stalker86

В общем не в этом дело оказалось. Когда последний дамп собирал в iptables потерял -A FORWARD -j NETFLOW. Поэтому и прилетали только нат ивенты. Теперь с nfdump 1.7.1-2+deb12u1 ==== Event time Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2025-06-10 22:32:23.430 ADD Ignore UDP 192.168.253.100:58996 -> 192.168.150.1:53 192.168.150.15:58996 -> 192.168.150.1:53 0 0 2025-06-10 22:32:23.431 ADD Ignore TCP 192.168.253.100:51180 -> 195.78.127.3:443 192.168.150.15:51180 -> 195.78.127.3:443 0 0 1970-01-01 03:00:00.000 INVALID Ignore UDP 192.168.150.1:53 -> 192.168.253.100:58996 0.0.0.0:0 -> 0.0.0.0:0 169 0 1970-01-01 03:00:00.000 INVALID Ignore UDP 192.168.253.100:58996 -> 192.168.150.1:53 0.0.0.0:0 -> 0.0.0.0:0 108 0 1970-01-01 03:00:00.000 INVALID Ignore TCP 192.168.253.100:51180 -> 195.78.127.3:443 0.0.0.0:0 -> 0.0.0.0:0 3.6 M 0 1970-01-01 03:00:00.000 INVALID Ignore TCP 195.78.127.3:443 -> 192.168.253.100:51180 0.0.0.0:0 -> 0.0.0.0:0 423.2 M 0 2025-06-10 22:33:23.074 DELETE Ignore UDP 192.168.253.100:58996 -> 192.168.150.1:53 192.168.150.15:58996 -> 192.168.150.1:53 0 0 2025-06-10 22:35:25.954 DELETE Ignore TCP 192.168.253.100:51180 -> 195.78.127.3:443 192.168.150.15:51180 -> 195.78.127.3:443 0 0 Summary: total flows: 8, total bytes: 426.8 M, total packets: 124663, avg bps: 1, avg pps: 0, avg bpp: 3423 Time window: Time Window unknown Total flows processed: 8, passed: 8, Blocks skipped: 0, Bytes read: 1532 Sys: 0.0069s User: 0.0000s Wall: 0.0034s flows/second: 2380.9 Runtime: 0.0039s === с nfdump из git ====== Date first seen Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2025-06-10 22:32:23.430 ADD <no-evt> UDP 192.168.253.100:58996 -> 192.168.150.1:53 192.168.150.15:58996 -> 192.168.150.1:53 0 0 2025-06-10 22:32:23.431 ADD <no-evt> TCP 192.168.253.100:51180 -> 195.78.127.3:443 192.168.150.15:51180 -> 195.78.127.3:443 0 0 2025-06-10 22:32:22.604 <no-evt> <no-evt> UDP 192.168.150.1:53 -> 192.168.253.100:58996 0.0.0.0:0 -> 0.0.0.0:0 169 0 2025-06-10 22:32:22.600 <no-evt> <no-evt> UDP 192.168.253.100:58996 -> 192.168.150.1:53 0.0.0.0:0 -> 0.0.0.0:0 108 0 2025-06-10 22:32:22.604 <no-evt> <no-evt> TCP 192.168.253.100:51180 -> 195.78.127.3:443 0.0.0.0:0 -> 0.0.0.0:0 3.6 M 0 2025-06-10 22:32:22.604 <no-evt> <no-evt> TCP 195.78.127.3:443 -> 192.168.253.100:51180 0.0.0.0:0 -> 0.0.0.0:0 423.2 M 0 2025-06-10 22:33:23.074 DELETE <no-evt> UDP 192.168.253.100:58996 -> 192.168.150.1:53 192.168.150.15:58996 -> 192.168.150.1:53 0 0 2025-06-10 22:35:25.954 DELETE <no-evt> TCP 192.168.253.100:51180 -> 195.78.127.3:443 192.168.150.15:51180 -> 195.78.127.3:443 0 0 Summary: total flows: 8, total bytes: 426.8 M, total packets: 124663, avg bps: 333.1 M, avg pps: 12164, avg bpp: 3423 Time window: Time Window unknown, Duration:20249d 19:45:00.000 Total records processed: 8, passed: 8, Blocks skipped: 0, Bytes read: 1532 Sys: 0.0105s User: 0.0000s Wall: 0.0041s flows/second: 1965.6 Runtime: 0.0044s ===== Время трафика получилось раньше времени NAT EVENT (ADD)

Продублировал дамп на http://stlk.name/files/dump.pcap Да тестовый стенд на 2 виртуалках изобразил. и тестил на мелком. Сейчас доеду потестирую на чём-то побольше.

