dansit

Привет всем. Аккель настроил и запустил в работу. Инет раздаеется через впн. Все работает норм. Но за исключением одной проблеммы. Некоторые сайты с hhtps не работают. Тот же друпал. Тупо не открываются. И таких сайтов немного, но среди них например сайт нужного банка. И я просто не могу понять почему большенство https сайтов работают нормально, а эти не пашут. Если с линукса у нашел как это обойти. Просто пользуюсь через консоль pptp-linux ( с нми почемуто все сайты пашут), то на винде не могу это обойти. :( Наверно Что то нужно подкрутить в конфиге акселя. Только вот что. Не подскажите

Проблема в том что там описано не все. Уже нарвался раз. По Framed-Pool. Что перед ним надо писать name=. В мане этого нет Или это? Что имеется ввиду? ip-pool=pppoe или ip-pool=l2tp В конфиге по дефолту есть - в мане нет. А мне и не надо что чтоб он сам иницировал. Иницирует юзер. Неважно где он. Снаружи локальной сетки или внутри. Отличие наших внешних и внутрених юзеров в том, что для внешних нужно обязательно поднимать шифрование тунелей и поддерживать сертификаты или ssh ключи. У нас так работают удалено некоторые сотрудники в компании. Но насколько понял(очень надеюсь что я ошибаюсь), Аксель это не умеет приципиально. Либо надо что то мудрить при помощи радиус авторизации и чего то еще.Не знаю точно. Внутрених то юзеров я выпустил в инет через vpn. Теперь задача впустить внешних. Я ж не могу еще и стандарный pptpd взгромоздить. Его место аккселем занято. Значит мне надо как то решить задачу при помоши акселя P.S. Кстати топик то на форуме назвается accel PPTPD Понимаю что историческое наследие. Но тогда оно неправильно для нынешней проги

accel работает только с ppp, можете организовать входящие соединения через тот-же pptp/l2tp Ок. Хорошо. pptp/l2tp. как бы эти секции в конфиге есть. Погуглил немного по инету. Нашел что Когда аксель был еще pptp, то входящее соеденение настраивалось как обычный pptp в /etc/ppp/options.pptp. Но модуль pptp переехал в ядро. Аксель стал просто ppp. И теперь /etc/ppp/options.pptp нифига не актуально. Или все таки используется модулем которые в ядро перехал? Или надо правильно сконфигурить секции pptp/l2tp для того чтоб акксель был плагином для модуля ядра? Если так, то как? Аксель конечно шикарная по производительностям прога, но документация на нее огорчает. Приходится по крупицам по всему инету шарить.

Ну я не знаю. EAP или что то еще. Просто спросил про возможность настройки при помощи аккселя ВХОДЯЩИХ соеденений. Чтоб поднимался tun интерфейс. К тому же это у меня это у задача второй стадии. А пока Первоочередная - раздать доступ в инет в офисе через впн или пппое. Я просто никак не могу понять - рулит или не рулит аксель роутингом на сервере. Воде как бы рулит. Потому что. route -n до подключения клиента Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 195.189.68.117 0.0.0.0 UG 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0 195.189.68.116 0.0.0.0 255.255.255.252 U 0 0 0 eth1 после подключения Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 195.189.68.117 0.0.0.0 UG 0 0 0 eth1 10.11.1.8 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0 195.189.68.116 0.0.0.0 255.255.255.252 U 0 0 0 eth1 Сейчас пул такой [ip-pool] gw-ip-address=10.10.0.1 attr=Framed-Pool 10.10.1.1/24,name=ippool_god_mode 10.11.1.1/24,name=ippool_all_users 10.12.1.1/24,name=ippool_poor_users Вроде как роут добавляется. Но с клиенского компа трассировка инета дальше 10.10.0.1 не идет. Поэтому и мучаюсь. То ли надо дополнильно какие правила роутинга или iptables при старте интерфейса. Либо я что то обратно что не так в настройках акселя напортачил. Сорри конечно. Может быть за туповатые вопросы. Наверно просто моих знаний не хватает. Задачу такую решаю впервые

У меня небольшой вопрос. Аксел должен автоматически менять роутинг для vpn клиентов? Или надо что дополнительно прикручивать? А то подключение есть, а роутинга нет. Или надо доп скрипт какой прикручиваить для роутинга И еще одна проблема. Сейчас на рабочем гейте стоит poptop+pptpd. Это связка не только выводит офисные компы в инет, но и предосставляет доступ к локалке из инета по ключу с шифрование. А так как аксель один заменяет эту пару то вопрос Как это сделать аккелем. Доступ к локалке из инета по ключу с шифрованием?

