Внутренняя маршрутизация на Linux

[Внутренняя маршрутизация на Linux]

не видит - не доступен

а трассировка в моем случае ничего не покажет.

с роутингов все ок, так как он включен

суть проблемы же в том, что мне не доступен ip-адрес который на другом интерфейсе, то что дальше, например если я изменю конфигурацию

 

#ifconfig
eth0      Link encap:Ethernet  HWaddr 00:21:54:CF:8E:E2
         inet addr:10.100.100.1  Bcast:10.100.100.255  Mask:255.255.255.0
         inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:14961541 errors:0 dropped:0 overruns:0 frame:0
         TX packets:16103071 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:5956879190 (5.5 GiB)  TX bytes:12214707281 (11.3 GiB)

eth1  Link encap:Ethernet  HWaddr 00:21:5A:CF:3E:E2
         inet addr:172.20.22.1  Bcast:172.20.22.255  Mask:255.255.255.0
         inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:514683 errors:0 dropped:0 overruns:0 frame:0
         TX packets:176194 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:79645505 (75.9 MiB)  TX bytes:97049760 (92.5 MiB)

 

хост 10.100.100.1 будет не доступным, а вот 10.100.100.2 будет доступным (10.100.100.2 другой комп, который подключен к той сети)

[Внутренняя маршрутизация на Linux]

Как я люблю такие темы.

 

"Адрес не видит!!111". Ему глаза завязали? Или он в темноте с фонариком не смог различить адрес? Что такое "не видит"?

Так что мне в кавычках писать "не видит"? Все поняли, кроме тебя получается.

 

может быть proxy arp?

 

echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

 

Я не помню деталей когда сталкивался с подобной ситуацией, но попробуйте.

 

спасибо, помогло

[Внутренняя маршрутизация на Linux]

Был когда то CentOS 5.x, проблем с данным вопросом не было, а вот с CentOS 6.x возникла "проблемка"

Есть сервер, включена маршрутизация

#sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

 

Настройка сети

#ifconfig
eth0      Link encap:Ethernet  HWaddr 00:21:54:CF:8E:E2
         inet addr:10.100.100.100  Bcast:10.100.100.100  Mask:255.255.255.255
         inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:14961541 errors:0 dropped:0 overruns:0 frame:0
         TX packets:16103071 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:5956879190 (5.5 GiB)  TX bytes:12214707281 (11.3 GiB)

eth1  Link encap:Ethernet  HWaddr 00:21:5A:CF:3E:E2
         inet addr:172.20.22.1  Bcast:172.20.22.255  Mask:255.255.255.0
         inet6 addr: fe80::221:5aff:fecf:3ee2/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:514683 errors:0 dropped:0 overruns:0 frame:0
         TX packets:176194 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:79645505 (75.9 MiB)  TX bytes:97049760 (92.5 MiB)

 

Cо стороны Eth1 у клиента прописано так

адрес 172.20.22.2

маска 255.255.255.0

шлюз 172.20.22.1

 

то что дальше сервера клиент видит, но вот IP-адрес 10.100.100.100 который на интерфейсе Eth0 не видит.

 

Как решить данный вопрос?

[accel pptpd]

Добрый день!

Как в accel-ppp сказать, чтобы он сообщал клиенту, что радиус не доступен, а то на данный момент он сообщает клиенту, ошибка аутентификации № 691

 

[2014-12-14 16:53:49]:  info: ppp9: connect: ppp9 <--> l2tp(10.10.142.27)
[2014-12-14 16:53:52]:  warn: ppp9: radius: server(1) not responding
[2014-12-14 16:53:52]:  warn: radius: server(1) not responding
[2014-12-14 16:53:52]:  warn: ppp9: radius: no available servers
[2014-12-14 16:53:52]:  info: ppp9: user_125: authentication failed

на старом pptp сообщал обычно номер ошибки 718

 

и

[radius]

...

timeout=3 - это 3 секунды?

max-try=3 - 3 попытки?

 

а по умолчанию значения этих параметров какие?

