https:///index.php?action=history&feed=atom&title=Dhcp_%D0%B1%D0%B5%D0%B7_RadiusDhcp без Radius - Історія редагувань2026-05-05T15:51:43ZІсторія редагувань цієї сторінки в вікіMediaWiki 1.40.0Sv: /* Вариант Dchp + Radius */2019-09-20T10:18:37Z<p><span dir="auto"><span class="autocomment">Вариант Dchp + Radius</span></span></p>
<p><b>Нова сторінка</b></p><div>===Схема работы===<br />
<br />
Dhcp-сервер работает автономно от NoDeny. Т.е. выдает ip адреса на свое усмотрение! Dhcp-сервер обычно запоминает какому мак-адресу выдавал какой ip, т.е одно устройства скорее всего будет получать постоянно один и тот же ip, однако, это не гарантируется и, вообще, неважно для NoDeny.<br />
<br />
Как выглядит сам процесс:<br />
<br />
* Абонент включает компьютер и получает ip от dhcp-сервера. При этом dhcp-сервер запускает скрипт modules/dhcp/events.pl.<br />
* events.pl смотрит какому абоненту принадлежит мак-адрес (либо же комбинация мак+свич+порт) и привязывает ip, который выдал dhcpd, к его учетке. Абонент получает доступ в интернет.<br />
* В случае, если мак устройства абонента неизвестен биллингу, абонент, открыв браузер и введя любой адрес, попадает на заглушку, на которой ему сообщается «для получения доступа в интернет введите логин и пароль».<br />
* После ввода логина и пароля, NoDeny запоминает, что мак-адрес (либо же комбинация мак+свич+порт) принадлежит такому-то абоненту.<br />
* При последующих подключениях логин и пароль запрашиваться не будут пока не будет сменено устройство либо точка подключения (в случае использования option 82).<br />
<br />
====Комментарий по Option 82====<br />
<br />
Без использования управляемого оборудования, dhcp не достаточно безопасно т.к. злоумышленник может подделать мак-адрес. Option 82 заставляет свичи информировать dhcp-сервер о том, с какого свича и какого порта пришел запрос. Поэтому подделка мака не приведет к успеху, поскольку мак свича и номер порта, злоумышленник не сможет подделать (если он подключен к свичу с option 82, естественно).<br />
<br />
==Установка==<br />
<br />
Ставим dhcp-сервер<br />
<br />
<source lang="bash"><br />
pkg install isc-dhcp43-server<br />
</source><br />
<br />
Автозапуск и логирование<br />
<br />
<source lang="bash"><br />
echo 'dhcpd_enable=YES' >> /etc/rc.conf<br />
echo 'dhcpd_flags="-q"' >> /etc/rc.conf<br />
echo 'dhcpd_withuser=root' >> /etc/rc.conf<br />
echo '!dhcpd' >> /etc/syslog.conf<br />
echo 'local7.* /var/log/dhcpd.log' >> /etc/syslog.conf<br />
touch /var/log/dhcpd.log<br />
touch /usr/local/nodeny/logs/dhcp.events.log<br />
killall -HUP syslogd<br />
</source><br />
<br />
Настраиваем dhcp-сервер<br />
<source lang="bash"><br />
ee /usr/local/etc/dhcpd.conf<br />
</source><br />
<br />
<pre><br />
log-facility local7;<br />
option domain-name-servers 1.1.1.1;<br />
<br />
subnet 10.100.0.0 netmask 255.255.0.0 {<br />
range 10.100.64.0 10.100.80.255;<br />
interface igb0;<br />
option routers 10.100.0.1;<br />
default-lease-time 1800;<br />
max-lease-time 1800;<br />
on commit {<br />
set ClientIP = binary-to-ascii(10, 8, ".", leased-address);<br />
set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));<br />
set SwitchMac = "";<br />
set SwitchPort ="";<br />
if exists agent.circuit-id<br />
{<br />
set SwitchMac = binary-to-ascii(16, 8, ":", suffix(option agent.remote-id, 6));<br />
set SwitchPort = binary-to-ascii(10, 8, ":", suffix(option agent.circuit-id, 1));<br />
}<br />
execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "commit",<br />
ClientIP, ClientMac, SwitchMac, SwitchPort);<br />
}<br />
on expiry {<br />
set ClientIP = binary-to-ascii(10, 8, ".", leased-address);<br />
execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "expiry", ClientIP);<br />
