17.6.VPN对接设置
凌风认证计费的标识对接,已经不需要NAS端固定IP,动态IP和私网IP均能实现对接。
但是现在私网IP越来越多,有的甚至一个公网IP都没有,全如是100.64,10,172等开头的私网。
这个时候标识对接并不影响,那么有一种情况下,会影响到,就是我们开启了已经过期还允许上线的提醒。
比如今天1号,用户101就在今天1号过期,我们设置了他过期后还能在7天内上线,但上线不能连网,所有网页都显示已经过期,这个时候用户续费成功后,因为踢线不成功,他的小路由账号还在线,未生效导致还是提示过期,这个时候要生效需要重启小路由让其重新拔号。
当然如果没有开过期后提醒其实是不影响的。
对于WEB无线对接来讲,不过开没开过期提醒都会影响,所以我们需要打通计费的NAS之间的连接。
VPN对接并不需要改变标识对接的方式,我们仍可以采用0.0.0.0接受任一IP,只是仅在VPN连接成功后,我们改一下NAS那边的RadiusIP为VPN的服务器IP。
凌风认证计费,自带PPTP L2TP OpenVPN三个VPN服务器。功能强大,支持全面。
建议使用OpenVPN,以下我们演示OpenVPN互备对接。
如果用电脑端的PPTP和L2TP,我们要做如下设置。
因PPTP/L2TP并不是所有地方都能拔得上,所以计费又加入了OpenVPN服务器。
以下演示用ROS,ovpn就是指openvpn,下图是我们支持的三种VPN客户端类型。
填好IP,端口,账号密码,前面有个R表示连接成功,而PPTP和L2TP不过只是少填一个端口号。
可以看到,服务器地址10.152.0.1,拔上来的IP是10.152.0.10
对接,路由填VPN服务器IP和密钥
计费还是按标识对接,因为标识本身包含任一IP地址,这样10.152.0.10本身已经包含在里面了。
ROS的标识是主机名,在System->Identity里面设置
看看是不是很简单呢,其余的路由也是这样模式。
因PPTP,L2TP有可能用着用着就拔不上了(运营商封杀),如果VPN拔不上,用户就会认证失败,我们在ROS上采用互备
认证计费仍是按标识对接不变,路由这边Radius设置两个,一个是VPN的,一个是直接计费公网IP的,当VPN断线时会直接走到第二个上,当VPN恢复时又还原到第一个上。
这样的主要目的是担心VPN拔不上来导致用户691,而直接IP标识对接只要有外网就不会有问题,这样可以做一个互备。
但互备的话ROS会发送两次计费包到认证计费系统,增加额外的负担或出现不必要的意外,我们只能启用一个对接,第二个禁用。
这样我们可以用一个守护脚本来检测运行状态
#凌风认证计费[LFRadius]
#脚本放在/system/scheduler里,每5秒运行一次便可
#就改vpn变量名和/interface后面的VPN类型pptp-out1 l2tp-out1 ovpn-out1以及下面的pptp-client l2tp-client ovpn-client
#http://www.lflflf.net
#============================================================
:global vpn ovpn-out1
:global conn
/interface ovpn-client
:set conn [get [find name=$vpn] running]
/radius
:if ($conn=true) do={
:if ([get 0 disabled]=true) do={enable 0}
:if ([get 1 disabled]=false) do={disable 1}
}
:if ($conn=false) do={
:if ([get 0 disabled]=false) do={disable 0}
:if ([get 1 disabled]=true) do={enable 1}
}
请注意这个脚本守护的对接顺序,VPN的IP放顶上,为0,备用的为1。
这个时候我们禁用VPN,就能发现第二个对接自动启用了,再启用VPN,就发现第一个对接启用第二个禁用了。
再启用VPN。
VPN客户端之间互访
OpenVPN默认可以直接互访,但如果用PPTP和L2TP的VPN来管理各路由,路由的的互访设置如下
VPN互访需要在路由里面做一条静态路由
爱快的静态路由
附图,爱快的VPN设置
Ovpn要填的就几项,要和计费对应,CA证书填完之后的下面的一概不填。
其余路由都是这样指定静态路由
© 凌风认证计费 http://www.lflflf.net/