[Функционал IGMP Authentification]

в дебаг

 

%Jan 01 04:52:08 2006 authentication table timer is set value 600, and has been started
%Jan 01 04:52:10 2006 Send a authencation
%Jan 01 04:52:10 2006 Authencation Report Version: 2
%Jan 01 04:52:10 2006 Authencation Report Vlan: 407
%Jan 01 04:52:10 2006 Authencation Report Port: Ethernet1/1
%Jan 01 04:52:10 2006 Authencation Report Group: 224.1.0.7
%Jan 01 04:52:10 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62
%Jan 01 04:52:10 2006 Receive a authencation result
%Jan 01 04:52:10 2006 Authencation Version: 2
%Jan 01 04:52:10 2006 Authencation Vlan: 407
%Jan 01 04:52:10 2006 Authencation Port: Ethernet1/1
%Jan 01 04:52:10 2006 Authencation Group: 224.1.0.7
%Jan 01 04:52:10 2006 Authencation SrcMac: A8:F9:4B:22:9D:62
%Jan 01 04:52:10 2006 Authencation Result: AUTH_SUCCESS
%Jan 01 05:02:08 2006 global  authentication table timer expires
%Jan 01 05:02:08 2006 authentication table timer is stopped
%Jan 01 05:02:08 2006 authentication table timer is set value 600, and has been started
%Jan 01 05:02:38 2006 Authencation Report Version: 2
%Jan 01 05:02:38 2006 Authencation Report Vlan: 407
%Jan 01 05:02:38 2006 Authencation Report Port: Ethernet1/1
%Jan 01 05:02:38 2006 Authencation Report Group: 224.1.0.7
%Jan 01 05:02:38 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62
%Jan 01 05:02:38 2006 Receive a authencation result
%Jan 01 05:02:38 2006 Authencation Version: 2
%Jan 01 05:02:38 2006 Authencation Vlan: 407
%Jan 01 05:02:38 2006 Authencation Port: Ethernet1/1
%Jan 01 05:02:38 2006 Authencation Group: 224.1.0.7
%Jan 01 05:02:38 2006 Authencation SrcMac: A8:F9:4B:22:9D:62
%Jan 01 05:02:38 2006 Authencation Result: AUTH_SUCCESS
%Jan 01 05:12:08 2006 global  authentication table timer expires
%Jan 01 05:12:08 2006 authentication table timer is stopped
%Jan 01 05:12:08 2006 authentication table timer is set value 600, and has been started
%Jan 01 05:13:01 2006 Send a authencation
%Jan 01 05:13:01 2006 Authencation Report Version: 2
%Jan 01 05:13:01 2006 Authencation Report Vlan: 407
%Jan 01 05:13:01 2006 Authencation Report Port: Ethernet1/1
%Jan 01 05:13:01 2006 Authencation Report Group: 224.1.0.7
%Jan 01 05:13:01 2006 Authencation Report SrcMac: A8:F9:4B:22:9D:62
%Jan 01 05:13:01 2006 Receive a authencation result
%Jan 01 05:13:01 2006 Authencation Version: 2
%Jan 01 05:13:01 2006 Authencation Vlan: 407
%Jan 01 05:13:01 2006 Authencation Port: Ethernet1/1
%Jan 01 05:13:01 2006 Authencation Group: 224.1.0.7
%Jan 01 05:13:01 2006 Authencation SrcMac: A8:F9:4B:22:9D:62
%Jan 01 05:13:01 2006 Authencation Result: AUTH_SUCCESS

[Функционал IGMP Authentification]

Конфиг

 

vlan 407
name multicast
multicast-vlan
multicast-vlan mode dynamic
multicast-vlan association 514

multicast destination-control

 

radius-server accounting-interim-update timeout 60
radius-server key 0 secret
radius-server authentication host 172.22.3.154
radius-server accounting host 172.22.3.154
aaa enable
radius nas-ipv4 172.22.6.19
!
Interface Ethernet1/1
ip multicast destination-control access-group 6002
switchport access vlan 514
loopback-detection specified-vlan 1
loopback-detection control shutdown
igmp snooping drop query
igmp snooping authentication enable

interface Vlan514
ip address 172.22.6.19 255.255.255.0
!
ip igmp snooping
ip igmp snooping authentication radius none
ip igmp snooping authentication forwarding-first
ip igmp snooping vlan 407
ip igmp snooping vlan 407 immediately-leave
ip igmp snooping vlan 407 l2-general-querier
!
ip default-gateway 172.22.6.254

[Функционал IGMP Authentification]

Пытаюсь настроить "Функционал IGMP Authentification"

Аутентификация проходит, мультикаст работает

 

Но возникли вопросы,

1) почему не шлется interim-update (имеется ввиду accounting) ?

2) можно ли сделать так, чтобы приходили запросы поля "User-Name" и "User-Password" вида "A8:F9:4B:22:9D:62"?

3) access-list - есть несколько листов, как задать конкретный лист? через радиус-атрибуты?

