-Jacobsen-TCP-IP,

Nota el simbolo en simultaneous-Use del default y en la contraseña del user.

Tienes razón sería bueno que abrieras otro post para no desvirtuar este, ya lo desvirtuamos bastante.

Tambien necesitas usar el MTU a 1492, el protocolo pppoe le agrega 8 bits a la cabecera de los paquetes y no recuerdo por que pero al final todos los paquetes debían ser fragmentados con un mtu mas alto que 1492 y trae muchos problemas.

BFW Firewall & Router

Quem está online