u.s.s.r

не видит - не доступен а трассировка в моем случае ничего не покажет. с роутингов все ок, так как он включен суть проблемы же в том, что мне не доступен ip-адрес который на другом интерфейсе, то что дальше, например если я изменю конфигурацию #ifconfig eth0 Link encap:Ethernet HWaddr 00:21:54:CF:8E:E2 inet addr:10.100.100.1 Bcast:10.100.100.255 Mask:255.255.255.0 inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:14961541 errors:0 dropped:0 overruns:0 frame:0 TX packets:16103071 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:5956879190 (5.5 GiB) TX bytes:12214707281 (11.3 GiB) eth1 Link encap:Ethernet HWaddr 00:21:5A:CF:3E:E2 inet addr:172.20.22.1 Bcast:172.20.22.255 Mask:255.255.255.0 inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:514683 errors:0 dropped:0 overruns:0 frame:0 TX packets:176194 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:79645505 (75.9 MiB) TX bytes:97049760 (92.5 MiB) хост 10.100.100.1 будет не доступным, а вот 10.100.100.2 будет доступным (10.100.100.2 другой комп, который подключен к той сети)

Так что мне в кавычках писать "не видит"? Все поняли, кроме тебя получается. спасибо, помогло

Был когда то CentOS 5.x, проблем с данным вопросом не было, а вот с CentOS 6.x возникла "проблемка" Есть сервер, включена маршрутизация #sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 Настройка сети #ifconfig eth0 Link encap:Ethernet HWaddr 00:21:54:CF:8E:E2 inet addr:10.100.100.100 Bcast:10.100.100.100 Mask:255.255.255.255 inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:14961541 errors:0 dropped:0 overruns:0 frame:0 TX packets:16103071 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:5956879190 (5.5 GiB) TX bytes:12214707281 (11.3 GiB) eth1 Link encap:Ethernet HWaddr 00:21:5A:CF:3E:E2 inet addr:172.20.22.1 Bcast:172.20.22.255 Mask:255.255.255.0 inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:514683 errors:0 dropped:0 overruns:0 frame:0 TX packets:176194 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:79645505 (75.9 MiB) TX bytes:97049760 (92.5 MiB) Cо стороны Eth1 у клиента прописано так адрес 172.20.22.2 маска 255.255.255.0 шлюз 172.20.22.1 то что дальше сервера клиент видит, но вот IP-адрес 10.100.100.100 который на интерфейсе Eth0 не видит. Как решить данный вопрос?

Добрый день! Как в accel-ppp сказать, чтобы он сообщал клиенту, что радиус не доступен, а то на данный момент он сообщает клиенту, ошибка аутентификации № 691 [2014-12-14 16:53:49]: info: ppp9: connect: ppp9 <--> l2tp(10.10.142.27) [2014-12-14 16:53:52]: warn: ppp9: radius: server(1) not responding [2014-12-14 16:53:52]: warn: radius: server(1) not responding [2014-12-14 16:53:52]: warn: ppp9: radius: no available servers [2014-12-14 16:53:52]: info: ppp9: user_125: authentication failed на старом pptp сообщал обычно номер ошибки 718 и [radius] ... timeout=3 - это 3 секунды? max-try=3 - 3 попытки? а по умолчанию значения этих параметров какие?