[accel pptpd]

echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2000

echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2001

Спасибо огромное, а я все не понимал, что это у всех 2001 порт, а у меня 2000.

[accel pptpd]

не могу разобраться, почему не срабатывает отключение сессии

 

20:20:58.root@accel-ppp:(~) echo "terminate sid 07101cdcd752dc3f" | nc 127.0.0.1 2000
accel-ppp version 1.7.3
▒▒▒▒▒▒"accel-ppp# 20:21:24.root@accel-ppp:(~)

 

Если телнетом, то все нормально

 

20:24:48.root@accel-ppp:(~)telnet 127.0.0.1 2000
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
accel-ppp version 1.7.3
accel-ppp# terminate sid 07101cdcd752dc3f

[accel pptpd]

Тут у меня возник вопрос, можно ли как то сказать accel-ppp, чтобы не отключал сессии ppp если радиус не доступен? или хотя бы задать явно таймаут?

[accel pptpd]

...

Фу так. Есть же accel-cmd:

accel-cmd 'shutdown'

эта команда доступна из git

[accel pptpd]

Accel-ppp из гита?

нет, с http://sourceforge.net/apps/trac/accel-ppp

[accel pptpd]

какой корректный метод?

просто shutdown

 

А как тогда через init-скрипт это сделать?

для обычного pptp

у меня было так

 

    stop)
       echo -n "Shutting down VPN(PPTP) server"
       kill -s HUP `lsof  -t -i:pptp`
       if [ $? = 0 ] ; then
               rm -f /var/lock/subsys/pptpd
               echo_success
       else
               echo_failure
       fi
       echo ""
       ;;

[accel pptpd]

Добрый день

имеем CentOS 6.4

Linux accel-ppp 2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

 

accel-ppp 1.7.3

 

как корректно отрубить все сессии при остановки accel-ppp?

 

у меня init-скрипт такой

 

 

 

# cat /etc/init.d/pppd

#!/bin/sh
#
# pptpd                     This script starts or stops a PPTP connectioni
#
# chkconfig: 2345 99 01
# description: Connects to PPPoE provider
#
# LIC: GPL
#
# Copyright (C) 2000 Roaring Penguin Software Inc.  This software may
# be distributed under the terms of the GNU General Public License, version
# 2 or any later version.

# Source function library if it exists
test -r /etc/rc.d/init.d/functions && . /etc/rc.d/init.d/functions

#/usr/local/sbin/accel-pppd -d -p /var/run/accel-ppp -c /etc/accel-ppp.conf

# From AUTOCONF
prefix=/usr
exec_prefix=${prefix}

# Paths to programs
MOD="/sbin/modprobe pptp"
MOD="/sbin/modprobe l2tp"
MOD="/sbin/modprobe pppoe"



#STATUS="ps ax | grep pppoe-server | grep eth0.509 | wc -l"
case "$1" in
   start)
       echo -n "Starting Accel-PPP: "
       $MOD

       daemon /usr/local/sbin/accel-pppd -d -p /var/run/accel-ppp.pid -c /etc/accel-ppp.conf

       if [ $? = 0 ] ; then
               touch  /var/run/accel-ppp.pid
               echo_success
       else
               echo_failure
       fi
       echo ""
       ;;
   stop)
       echo -n "Shutting down Accel-PPP: "
       killproc accel-ppp

       if [ $? = 0 ] ; then
               rm -f  /var/run/accel-ppp.pid
               echo_success
       else
               echo_failure
       fi
       echo ""
       ;;

   restart)
       $0 stop
       $0 start
       ;;

   status)
       status  accel-ppp
       ;;

   *)
       echo "Usage: pptpd {start|stop|restart|status}"
       exit 1
esac
exit 0

 

 

Интерфейсы все вырубает, а вот не отправляет пакеты радиусу, а том, что сессия отключена админом и следовательно сессии клиентов висят до тех пор, пока наступит таймаут.

 

в CLI вижу что есть

shutdown [soft|hard|cancel]- shutdown daemon
               default action - send termination signals to all clients and wait everybody disconnects
               soft - wait until all clients disconnects, don't accept new connections
               hard - shutdown now, don't wait anything
               cancel - cancel 'shutdown soft' and return to normal operation

 

какой корректный метод?

[Динамический DNS]

А как то можно сделать, чтобы по какому то условию исключать включать в днс ip-сервера?

Например если не доступен первый сервер, то днс-сервер не должен его выдавать

[Динамический DNS]

Доброго дня!