Можно сказать проблема решена. Адреса выделяются. С радиусом разобрался. Сменил пароль между аккселем и радиусом и взаимодействие наладилось. В старом пароле был спецсимвол который явно не нравился радиусу. Спасибо всем за участие. Буду дальше настраивать биллинг

Это странно все таки Кусок man accel-ppp.conf(орентируюсь на на него конечно) про name= вроде бы ничего не сказано. Только просто имя пула через запятую. Ладно добавил [ip-pool] gw-ip-address=192.168.5.1 attr=Framed-Pool 192.168.15.1/24,name=ippool_god_mode Вроде процесс выделения адресов пошел Но теперь- [2013-12-25 12:02:47]: debug: ppp0: ccp_layer_start [2013-12-25 12:02:47]: debug: ppp0: ipcp_layer_start [2013-12-25 12:02:47]: warn: ppp0: ppp:ipcp: to avoid kernel soft lockup requested IP cannot be assigned (192.168.15.1) Получается что все таки нельзя выделять адреса из диапазона сети 192.168.0.0/24 Изменил на [ip-pool] gw-ip-address=192.168.5.1 attr=Framed-Pool 10.10.1.1/24,name=ippool_god_mode Процесс выдачи теперь успешен. Но теперь на первое место вышло взаимодействие с радиусом [2013-12-25 12:42:37]: debug: ppp0: lcp_layer_started [2013-12-25 12:42:37]: debug: ppp0: auth_layer_start [2013-12-25 12:42:37]: info: ppp0: send [CHAP Challenge id=1 <3624c01dc6361835b41da7fdc7e548bb>] [2013-12-25 12:42:37]: info: ppp0: recv [CHAP Response id=1 <327279793566ff2d843baae75fe752a5>, name="admin"] [2013-12-25 12:42:37]: info: ppp0: send [RADIUS(1) Access-Request id=1 <User-Name "admin"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 112"> <Called-Station-Id "192.168.5.1"> <CHAP-Challenge > <CHAP-Password >] [2013-12-25 12:42:37]: info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Netmask 255.255.255.255> <Framed-Pomed-Pool "ippool_god_mode">] [2013-12-25 12:42:37]: info: ppp0: send [CHAP Success id=1 "Authentication succeeded"] [2013-12-25 12:42:37]: debug: ppp0: auth_layer_started [2013-12-25 12:42:37]: debug: ppp0: ccp_layer_start [2013-12-25 12:42:37]: debug: ppp0: ipcp_layer_start [2013-12-25 12:42:37]: info: ppp0: send [iPCP ConfReq id=1 <addr 192.168.5.1>] [2013-12-25 12:42:37]: debug: ppp0: ipv6cp_layer_start [2013-12-25 12:42:37]: info: ppp0: admin: authentication succeeded [2013-12-25 12:42:37]: info: ppp0: recv [iPCP ConfReq id=1 <addr 0.0.0.0> <dns1 0.0.0.0> <dns2 0.0.0.0>] [2013-12-25 12:42:37]: info: ppp0: send [iPCP ConfNak id=1 <addr 10.10.1.1> <dns1 8.8.8.8> <dns2 8.8.4.4>] [2013-12-25 12:42:37]: info: ppp0: recv [iPCP ConfAck id=1 <addr 192.168.5.1>] [2013-12-25 12:42:37]: info: ppp0: recv [iPCP ConfReq id=2 <addr 10.10.1.1> <dns1 8.8.8.8> <dns2 8.8.4.4>] [2013-12-25 12:42:37]: info: ppp0: send [iPCP ConfAck id=2] [2013-12-25 12:42:37]: debug: ppp0: ipcp_layer_started [2013-12-25 12:42:37]: info: ppp0: send [RADIUS(1) Accounting-Request id=1 <User-Name "admin"> <NAS-Identifier "accel-ppp"> <NAS-IP-AddresAddress 127.0.0.1> <NAS-Port 0> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "192.168.2.110> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.10.1.1>] [2013-12-25 12:42:39]: warn: ppp0: radius: server(1) not responding [2013-12-25 12:42:39]: warn: radius: server(1) not responding [2013-12-25 12:42:39]: warn: ppp0: radius:acct_start: no servers available [2013-12-25 12:42:39]: debug: ppp0: terminate

