-
Публикации
86 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем u.s.s.r
-
-
Как я люблю такие темы.
"Адрес не видит!!111". Ему глаза завязали? Или он в темноте с фонариком не смог различить адрес? Что такое "не видит"?
Так что мне в кавычках писать "не видит"? Все поняли, кроме тебя получается.
может быть proxy arp?
echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp
Я не помню деталей когда сталкивался с подобной ситуацией, но попробуйте.
спасибо, помогло
-
Был когда то CentOS 5.x, проблем с данным вопросом не было, а вот с CentOS 6.x возникла "проблемка"
Есть сервер, включена маршрутизация
#sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
Настройка сети
#ifconfig eth0 Link encap:Ethernet HWaddr 00:21:54:CF:8E:E2 inet addr:10.100.100.100 Bcast:10.100.100.100 Mask:255.255.255.255 inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:14961541 errors:0 dropped:0 overruns:0 frame:0 TX packets:16103071 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:5956879190 (5.5 GiB) TX bytes:12214707281 (11.3 GiB) eth1 Link encap:Ethernet HWaddr 00:21:5A:CF:3E:E2 inet addr:172.20.22.1 Bcast:172.20.22.255 Mask:255.255.255.0 inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:514683 errors:0 dropped:0 overruns:0 frame:0 TX packets:176194 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:79645505 (75.9 MiB) TX bytes:97049760 (92.5 MiB)
Cо стороны Eth1 у клиента прописано так
адрес 172.20.22.2
маска 255.255.255.0
шлюз 172.20.22.1
то что дальше сервера клиент видит, но вот IP-адрес 10.100.100.100 который на интерфейсе Eth0 не видит.
Как решить данный вопрос?
-
Добрый день!
Как в accel-ppp сказать, чтобы он сообщал клиенту, что радиус не доступен, а то на данный момент он сообщает клиенту, ошибка аутентификации № 691
[2014-12-14 16:53:49]: info: ppp9: connect: ppp9 <--> l2tp(10.10.142.27) [2014-12-14 16:53:52]: warn: ppp9: radius: server(1) not responding [2014-12-14 16:53:52]: warn: radius: server(1) not responding [2014-12-14 16:53:52]: warn: ppp9: radius: no available servers [2014-12-14 16:53:52]: info: ppp9: user_125: authentication failed
на старом pptp сообщал обычно номер ошибки 718
и
[radius]
...
timeout=3 - это 3 секунды?
max-try=3 - 3 попытки?
а по умолчанию значения этих параметров какие?
-
в дебаг
%Jan 01 04:52:08 2006 authentication table timer is set value 600, and has been started %Jan 01 04:52:10 2006 Send a authencation %Jan 01 04:52:10 2006 Authencation Report Version: 2 %Jan 01 04:52:10 2006 Authencation Report Vlan: 407 %Jan 01 04:52:10 2006 Authencation Report Port: Ethernet1/1 %Jan 01 04:52:10 2006 Authencation Report Group: 224.1.0.7 %Jan 01 04:52:10 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62 %Jan 01 04:52:10 2006 Receive a authencation result %Jan 01 04:52:10 2006 Authencation Version: 2 %Jan 01 04:52:10 2006 Authencation Vlan: 407 %Jan 01 04:52:10 2006 Authencation Port: Ethernet1/1 %Jan 01 04:52:10 2006 Authencation Group: 224.1.0.7 %Jan 01 04:52:10 2006 Authencation SrcMac: A8:F9:4B:22:9D:62 %Jan 01 04:52:10 2006 Authencation Result: AUTH_SUCCESS %Jan 01 05:02:08 2006 global authentication table timer expires %Jan 01 05:02:08 2006 authentication table timer is stopped %Jan 01 05:02:08 2006 authentication table timer is set value 600, and has been started %Jan 01 05:02:38 2006 Authencation Report Version: 2 %Jan 01 05:02:38 2006 Authencation Report Vlan: 407 %Jan 01 05:02:38 2006 Authencation Report Port: Ethernet1/1 %Jan 01 05:02:38 2006 Authencation Report Group: 224.1.0.7 %Jan 01 05:02:38 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:02:38 2006 Receive a authencation result %Jan 01 05:02:38 2006 Authencation Version: 2 %Jan 01 05:02:38 2006 Authencation Vlan: 407 %Jan 01 05:02:38 2006 Authencation Port: Ethernet1/1 %Jan 01 05:02:38 2006 Authencation Group: 224.1.0.7 %Jan 01 05:02:38 2006 Authencation SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:02:38 2006 Authencation Result: AUTH_SUCCESS %Jan 01 05:12:08 2006 global authentication table timer expires %Jan 01 05:12:08 2006 authentication table timer is stopped %Jan 01 05:12:08 2006 authentication table timer is set value 600, and has been started %Jan 01 05:13:01 2006 Send a authencation %Jan 01 05:13:01 2006 Authencation Report Version: 2 %Jan 01 05:13:01 2006 Authencation Report Vlan: 407 %Jan 01 05:13:01 2006 Authencation Report Port: Ethernet1/1 %Jan 01 05:13:01 2006 Authencation Report Group: 224.1.0.7 %Jan 01 05:13:01 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:13:01 2006 Receive a authencation result %Jan 01 05:13:01 2006 Authencation Version: 2 %Jan 01 05:13:01 2006 Authencation Vlan: 407 %Jan 01 05:13:01 2006 Authencation Port: Ethernet1/1 %Jan 01 05:13:01 2006 Authencation Group: 224.1.0.7 %Jan 01 05:13:01 2006 Authencation SrcMac: A8:F9:4B:22:9D:62 %Jan 01 05:13:01 2006 Authencation Result: AUTH_SUCCESS
-
Конфиг
vlan 407 name multicast multicast-vlan multicast-vlan mode dynamic multicast-vlan association 514 multicast destination-control
radius-server accounting-interim-update timeout 60 radius-server key 0 secret radius-server authentication host 172.22.3.154 radius-server accounting host 172.22.3.154 aaa enable radius nas-ipv4 172.22.6.19 ! Interface Ethernet1/1 ip multicast destination-control access-group 6002 switchport access vlan 514 loopback-detection specified-vlan 1 loopback-detection control shutdown igmp snooping drop query igmp snooping authentication enable
interface Vlan514 ip address 172.22.6.19 255.255.255.0 ! ip igmp snooping ip igmp snooping authentication radius none ip igmp snooping authentication forwarding-first ip igmp snooping vlan 407 ip igmp snooping vlan 407 immediately-leave ip igmp snooping vlan 407 l2-general-querier ! ip default-gateway 172.22.6.254
-
Опубликовано · Изменено пользователем u.s.s.r · Жалоба на ответ
Пытаюсь настроить "Функционал IGMP Authentification"
Аутентификация проходит, мультикаст работает
Но возникли вопросы,
1) почему не шлется interim-update (имеется ввиду accounting) ?
2) можно ли сделать так, чтобы приходили запросы поля "User-Name" и "User-Password" вида "A8:F9:4B:22:9D:62"?
3) access-list - есть несколько листов, как задать конкретный лист? через радиус-атрибуты?
-
echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2001echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2000Спасибо огромное, а я все не понимал, что это у всех 2001 порт, а у меня 2000.
-
Опубликовано · Изменено пользователем u.s.s.r · Жалоба на ответ
не могу разобраться, почему не срабатывает отключение сессии
20:20:58.root@accel-ppp:(~) echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2000 accel-ppp version 1.7.3 ▒▒▒▒▒▒"accel-ppp# 20:21:24.root@accel-ppp:(~)
Если телнетом, то все нормально
20:24:48.root@accel-ppp:(~)telnet 127.0.0.1 2000 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. accel-ppp version 1.7.3 accel-ppp# terminate sid 07101cdcd752dc3f
-
Тут у меня возник вопрос, можно ли как то сказать accel-ppp, чтобы не отключал сессии ppp если радиус не доступен? или хотя бы задать явно таймаут?
-
...
Фу так. Есть же accel-cmd:
accel-cmd 'shutdown'
эта команда доступна из git
-
Accel-ppp из гита?
-
просто shutdownкакой корректный метод?А как тогда через init-скрипт это сделать?
для обычного pptp
у меня было так
stop) echo -n "Shutting down VPN(PPTP) server" kill -s HUP `lsof -t -i:pptp` if [ $? = 0 ] ; then rm -f /var/lock/subsys/pptpd echo_success else echo_failure fi echo "" ;;
-
Добрый день
имеем CentOS 6.4
Linux accel-ppp 2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
accel-ppp 1.7.3
как корректно отрубить все сессии при остановки accel-ppp?