в дебаг %Jan 01 04:52:08 2006 authentication table timer is set value 600, and has been started %Jan 01 04:52:10 2006 Send a authencation %Jan 01 04:52:10 2006 Authencation Report Version: 2 %Jan 01 04:52:10 2006 Authencation Report Vlan: 407 %Jan 01 04:52:10 2006 Authencation Report Port: Ethernet1/1 %Jan 01 04:52:10 2006 Authencation Report Group: 224.1.0.7 %Jan 01 04:52:10 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62 %Jan 01 04:52:10 2006 Receive a authencation result %Jan 01 04:52:10 2006 Authencation Version: 2 %Jan 01 04:52:10 2006 Authencation Vlan: 407 %Jan 01 04:52:10 2006 Authencation Port: Ethernet1/1 %Jan 01 04:52:10 2006 Authencation Group: 224.1.0.7 %Jan 01 04:52:10 2006 Authencation SrcMac: A8:F9:4B:22:9D:62 %Jan 01 04:52:10 2006 Authencation Result: AUTH_SUCCESS %Jan 01 05:02:08 2006 global authentication table timer expires %Jan 01 05:02:08 2006 authentication table timer is stopped %Jan 01 05:02:08 2006 authentication table timer is set value 600, and has been started %Jan 01 05:02:38 2006 Authencation Report Version: 2 %Jan 01 05:02:38 2006 Authencation Report Vlan: 407 %Jan 01 05:02:38 2006 Authencation Report Port: Ethernet1/1 %Jan 01 05:02:38 2006 Authencation Report Group: 224.1.0.7 %Jan 01 05:02:38 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:02:38 2006 Receive a authencation result %Jan 01 05:02:38 2006 Authencation Version: 2 %Jan 01 05:02:38 2006 Authencation Vlan: 407 %Jan 01 05:02:38 2006 Authencation Port: Ethernet1/1 %Jan 01 05:02:38 2006 Authencation Group: 224.1.0.7 %Jan 01 05:02:38 2006 Authencation SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:02:38 2006 Authencation Result: AUTH_SUCCESS %Jan 01 05:12:08 2006 global authentication table timer expires %Jan 01 05:12:08 2006 authentication table timer is stopped %Jan 01 05:12:08 2006 authentication table timer is set value 600, and has been started %Jan 01 05:13:01 2006 Send a authencation %Jan 01 05:13:01 2006 Authencation Report Version: 2 %Jan 01 05:13:01 2006 Authencation Report Vlan: 407 %Jan 01 05:13:01 2006 Authencation Report Port: Ethernet1/1 %Jan 01 05:13:01 2006 Authencation Report Group: 224.1.0.7 %Jan 01 05:13:01 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:13:01 2006 Receive a authencation result %Jan 01 05:13:01 2006 Authencation Version: 2 %Jan 01 05:13:01 2006 Authencation Vlan: 407 %Jan 01 05:13:01 2006 Authencation Port: Ethernet1/1 %Jan 01 05:13:01 2006 Authencation Group: 224.1.0.7 %Jan 01 05:13:01 2006 Authencation SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:13:01 2006 Authencation Result: AUTH_SUCCESS

Конфиг vlan 407 name multicast multicast-vlan multicast-vlan mode dynamic multicast-vlan association 514 multicast destination-control radius-server accounting-interim-update timeout 60 radius-server key 0 secret radius-server authentication host 172.22.3.154 radius-server accounting host 172.22.3.154 aaa enable radius nas-ipv4 172.22.6.19 ! Interface Ethernet1/1 ip multicast destination-control access-group 6002 switchport access vlan 514 loopback-detection specified-vlan 1 loopback-detection control shutdown igmp snooping drop query igmp snooping authentication enable interface Vlan514 ip address 172.22.6.19 255.255.255.0 ! ip igmp snooping ip igmp snooping authentication radius none ip igmp snooping authentication forwarding-first ip igmp snooping vlan 407 ip igmp snooping vlan 407 immediately-leave ip igmp snooping vlan 407 l2-general-querier ! ip default-gateway 172.22.6.254

Пытаюсь настроить "Функционал IGMP Authentification" Аутентификация проходит, мультикаст работает Но возникли вопросы, 1) почему не шлется interim-update (имеется ввиду accounting) ? 2) можно ли сделать так, чтобы приходили запросы поля "User-Name" и "User-Password" вида "A8:F9:4B:22:9D:62"? 3) access-list - есть несколько листов, как задать конкретный лист? через радиус-атрибуты?

echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2001 Спасибо огромное, а я все не понимал, что это у всех 2001 порт, а у меня 2000.