Ну это уже переделал. на это. Кусок уже привел выше, но повторю [radius] nas-identifier=accel-ppp nas-ip-address=127.0.0.1 gw-ip-address=192.168.5.1 server=127.0.0.1,password,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0 dae-server=127.0.0.1:3799,password verbose=5 timeout=2 max-try=1 acct-interim-interval=60 [client-ip-range] 192.168.0.0/20 [ip-pool] gw-ip-address=192.168.5.1 attr=Framed-Pool 192.168.5.5-100,ippool_god_mode 192.168.5.100-150,ippool_all_users Но результат тот же. Не выделяются адреса и все тут. Уже всякая фигня чудится. Может я как ко не так собираю аксель? Я для теста поднял 32 бит дебиан на другой машине. Собрал ассель на нем. Результат все такой же :(

Я понял что в этом куске какой то косяк. Но какой? Я никак не пойму.Не тот диапазон Адресов? Хорошо. Переделал на это. Раз говорят что выдаваемые адреса должны попадать в диапазон 192.168.0.0/20. Хотя это не радует, если это так. [radius] nas-identifier=accel-ppp nas-ip-address=127.0.0.1 gw-ip-address=192.168.5.1 server=127.0.0.1,password,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0 dae-server=127.0.0.1:3799,password verbose=5 timeout=2 max-try=1 acct-interim-interval=60 [client-ip-range] 192.168.0.0/20 [ip-pool] gw-ip-address=192.168.5.1 attr=Framed-Pool 192.168.5.5-100,ippool_god_mode 192.168.5.100-150,ippool_all_users Но результат тот же - адреса не выдаются. Что еще может быть? Да и еще. Насколько информативность сообщения изменяется при сборке с ключами дебуг или релиз? Сейчас собран с релиз. Добавит ли инфо для анализа дебуг?

Попробывал предложенный конфиг. Лог стал очень коротким [2013-12-23 19:10:41]: info: ppp0: send [RADIUS(1) Access-Request id=1 <User-Name "testuser"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address$ [2013-12-23 19:10:41]: info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Framed-IP-Netmask 255.255.255.255> <Framed-Protocol PPP> <PPPD-Upst$ [2013-12-23 19:10:41]: warn: ppp0: ppp: no free IPv4 address [2013-12-23 19:10:41]: info: ppp0: testuser: authentication succeeded [2013-12-23 19:10:41]: warn: ppp0: IPCP: discarding packet [2013-12-23 19:10:41]: info: ppp0: disconnected Но суть осталась таже. Не выделяются адреса. К тому же в дрогом логе появилось Это iprange: iprange module disabled so improper ip address assigning may cause kernel soft lockup! radius: no dm_coa_secret specified, DM/CoA disabled...

Спасибо за конфиг.Попробую.

хм.А я так понял. что адреса с которых приходят запросы и выдаваемые ippool не связаны. Я ошибаюсь? Если связаны то это очень жаль. Сейчас у нас стоит система биллинга на древнем poptop который требует замены. Так вот - сетка там как раз 192.168.0.0/20, адреса VPN клиентам присваиваютмся типа 10.1.0.1. Вот мне и надо это повторить при помощи accel-ppp.