у меня init-скрипт такой
# cat /etc/init.d/pppd
#!/bin/sh # # pptpd This script starts or stops a PPTP connectioni # # chkconfig: 2345 99 01 # description: Connects to PPPoE provider # # LIC: GPL # # Copyright (C) 2000 Roaring Penguin Software Inc. This software may # be distributed under the terms of the GNU General Public License, version # 2 or any later version. # Source function library if it exists test -r /etc/rc.d/init.d/functions && . /etc/rc.d/init.d/functions #/usr/local/sbin/accel-pppd -d -p /var/run/accel-ppp -c /etc/accel-ppp.conf # From AUTOCONF prefix=/usr exec_prefix=${prefix} # Paths to programs MOD="/sbin/modprobe pptp" MOD="/sbin/modprobe l2tp" MOD="/sbin/modprobe pppoe" #STATUS="ps ax | grep pppoe-server | grep eth0.509 | wc -l" case "$1" in start) echo -n "Starting Accel-PPP: " $MOD daemon /usr/local/sbin/accel-pppd -d -p /var/run/accel-ppp.pid -c /etc/accel-ppp.conf if [ $? = 0 ] ; then touch /var/run/accel-ppp.pid echo_success else echo_failure fi echo "" ;; stop) echo -n "Shutting down Accel-PPP: " killproc accel-ppp if [ $? = 0 ] ; then rm -f /var/run/accel-ppp.pid echo_success else echo_failure fi echo "" ;; restart) $0 stop $0 start ;; status) status accel-ppp ;; *) echo "Usage: pptpd {start|stop|restart|status}" exit 1 esac exit 0
Интерфейсы все вырубает, а вот не отправляет пакеты радиусу, а том, что сессия отключена админом и следовательно сессии клиентов висят до тех пор, пока наступит таймаут.
в CLI вижу что есть
shutdown [soft|hard|cancel]- shutdown daemon default action - send termination signals to all clients and wait everybody disconnects soft - wait until all clients disconnects, don't accept new connections hard - shutdown now, don't wait anything cancel - cancel 'shutdown soft' and return to normal operation
какой корректный метод?
-
А как то можно сделать, чтобы по какому то условию исключать включать в днс ip-сервера?
Например если не доступен первый сервер, то днс-сервер не должен его выдавать
-
Доброго дня!
Есть несколько серверов pptp c адресами
192.168.0.2
192.168.0.3
192.168.0.4
На данный момент, задействован только 192.168.0.2, но хотелось бы распределить нагрузку pptp сервера,
и как решения, я думаю, что можно как-то реализовать динамическую смену записи
был vpn.net [192.168.0.2]
на vpn.net [192.168.0.3]
в DNS-сервере, чтобы ппри следующем обращении, клиент подключился уже к другому серверу.
У клиентов IP прописан статический 192.168.16.0/16, в том числе и DNS 192.168.0.254
-
Опубликовано · Изменено пользователем u.s.s.r · Жалоба на ответ
Я нигде не указывал где доступ в интернет, или вы имеете ввиду основной маршрут?
Без указания адреса не получается создать правило
add action=src-nat chain=srcnat src-address=172.26.0.0/18 src-address-list="" to-addresses=1.1.1.1
-
Зачем адрес реальника указывать? Все будет и без него работать. Если несколько каналов то нужно маршрутами разруливать.
а что тогда указывать? интерфейс?
-
Есть несколько ключевых моментов
src-nat или маскарад?
add action=src-nat chain=srcnat src-address=172.26.0.0/18 src-address-list="" to-addresses=1.1.1.1
1.1.1.1 - это ip-реальник
-
Сбросил конфигурацию, настроил все с нуля.
Но результата не дало.
Выбрал момент для переключения.
Все равно все также, Выше 100Мбит не поднимается
-
Надо export compact сделать и посмотреть, нет ли проблем в конфиге. Возможно попадает под шейпер сетевой порт по ошибке.
/queue tree
add name=Total_download parent="2. WAN" priority=1
add name=Total_upload parent="2. WAN" priority=1
Это может влиять?
Просто это то, что я явно не делал.