да моя голова квадратная. В том то и прикол что ни дальше ни раньше не вижу по трафику ничего. Даже в pcap собрал дамп. dump.pcap

All - вопрос. Ели включены NAT EVENTS - пустой счётчик In Byte/Out Byte. Стоит выключить NAT EVERNTS - появляюся счётчики трафика. ==== # nfdump -R ./ Event time Event XEvent Proto Src IP Addr:Port Dst IP Addr:Port X-Src IP Addr:Port X-Dst IP Addr:Port In Byte Out Byte 2025-06-09 21:01:14.046 ADD Ignore UDP 192.168.253.100:48129 -> 192.168.150.1:53 192.168.150.15:48129 -> 192.168.150.1:53 0 0 2025-06-09 21:01:14.048 ADD Ignore TCP 192.168.253.100:38160 -> 194.71.11.173:443 192.168.150.15:38160 -> 194.71.11.173:443 0 0 2025-06-09 21:01:15.343 ADD Ignore UDP 192.168.253.100:60998 -> 192.168.150.1:53 192.168.150.15:60998 -> 192.168.150.1:53 0 0 2025-06-09 21:01:15.346 ADD Ignore TCP 192.168.253.100:36194 -> 194.71.11.166:443 192.168.150.15:36194 -> 194.71.11.166:443 0 0 2025-06-09 21:01:29.661 DELETE Ignore TCP 192.168.253.100:38160 -> 194.71.11.173:443 192.168.150.15:38160 -> 194.71.11.173:443 0 0 2025-06-09 21:02:31.098 DELETE Ignore UDP 192.168.253.100:48129 -> 192.168.150.1:53 192.168.150.15:48129 -> 192.168.150.1:53 0 0 2025-06-09 21:02:31.098 DELETE Ignore TCP 192.168.253.100:36194 -> 194.71.11.166:443 192.168.150.15:36194 -> 194.71.11.166:443 0 0 2025-06-09 21:02:31.098 DELETE Ignore UDP 192.168.253.100:60998 -> 192.168.150.1:53 192.168.150.15:60998 -> 192.168.150.1:53 0 0 ==== debian 12. Фикс в природе существует или нет?

а что Вы этим хотели сказать? === ip route 192.168.1.0 255.255.255.0 192.168.1.254 ip route 10.10.34.0 255.255.255.0 10.10.34.254 === Если эти диапазоны у Вас приземляются на этом же ASR то маршруты на них добавлять не надо. ip route 0.0.0.0 0.0.0.0 192.168.1.254 это дефолтный шлюз. То есть все пакеты которые "не наши" шлём на 192.168.1.254

У меня на линукс боксе сейчас крутится 20 гиг/с. 4 апплинка и 2 пиринга.

и как решили?

У Вас по ПППоЕ же 1 адрес выдаётся. какой там бридж может быть. а так 2 ната подряд...3 если ртк серый даёт. Но если Вы не провайдер -то SE100 Вам не нужен. линукс бокс...

странное желание BRAS подключать по PPPoE. Железка уровня ISP, не SOHO..

врядли сам брас умеет быть PPPoE клиентом... сильно в этом сомневаюсь.

Угу. лицензия нужна. редбаки много кто юзал и инаверняка кто-то поделится лицензией на каких либо условиях

sh licenses all | i l2tp что говорит?

Я тестовый стенд подготовил..но протестирую после отгулов..а то сейчас овощ

Если не не изменяет склероз - то CHAP в clear text password никак

Да скорости более 2 гиг прыгают... ) но в основном мои же юзеры и...

Да вроде дают. Про указание IP вроде нет такого. Выбирается вроде по оптимальности в зависимости от фаз луны. Я у себя вообще его держу на КВМ виртуалке

поднять свой

Главное размер... Как показывает практика..у дисков на 15к размер чуточку меньше чем у 10к..

Тоже был бы благодарен

Облачков нет. В личку кинул линки на файлы. Как скачаете отпишите

У меня как раз межкарточный LAGG и nat,netflow. В общем нашёл в закромах 12.1.1.11p7. Куда закинуть?

1200 (2 SE600 склеенных изолентой) живёт уже более 2 лет с SEOS-12.1.1.12p15 До этого 5 SE100 жило с той же версией с аптаймом более 3 лет

LR-Link вроде по референсу делает. С интелами не всё гладко нынче с чистокровными.. Вот сижу и думаю есть ли по факту разница с X520 и XL710 чипами...

а сетевые какие? Я присматриваюсь к чему-то типа LR-Link 4 порта 1000Base-X/10GBase-X LREC9804BF-4SFP+ PCI Express X8 lanes Поддержка спецификации PCI - Express Base Specification Revision 3.0 ( 8 GTs) Контроллер Intel XL710 или Сетевая карта LR-Link 4 порта 1000Base-X/10GBase-X LRES1024PF-4SFP+ на основе микрочипа Intel 82599. PCI Express X8 lanes Поддержка спецификации PCI - Express Base Specification Revision 3.0 ( 8 GTs) Контроллер Intel 82599x2

Дампы пакетов с обоих двух сторон