Приветствую всех. Нужно поднять биллинг для офиса через ВПН c динамическими адресами. Взял его здесь. Его основа ассель и радиус. Вроде все просто и должно запустится с полпинка. Ан нет. Обломался. Уже 2 недели бьюсь с ним. :( А так как это единственое место в сети где в полной мере обсуждают ассель, и здесь бывает автор программы, то думаю здесь кто то сможет мне помочь Итак вводные данные. Дебиан 7 64 бит ядро 3.2.0-4 Ассель собран из ветки мастер. опции cmake -DBUILD_IPOE_DRIVER=TRUE -DBUILD_DRIVER=FALSE -DRADIUS=TRUE -DNETSNMP=FALSE -DLOG_PGSQL=FALSE -DSHAPER=TRUE -DCMAKE_INSTALL_PREFIX=/usr/ -DKDIR=/usr/src/linux-headers-`uname -r`/ -DCMAKE_BUILD_TYPE=Release .. Config [modules] log_file pptp auth_mschap_v2 auth_mschap_v1 auth_chap_md5 auth_pap radius ippool sigchld pppd_compat #shaper [core] log-error=/var/log/accel-ppp/core.log thread-count=4 [ppp] verbose=5 min-mtu=1280 mtu=1400 mru=1400 single-session=replace ipv4=require ipv6=deny ipv6-intf-id=0:0:0:1 ipv6-peer-intf-id=0:0:0:2 ipv6-accept-peer-intf-id=1 lcp-echo-interval=30 lcp-echo-failure=2 lcp-echo-timeout=60 [pptp] verbose=1 [pppoe] # Здесь указан интерфейс локальной сети, откуда будут подключаться наши клиенты interface=eth0 verbose=1 [l2tp] verbose=1 [radius] nas-identifier=accel-ppp nas-ip-address=127.0.0.1 gw-ip-address=192.168.10.1 # Здесь указаны данные для подключения к радиусу, его адрес, порт авторизации, акаунтинга и собственно секрет, # который мы ранее задали в clients.conf server=127.0.0.1,password,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0 # Здесь мы указываем на каком адресе и на каком порту будет слушать accel-pptp # Сюда мы будем слать запросы на отключение пользователей, также адрес:порт, секрет dae-server=127.0.0.1:3799,password verbose=5 timeout=2 max-try=1 # Этот параметр задает интервал(в секундах) с каким радиус будет обновлять сессии(подключения). При обновлении # сессии также выполняется проверка баланса пользователя. Не стоит ставить этот параметр слишком маленьким, т.к. # нагрузка на БД будет слишком большой, тем более если у вас много пользователей или слабый сервер. Также # значение этого параметра надо будет прописать в конфиге скриптов vpnms, для расчета нагрузки на канал, но об этом позже. acct-interim-interval=60 # Тут задается диапазон адресов клиентов [client-ip-range] 192.168.0.0/20 # Тут задается виртуальный адрес самого сервера, атрибут, в котором радиус передает имя пула адресов пользователя и # собственно сами пулы адресов [ip-pool] gw-ip-address=192.168.10.1 attr=Framed-Pool 192.168.10.5-100,ippool_god_mode 192.168.20.1-100,ippool_all_users [log] log-file=/var/log/accel-ppp/accel-ppp.log log-emerg=/var/log/accel-ppp/emerg.log log-fail-file=/var/log/accel-ppp/auth-fail.log copy=1 # Этот параметр на время отладки можно установить в 5 и тогда в логах будет сообщений больше, чем вы хотели бы. level=5 [pppd-compat] ip-up=/etc/ppp/ip-up ip-down=/etc/ppp/ip-down ip-change=/etc/ppp/ip-change radattr-prefix=/var/run/radattr verbose=1 [shaper] # В двух следующих параметрах указываются номера атрибутов радиуса, в которых передается информация # о скорости канала для шейпера. attr-up=230 attr-down=231 down-burst-factor=0.1 up-burst-factor=1.0 latency=50 mpu=0 r2q=10 quantum=1500 cburst=1534 ifb=ifb0 up-limiter=htb down-limiter=htb leaf-qdisc=sfq perturb 10 verbose=8 # Ну и для своего удобства можно включить консоль для наблюдения и управления [cli] telnet=127.0.0.1:2000 tcp=127.0.0.1:2001 [connlimit] limit=30/min burst=3 timeout=60 Только вот адреса почему то не выдаются. Кусок лога [2013-12-21 19:02:49]: info: ppp0: connect: ppp0 <--> pptp(192.168.2.24) [2013-12-21 19:02:49]: debug: ppp0: lcp_layer_init [2013-12-21 