не могу разобраться, почему не срабатывает отключение сессии 20:20:58.root@accel-ppp:(~) echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2000 accel-ppp version 1.7.3 ▒▒▒▒▒▒"accel-ppp# 20:21:24.root@accel-ppp:(~) Если телнетом, то все нормально 20:24:48.root@accel-ppp:(~)telnet 127.0.0.1 2000 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. accel-ppp version 1.7.3 accel-ppp# terminate sid 07101cdcd752dc3f

Тут у меня возник вопрос, можно ли как то сказать accel-ppp, чтобы не отключал сессии ppp если радиус не доступен? или хотя бы задать явно таймаут?

эта команда доступна из git

нет, с http://sourceforge.net/apps/trac/accel-ppp

просто shutdown А как тогда через init-скрипт это сделать? для обычного pptp у меня было так stop) echo -n "Shutting down VPN(PPTP) server" kill -s HUP `lsof -t -i:pptp` if [ $? = 0 ] ; then rm -f /var/lock/subsys/pptpd echo_success else echo_failure fi echo "" ;;

Добрый день имеем CentOS 6.4 Linux accel-ppp 2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux accel-ppp 1.7.3 как корректно отрубить все сессии при остановки accel-ppp? у меня init-скрипт такой # cat /etc/init.d/pppd #!/bin/sh # # pptpd This script starts or stops a PPTP connectioni # # chkconfig: 2345 99 01 # description: Connects to PPPoE provider # # LIC: GPL # # Copyright (C) 2000 Roaring Penguin Software Inc. This software may # be distributed under the terms of the GNU General Public License, version # 2 or any later version. # Source function library if it exists test -r /etc/rc.d/init.d/functions && . /etc/rc.d/init.d/functions #/usr/local/sbin/accel-pppd -d -p /var/run/accel-ppp -c /etc/accel-ppp.conf # From AUTOCONF prefix=/usr exec_prefix=${prefix} # Paths to programs MOD="/sbin/modprobe pptp" MOD="/sbin/modprobe l2tp" MOD="/sbin/modprobe pppoe" #STATUS="ps ax | grep pppoe-server | grep eth0.509 | wc -l" case "$1" in start) echo -n "Starting Accel-PPP: " $MOD daemon /usr/local/sbin/accel-pppd -d -p /var/run/accel-ppp.pid -c /etc/accel-ppp.conf if [ $? = 0 ] ; then touch /var/run/accel-ppp.pid echo_success else echo_failure fi echo "" ;; stop) echo -n "Shutting down Accel-PPP: " killproc accel-ppp if [ $? = 0 ] ; then rm -f /var/run/accel-ppp.pid echo_success else echo_failure fi echo "" ;; restart) $0 stop $0 start ;; status) status accel-ppp ;; *) echo "Usage: pptpd {start|stop|restart|status}" exit 1 esac exit 0 Интерфейсы все вырубает, а вот не отправляет пакеты радиусу, а том, что сессия отключена админом и следовательно сессии клиентов висят до тех пор, пока наступит таймаут. в CLI вижу что есть shutdown [soft|hard|cancel]- shutdown daemon default action - send termination signals to all clients and wait everybody disconnects soft - wait until all clients disconnects, don't accept new connections hard - shutdown now, don't wait anything cancel - cancel 'shutdown soft' and return to normal operation какой корректный метод?

А как то можно сделать, чтобы по какому то условию исключать включать в днс ip-сервера? Например если не доступен первый сервер, то днс-сервер не должен его выдавать

Доброго дня! Есть несколько серверов pptp c адресами 192.168.0.2 192.168.0.3 192.168.0.4 На данный момент, задействован только 192.168.0.2, но хотелось бы распределить нагрузку pptp сервера, и как решения, я думаю, что можно как-то реализовать динамическую смену записи был vpn.net [192.168.0.2] на vpn.net [192.168.0.3] в DNS-сервере, чтобы ппри следующем обращении, клиент подключился уже к другому серверу. У клиентов IP прописан статический 192.168.16.0/16, в том числе и DNS 192.168.0.254

Я нигде не указывал где доступ в интернет, или вы имеете ввиду основной маршрут? Без указания адреса не получается создать правило add action=src-nat chain=srcnat src-address=172.26.0.0/18 src-address-list="" to-addresses=1.1.1.1

а что тогда указывать? интерфейс?

