dtcom

Работает iptables параллельно с nftables. Все правила в nftables и одно в iptables, так как не нашел замены iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu. Без этого правила половина сайтов не работает.

Здравствуйте. Можно ли заставить работать модуль ipt-netflow под nftables ? Пора уже начать осваивать nftables. Навскидку выглядит неплохо.

Уже 1.11.0 вышел.

Если я ничего не перепутал, то начиная с версии ядра 3.12 и iptables 1.4.2 iptables появилась новая цель SYNPROXY.

Также на 3.12.59 все прекрасно с pptp и l2tp. Поставил 3.12.62 (были до этого 4.4.x) будем тестить может норамально станет работать. Пока обратил внимание, что после замены ядра упала загрузка процессора примерно с 20% до 10% (смотрел htop). Zabbix говорит что это softirq.

Почти один в один как у меня тоже самое, только pptp+radius Также установлен bird 1.6.0 Ядро 4.4.16. accel-ppp 1.11.0 Впрочем accel-ppp 1.10.2 тоже стоял, такжe висло. И ядра были 4.4.13-15. Раз в десять дней примерно намертво зависает система. В логах ничего подозрительного. На другом железе пробовал тоже самое. Единственно, что понял виснет только на этом участке сети. Короче отличие только в месте установке и в наборе софта. То есть если установлен accel-ppp pptp+radius, +bird и стоит в конкретном месте, то в течение недели гарантированно зависнет. Как отловить не пойму

Ядро 4.4.16 accel-ppp 1.11.0 pptp сессии работают у меня.

Логи уровня 5 показали бы, что ли. Спасибо ответившим, разобрался. Выяснилось что сессия завершалась потому что от клиента не приходило поттвержденние. А не приходило потому что клиент не видел ответа от accel-ppp, они попросту до него не доходили. Настроил q-in-q на другом свиче стали приходить ответы и все заработало. accel-ppp 1.10.2.

У кого нибудь работает режим q-in-q, mode=L2, start=dhcpv4. Если работает то на какой версии. А то у меня работает тока просто vlan per user, переключаюсь на q-in-q сессия стартует и через 10sec завершается и так по кругу. Пробовал версии 1.10.0 1.10.1 1.10.2 везде так. На последней git версии f5a97ed не стартует dhcp.

Отличная новость. Инит скрипт затестил, не рабочий. Вот такой вариант у меня работает: #!/bin/sh # # Unbound init script # (C) 2016 Andrew Denisenko # RCDLINKS="2,S80 3,S80 4,S80 5,S80 0,K20 1,K20 6,K20" NAME=unbound DESC="recursive DNS server" DAEMON=/usr/sbin/unbound PIDFILE="/var/run/unbound.pid" test -x $DAEMON || exit 0 test -x ${DAEMON}-checkconf || exit 0 UNBOUND_ENABLE=true UNBOUND_CONF=/etc/unbound/unbound.conf UNBOUND_BASE_DIR=$(dirname $UNBOUND_CONF) CHROOT_DIR=$(awk '{if ($1 ~ "^chroot" && $2 != "\"\"") print $2}' $UNBOUND_CONF|sed -e "s#\"##g") ROOT_TRUST_ANCHOR_UPDATE=false ROOT_TRUST_ANCHOR_FILE=/etc/unbound/root.key do_chroot_setup() { if [ ! -d "$CHROOT_DIR" ]; then mkdir "$CHROOT_DIR" fi if [ -d "$CHROOT_DIR" -a "$CHROOT_DIR" != "$UNBOUND_BASE_DIR" ]; then cd / tar -cf - $(echo $UNBOUND_BASE_DIR | sed 's#^/##') | (cd $CHROOT_DIR && tar -xf -) fi } if [ -f /etc/default/$NAME ]; then . /etc/default/$NAME case "x$UNBOUND_ENABLE" in xtrue|x1|xyes) UNBOUND_ENABLE=true ;; *) UNBOUND_ENABLE=false ;; esac case "x$ROOT_TRUST_ANCHOR_UPDATE" in xtrue|x1|xyes) ROOT_TRUST_ANCHOR_UPDATE=true ;; *) ROOT_TRUST_ANCHOR_UPDATE=false ;; esac fi case "$1" in start) if $UNBOUND_ENABLE; then do_chroot_setup if $ROOT_TRUST_ANCHOR_UPDATE; then unbound-anchor -a $ROOT_TRUST_ANCHOR_FILE -v 2>&1 | logger -p daemon.info -t unbound-anchor chown named:named $ROOT_TRUST_ANCHOR_FILE fi echo -n "Starting Unbound: " start-stop-daemon --start --pidfile "$PIDFILE" \ --exec $DAEMON -- -c ${UNBOUND_CONF} if [ $? -eq 0 ]; then echo "unbound." else echo "failed!" fi else echo "Skipping Unbound (disabled in config)" fi ;; stop) if $UNBOUND_ENABLE || [ -f "$PIDFILE" ]; then echo -n "Stopping Unbound: " start-stop-daemon --stop --quiet --pidfile "$PIDFILE" \ --retry 60 --exec $DAEMON sleep 1 echo "unbound." fi ;; reload) if $UNBOUND_ENABLE; then do_chroot_setup echo -n "Reloading Unbound: " start-stop-daemon --stop --oknodo --pidfile "$PIDFILE" \ --signal 1 --exec $DAEMON echo "unbound." else echo "Skipping Unbound (disabled in config)" fi ;; restart | force-reload) $0 stop sleep 2 $0 start ;; *) echo "Usage: $0 {start|stop|restart|reload|force-reload|stats}" exit 1 esac exit 0

А поскажите тогда где он freeradius, как пакет называетсяю. Вижу только radutils.lrp radcoad.lrp.

Интересно зачем удалили радиус сервер из новых релизов. Я дома его использую в связке с accel-ppp ipoe на одном рутере. Заводить второй комп для радиуса дома это как-то жестко. А так дистр активно развивается это радует. Заметил появился новый пакет днс сервер (nsd). К нему просьба по возможности добавтьте пожалуйста unbound. Многие используют связку nsd + unbound.

Порешал с маской. Раньше было так: (ATTRIBUTE DHCP-Mask 242 ipaddr). И маску я передавал как: DHCP-Mask="255.255.255.0" и все работало. Щас радиус аттрибут записал как: (ATTRIBUTE DHCP-Mask 242 integer). И маску передаю в CIDR формате DHCP-Mask="24". И все стало нормально передавать. Наверно до этого я неправильно делал.

Поломался accel-ppp с версии leaf-5.2.1 (в режиме ipoe vlan-per-user ip-unnumbered=1 mode=L2). Неправильную маску выдает клиенту dhcp. Какую бы радиус сервер не передал, всегда выдает 22-ую. Я к тому, что мож посвежей версию accel-ppp собрать, вдруг пофиксили.

С клавой ваш совет помог, и памятью тоже, одна планка битая.