SISTEMA AAA

matteo.casarino

Buongiorno a tutti,
              sto cercando di progettare il sistema AAA per la mia società WISP, ad oggi, ci viene tutto gestito da una società esterna, che però ultimamente ci ha dato problemi di affidabilità.
Guardando bene in azienda, le capacità ci sarebbero però non ci siamo mai cimentati nella gestione e progettazione di questa porzione fondamentale della nostra rete.

Dopo un pò di ricerche sono finito su questo forum e sulla distro pfsense. Vorrei chiedere se questa configurazione potrebbe essere ideale per la gestione di circa 600 utenti contemporanei.

Server Radius: Ubuntu Server + FreeRadius
Server MySql: Ubuntu Server + MySql (con i dati degli utenti e la registrazione dei log di freeradius)
Server PPPOE: PFSENSE
Server Captive Portal: PFSense

Questo tutto su macchine diverse collegate tra loro. Ci sono sia il captive portal sia il pppoe perchè abbiamo la necessità di gestire due tipologie di clienti diverse.

Una domanda PFSENSE riesce a gestire il carico su linee gateway diverse ?? Nel senso in tutta la città abbiamo 5 connessioni fibraottica che però non sono tutte nello stesso "ambiente" ma interconnesse tra loro grazie alla rete Wi-Fi.

Grazie a tutti.

appavito

… hai 4 grossi problemi:

1 alcuni servizi essenziale secondo me non funzionano  con piu Interfaccie ( si spera che dalla 2.0 lo supporta) quindi scordati: captive, proxy, antivirus gateway, traffic shiping.... dovresti usare un accentratore delle connettivita a monte (un altro pf o vyatta meglio.. perche gestisce meglio il balancer e la connettivita) con i problemi che comporta... ridondanza piu difficile e costosa e livello piu complesso di regole ecc..
2: l'ftp e altre cose (+ captive..traffic shiping... del  punto 1) sono gestite male da pf se hai piu d 1 gateways e utilizzando regole specifiche per fare uscire certi protocolli appesantiresti molto ( in caso di un utilizzo intensivo di quelle determinate regole o per esempio in caso di uso intensivo del captive) l'uso di una interfaccia abbassando poi il totale di banda disponibile.( gw balancer solo di tipo round rubin  non pesato...)
  dovresti usare una macchina per raccolgiere le linee ma poi diventa un problema gestire vpn ( doppio nat ecc) regole di istradamento specifiche ( rottestatiche attraverso due dispositivi = problemi a cappe!)

3: se spilli la connettivita da locazioni diverse, e il collegamento con esse e lo stesso da dove arriva l'utente un pacchetto prima arriva da te e poi pf lo rispara verso il gw sempre sulla stessa ''linea'' ... capisci che in caso di tanta banda in richiesta potresti caricare troppo quel ramo di rete... opterei per un collegamento dedicato  o politiche di instradamento  che preferiscano altri rami in caso le richeste superino un valore x ..

4: per quello che riguarda il radius  posso dirti che configurazioni spinte sono molto difficili da configurare a livello di sql con freeradius... adotterei anzi soluzioni a pagamento ma di piu facie sviluppo.  magari verso soluzioni clustered cosi da dare affidabilità e scalabilita sia aldatabase che che al server radius...

mascaos

Confermo e ribadisco quello che ha gia detto app .. il problema maggiore è la gestione dei servizi con + interfacce. Io uso da almeno 8-9 mesi pf 2 … ma ci sono veramente tanti problemini che continuano a cambiare con il cambiere delle versioni. Dato l'uso altamente professionale io ti consiglierei d'utilizzare prodotti commerciali così almeno hai un frontend a cui fare riferimento.

Ciaoz.-
Matteo

ubnt-community

Ciao Matteo,
hai risolto?

Per il numero di utenti che hai indicato, ti conviene accoppiare a PF prodotti commerciali, come ti hanno già consigliato ;)

ps: hai un pm.