Есть несколько ключевых моментов src-nat или маскарад? add action=src-nat chain=srcnat src-address=172.26.0.0/18 src-address-list="" to-addresses=1.1.1.1 1.1.1.1 - это ip-реальник

Сбросил конфигурацию, настроил все с нуля. Но результата не дало. Выбрал момент для переключения. Все равно все также, Выше 100Мбит не поднимается

/queue tree add name=Total_download parent="2. WAN" priority=1 add name=Total_upload parent="2. WAN" priority=1 Это может влиять? Просто это то, что я явно не делал.

Проверял "Bandwidth test", максимальная скорость 660 Мбит, напрямую и через каталист. А что значит "Затык"? На WAN-интерфейсе Queue type = only-hardware-queue куда еще смотреть не прелставляю

Есть микротик CCR1036-12G-4S 1000 активных pppoe + pptp сессий Шейпер через радиус атрибут "Mikrotik-Rate-Limit": значение примерно такие "1M 1536k 768k 8 8 1M" NAT (не маскарадинг): src-nat Интерфейсы 1.Wan 2.mkr_1 3.mkr_2 4.mkr_3 5.mkr_4 6.mkr_5 7.mkr_6 Порты Микротика подключены к каталисту, который имеет гигабитные порты. На данный момент работает Linux (pptp+pppoe) в данный момент нагрузка на канал 250мбит, перевожу клиентов на микротик, и наблюдаем, что на WAN-порт больше 98Мбит не поднимается. Что-то нужно сделать?

Для полноты картины SNR-S2950-1#sh runn vlan 1;400-407 ! Interface Ethernet1/1 description MNG-PBI-5000 switchport access vlan 400 ! Interface Ethernet1/2 description TV-PBI-5000 switchport access vlan 401 ! Interface Ethernet1/24 description NET switchport mode trunk ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 ! interface Vlan400 description MNG ip address 192.168.25.2 255.255.255.0 ! interface Vlan401 ip address 10.0.0.10 255.255.255.0 ! ip igmp snooping ip igmp snooping vlan 401 ip igmp snooping vlan 401 l2-general-querier ip igmp snooping vlan 401 l2-general-querier-source 10.0.0.10 и SNR-S2950-2#sh run vlan 1;400;402-407 ! vlan 401 multicast-vlan ! Interface Ethernet1/1 description MNG switchport access vlan 400 ! Interface Ethernet1/2 description Client-TV switchport access vlan 402 switchport association multicast-vlan 401 igmp snooping drop query ! ... ... Interface Ethernet1/23 description MNG switchport access vlan 400 ! Interface Ethernet1/24 description description NET switchport mode trunk ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan400 description MNG ip address 192.168.25.1 255.255.255.0 ! interface Vlan401 ! ip igmp snooping ip igmp snooping vlan 401 ip igmp snooping vlan 401 immediately-leave

SNR-S2950-1#sh ip igmp snooping vlan 401 Igmp snooping information for vlan 401 Igmp snooping L2 general querier :Yes(COULD_QUERY) Igmp snooping query-interval :125(s) Igmp snooping max response time :10(s) Igmp snooping specific-query max response time :1(s) Igmp snooping robustness :2 Igmp snooping mrouter port keep-alive time :255(s) Igmp snooping query-suppression time :255(s) IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, [s]-Exclude Source Groups Sources Ports Exptime System Level 239.255.255.250 * Ethernet1/24 00:02:43 V3 Igmp snooping vlan 401 mrouter port Note:"!"-static mrouter port и SNR-2950-02# sh ip igmp snooping vlan 401 Igmp snooping information for vlan 401 Igmp snooping L2 general querier :NO Igmp snooping query-interval :125(s) Igmp snooping max response time :10(s) Igmp snooping specific-query max response time :1(s) Igmp snooping robustness :2 Igmp snooping mrouter port keep-alive time :255(s) IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, [s]-Exclude Source Groups Sources Ports Exptime System Level Igmp snooping vlan 401 mrouter port Note:"!"-static mrouter port !Ethernet1/24