-
Проверить, нет ли затыка на самом сетевом порту?
Проверял "Bandwidth test", максимальная скорость 660 Мбит, напрямую и через каталист.
А что значит "Затык"?
На WAN-интерфейсе
Queue type = only-hardware-queue
куда еще смотреть не прелставляю
-
Есть микротик
CCR1036-12G-4S
1000 активных pppoe + pptp сессий
Шейпер через радиус атрибут "Mikrotik-Rate-Limit": значение примерно такие "1M 1536k 768k 8 8 1M"
NAT (не маскарадинг): src-nat
Интерфейсы
1.Wan
2.mkr_1
3.mkr_2
4.mkr_3
5.mkr_4
6.mkr_5
7.mkr_6
Порты Микротика подключены к каталисту, который имеет гигабитные порты.
На данный момент работает Linux (pptp+pppoe) в данный момент нагрузка на канал 250мбит,
перевожу клиентов на микротик, и наблюдаем, что на WAN-порт больше 98Мбит не поднимается.
Что-то нужно сделать?
-
Для полноты картины
SNR-S2950-1#sh runn vlan 1;400-407 ! Interface Ethernet1/1 description MNG-PBI-5000 switchport access vlan 400 ! Interface Ethernet1/2 description TV-PBI-5000 switchport access vlan 401 ! Interface Ethernet1/24 description NET switchport mode trunk ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 ! interface Vlan400 description MNG ip address 192.168.25.2 255.255.255.0 ! interface Vlan401 ip address 10.0.0.10 255.255.255.0 ! ip igmp snooping ip igmp snooping vlan 401 ip igmp snooping vlan 401 l2-general-querier ip igmp snooping vlan 401 l2-general-querier-source 10.0.0.10
и
SNR-S2950-2#sh run vlan 1;400;402-407 ! vlan 401 multicast-vlan ! Interface Ethernet1/1 description MNG switchport access vlan 400 ! Interface Ethernet1/2 description Client-TV switchport access vlan 402 switchport association multicast-vlan 401 igmp snooping drop query ! ... ... Interface Ethernet1/23 description MNG switchport access vlan 400 ! Interface Ethernet1/24 description description NET switchport mode trunk ! Interface Ethernet1/25 ! Interface Ethernet1/26 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan400 description MNG ip address 192.168.25.1 255.255.255.0 ! interface Vlan401 ! ip igmp snooping ip igmp snooping vlan 401 ip igmp snooping vlan 401 immediately-leave
-
На абонентском коммутаторе не обязательно указывать mrouter-port, лучше на абонентских портах включить
igmp snooping drop query
.
Покажите на каждом коммутаторе
sh ip igmp snooping vlan 401
SNR-S2950-1#sh ip igmp snooping vlan 401 Igmp snooping information for vlan 401 Igmp snooping L2 general querier :Yes(COULD_QUERY) Igmp snooping query-interval :125(s) Igmp snooping max response time :10(s) Igmp snooping specific-query max response time :1(s) Igmp snooping robustness :2 Igmp snooping mrouter port keep-alive time :255(s) Igmp snooping query-suppression time :255(s) IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, [s]-Exclude Source Groups Sources Ports Exptime System Level 239.255.255.250 * Ethernet1/24 00:02:43 V3 Igmp snooping vlan 401 mrouter port Note:"!"-static mrouter port
и
SNR-2950-02# sh ip igmp snooping vlan 401 Igmp snooping information for vlan 401 Igmp snooping L2 general querier :NO Igmp snooping query-interval :125(s) Igmp snooping max response time :10(s) Igmp snooping specific-query max response time :1(s) Igmp snooping robustness :2 Igmp snooping mrouter port keep-alive time :255(s) IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, [s]-Exclude Source Groups Sources Ports Exptime System Level Igmp snooping vlan 401 mrouter port Note:"!"-static mrouter port !Ethernet1/24
Внутренняя маршрутизация на Linux
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
не видит - не доступен
а трассировка в моем случае ничего не покажет.
с роутингов все ок, так как он включен
суть проблемы же в том, что мне не доступен ip-адрес который на другом интерфейсе, то что дальше, например если я изменю конфигурацию
хост 10.100.100.1 будет не доступным, а вот 10.100.100.2 будет доступным (10.100.100.2 другой комп, который подключен к той сети)