}<br />
on release {<br />
set ClientIP = binary-to-ascii(10, 8, ".", leased-address);<br />
execute("/usr/bin/perl", "/usr/local/nodeny/modules/dhcp/events.pl", "release", ClientIP);<br />
}<br />
}<br />
</pre><br />
<br />
* interface igb0 - интерфейс, к которому подключены клиенты<br />
* option routers 10.100.0.1 - ip вашего сервера на интерфейсе igb0, т.е. gateway для клиентов<br />
* subnet 10.100.0.0 netmask 255.255.0.0 - клиентская сеть<br />
* range 10.100.64.0 10.100.80.255 - диапазон ip адресов, которые выдает dhcp сервер клиентам. Должен попадать в subnet. Желательно взять диапазон с запасом: ip должно быть в несколько раз больше чем ваших клиентов.<br />
<br />
В админке NoDeny в настройках в разделе «ip pool» создаем ту же сеть, какая указана в конфиге в параметре range, при этом тип ip должен быть «динамический».<br />
<br />
В разделе «Кабинет клиента» добавляем модуль dhcp.<br />
<br />
===Перенаправлние клиентов на веб-заглушку===<br />
<br />
В файле /usr/local/nodeny/cfg/noserver.cfg.pm устанавливаем в 1 параметр<br />
<br />
<pre><br />
$forward_enabled = 1;<br />
</pre><br />
<br />
Перезапускаем noserver.pl<br />
<br />
<source lang="bash"><br />
kill -9 `ps axu | grep noserver | grep -v grep | awk '{ print $2 }'`<br />
perl /usr/local/nodeny/noserver.pl -d &<br />
</source><br />
<br />
Смотрим, появилась ли команда fwd в правилах фаервола:<br />
<br />
<source lang="bash"><br />
ipfw show | grep fwd<br />
</source><br />
<br />
Если не появилась, пробуем:<br />
<br />
<source lang="bash"><br />
ipfw add 65534 fwd 127.0.0.1,8080 tcp from any to any 80<br />
</source><br />
<br />
Если ошибка - необходимо скомпилировать ядро FreeBSD с опцией «options IPFIREWALL_FORWARD»<br />
<br />
Если web-заглушка (модуль cap) не запускается по умолчанию, то либо в настройках Ядро -> Web-заглушка устанавливаем параметр "Запускать модуль при запуске ядра NoDeny" в "да", либо (рекомендуется) запускаем отдельным процессом (и ставим автозапуск в /etc/rc.local):<br />
<br />
<source lang="bash"><br />
/usr/bin/perl /usr/local/nodeny/nokernel.pl -m=cap -d &<br />
</source><br />
<br />
Также запускаем модуль dhcp, но его не обязательно запускать отдельным процессом как в примере:<br />
<br />
<source lang="bash"><br />
/usr/bin/perl /usr/local/nodeny/nokernel.pl -m=dhcp -d &<br />
</source><br />
<br />
===Тестируем===<br />
<br />
Запускаем dhcp-сервер и смотрим лог NoDeny<br />
<br />
<source lang="bash"><br />
/usr/local/etc/rc.d/isc-dhcpd forcestart<br />
tail -f /usr/local/nodeny/logs/dhcp.events.log <br />
</source><br />
<br />
Включаем клиентский компьютер и убеждаемся, что он получил ip по dhcp.<br />
<br />
В логе должно отобразиться подобное<br />
<br />
<pre><br />
[commit] ip=10.100.65.98, mac=0:1d:2a:ff:22:88, mac_ok=001d2aff2288 | Необходима регистрация мака<br />
</pre><br />
<br />
Это означает, что клиенту выдан ip, но мак пока не известен NoDeny. Если есть желание (или у вас что-то не получается), вы можете посмотреть в БД таблицу mac_uid - там будет зарегистрирован данный мак, ip, время, а uid = 0. Команда mysql:<br />
<br />
<source lang="sql"><br />
SELECT *, INET_NTOA(ip) FROM mac_uid;<br />
</source><br />
<br />
Если с клиентского компьютера открыть любую страницу, то запрос будет перехвачен заглушкой и выведено сообщение, что необходимо ввести логин и пароль. После их ввода, мак адрес должен быть привязан к id клиента - это можно проверить той же mysql командой, указанной выше.<br />
<br />
Вы должны ввести логин и пароль не позднее чем через 10 минут от момента получения ip - это защита от ситуации, когда кто-то вручную пропишет ip и попытается его зарегистрировать.</div>Sv