19:02:49]: debug: ppp0: auth_layer_init [2013-12-21 19:02:49]: debug: ppp0: ccp_layer_init [2013-12-21 19:02:49]: debug: ppp0: ipcp_layer_init [2013-12-21 19:02:49]: debug: ppp0: ipv6cp_layer_init [2013-12-21 19:02:49]: debug: ppp0: ppp established [2013-12-21 19:02:49]: debug: ppp0: lcp_layer_start [2013-12-21 19:02:49]: info: ppp0: send [LCP ConfReq id=1 <auth MSCHAP-v2> <mru 1400> <magic 6b8b4567>] [2013-12-21 19:02:49]: info: ppp0: recv [LCP ConfReq id=1 < 2 6 0 0 0 0 > <magic fa23f5b5> <pcomp> <accomp>] [2013-12-21 19:02:49]: info: ppp0: send [LCP ConfRej id=1 < 2 6 0 0 0 0 > <pcomp> <accomp>] [2013-12-21 19:02:49]: info: ppp0: recv [LCP ConfAck id=1 <auth MSCHAP-v2> <mru 1400> <magic 6b8b4567>] [2013-12-21 19:02:49]: info: ppp0: recv [LCP ConfReq id=2 <magic fa23f5b5>] [2013-12-21 19:02:49]: info: ppp0: send [LCP ConfAck id=2 ] [2013-12-21 19:02:49]: debug: ppp0: lcp_layer_started [2013-12-21 19:02:49]: debug: ppp0: auth_layer_start [2013-12-21 19:02:49]: info: ppp0: send [MSCHAP-v2 Challenge id=1 <e82f4589466b1e50cffd11f8c8b217d>] [2013-12-21 19:02:49]: info: ppp0: recv [MSCHAP-v2 Response id=1 <90c4606cbc3eced83454af5d6a1cab>, <69742d40bbc0b9858f724c4992fbd2ccb0efc8c04e5f6cd>, F=0, name="testuser"] [2013-12-21 19:02:49]: info: ppp0: send [RADIUS(1) Access-Request id=1 <User-Name "testuser"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 127.0.0.1> <NAS-Port 0> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP>$ [2013-12-21 19:02:49]: info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Framed-IP-Netmask 255.255.255.255> <Framed-Protocol PPP> <PPPD-Upstream-Speed-Limit 80> <PPPD-Downstream-Speed-Limit 100> <Framed-Pool "ippool_all_users"><Microsoft$ [2013-12-21 19:02:49]: warn: ppp0: radius: MS-MPPE-Recv-Key: incorrect key length (2) [2013-12-21 19:02:49]: warn: ppp0: radius: MS-MPPE-Send-Key: incorrect key length (148) [2013-12-21 19:02:49]: info: ppp0: send [MSCHAP-v2 Success id=1 "S=A8C8850D10A4574077F59E9900AE266062A636F3 M=Authentication succeeded"] [2013-12-21 19:02:49]: debug: ppp0: auth_layer_started [2013-12-21 19:02:49]: debug: ppp0: ccp_layer_start [2013-12-21 19:02:49]: debug: ppp0: ipcp_layer_start [2013-12-21 19:02:49]: warn: ppp0: ppp: no free IPv4 address [2013-12-21 19:02:49]: debug: ppp0: terminate [2013-12-21 19:02:49]: debug: ppp0: lcp_layer_finish [2013-12-21 19:02:49]: info: ppp0: send [LCP TermReq id=3] [2013-12-21 19:02:49]: debug: ppp0: auth_layer_finish [2013-12-21 19:02:49]: debug: ppp0: auth_layer_finished [2013-12-21 19:02:49]: debug: ppp0: ccp_layer_finish [2013-12-21 19:02:49]: debug: ppp0: ccp_layer_finished [2013-12-21 19:02:49]: debug: ppp0: ipcp_layer_finish [2013-12-21 19:02:49]: debug: ppp0: ipcp_layer_finished [2013-12-21 19:02:49]: info: ppp0: testuser: authentication succeeded [2013-12-21 19:02:49]: warn: ppp0: CCP: discarding packet [2013-12-21 19:02:49]: info: ppp0: send [LCP ProtoRej id=4 <80fd>] [2013-12-21 19:02:49]: info: ppp0: recv [LCP TermAck id=3] [2013-12-21 19:02:49]: debug: ppp0: lcp_layer_finished [2013-12-21 19:02:49]: debug: ppp0: lcp_layer_free [2013-12-21 19:02:49]: debug: ppp0: auth_layer_free [2013-12-21 19:02:49]: debug: ppp0: ccp_layer_free [2013-12-21 19:02:49]: debug: ppp0: ipcp_layer_free [2013-12-21 19:02:49]: debug: ppp0: ipv6cp_layer_free [2013-12-21 19:02:49]: debug: ppp0: ppp destablished Вроде в конфиге все правильно. Но эти строки [2013-12-21 19:02:49]: warn: ppp0: radius: MS-MPPE-Recv-Key: incorrect key length (2) [2013-12-21 19:02:49]: warn: ppp0: radius: MS-MPPE-Send-Key: incorrect key length (148) [2013-12-21 19:02:49]: warn: ppp0: ppp: no free IPv4 address Говорят что это не так :(. В чем я ошибаюсь? Или где может быть проблемма?