 

Есть несколько серверов pptp c адресами

192.168.0.2

192.168.0.3

192.168.0.4

 

На данный момент, задействован только 192.168.0.2, но хотелось бы распределить нагрузку pptp сервера,

и как решения, я думаю, что можно как-то реализовать динамическую смену записи

был vpn.net [192.168.0.2]

на vpn.net [192.168.0.3]

в DNS-сервере, чтобы ппри следующем обращении, клиент подключился уже к другому серверу.

 

У клиентов IP прописан статический 192.168.16.0/16, в том числе и DNS 192.168.0.254

[Микротик - проблема ppp+nat]

Я нигде не указывал где доступ в интернет, или вы имеете ввиду основной маршрут?

 

Без указания адреса не получается создать правило

 

add action=src-nat chain=srcnat src-address=172.26.0.0/18 src-address-list="" to-addresses=1.1.1.1

[Микротик - проблема ppp+nat]

Зачем адрес реальника указывать? Все будет и без него работать. Если несколько каналов то нужно маршрутами разруливать.

а что тогда указывать? интерфейс?

[Микротик - проблема ppp+nat]

Есть несколько ключевых моментов

src-nat или маскарад?

 

add action=src-nat chain=srcnat src-address=172.26.0.0/18 src-address-list="" to-addresses=1.1.1.1

 

1.1.1.1 - это ip-реальник

[Микротик - проблема ppp+nat]

Сбросил конфигурацию, настроил все с нуля.

Но результата не дало.

 

Выбрал момент для переключения.

Все равно все также, Выше 100Мбит не поднимается

[Микротик - проблема ppp+nat]

Надо export compact сделать и посмотреть, нет ли проблем в конфиге. Возможно попадает под шейпер сетевой порт по ошибке.

 

/queue tree

add name=Total_download parent="2. WAN" priority=1

add name=Total_upload parent="2. WAN" priority=1

 

Это может влиять?

Просто это то, что я явно не делал.

[Микротик - проблема ppp+nat]

Проверить, нет ли затыка на самом сетевом порту?

 

Проверял "Bandwidth test", максимальная скорость 660 Мбит, напрямую и через каталист.

 

А что значит "Затык"?

На WAN-интерфейсе

Queue type = only-hardware-queue

 

куда еще смотреть не прелставляю

[Микротик - проблема ppp+nat]

Есть микротик

CCR1036-12G-4S

 

1000 активных pppoe + pptp сессий

Шейпер через радиус атрибут "Mikrotik-Rate-Limit": значение примерно такие "1M 1536k 768k 8 8 1M"

NAT (не маскарадинг): src-nat

 

Интерфейсы

1.Wan

2.mkr_1

3.mkr_2

4.mkr_3

5.mkr_4

6.mkr_5

7.mkr_6

 

Порты Микротика подключены к каталисту, который имеет гигабитные порты.

 

На данный момент работает Linux (pptp+pppoe) в данный момент нагрузка на канал 250мбит,

 

перевожу клиентов на микротик, и наблюдаем, что на WAN-порт больше 98Мбит не поднимается.

Что-то нужно сделать?

[IPTV + SNR-S2950]

Для полноты картины

SNR-S2950-1#sh runn

vlan 1;400-407
!
Interface Ethernet1/1
description MNG-PBI-5000
switchport access vlan 400
!
Interface Ethernet1/2
description TV-PBI-5000
switchport access vlan 401
!
Interface Ethernet1/24
description NET
switchport mode trunk
!
Interface Ethernet1/25
!
Interface Ethernet1/26
!
interface Vlan1
ip address 192.168.1.2 255.255.255.0
!
interface Vlan400
description MNG
ip address 192.168.25.2 255.255.255.0
!
interface Vlan401
ip address 10.0.0.10 255.255.255.0
!
ip igmp snooping
ip igmp snooping vlan 401
ip igmp snooping vlan 401 l2-general-querier
ip igmp snooping vlan 401 l2-general-querier-source 10.0.0.10

 

и

 

SNR-S2950-2#sh run

vlan 1;400;402-407
!
vlan 401
multicast-vlan
!
Interface Ethernet1/1
description MNG
switchport access vlan 400
!
Interface Ethernet1/2
description Client-TV
switchport access vlan 402
switchport association multicast-vlan 401
igmp snooping drop query
!
...
...
Interface Ethernet1/23
description MNG
switchport access vlan 400
!
Interface Ethernet1/24
description description NET
switchport mode trunk
!
Interface Ethernet1/25
!
Interface Ethernet1/26
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan400
description MNG
ip address 192.168.25.1 255.255.255.0
!
interface Vlan401
!
ip igmp snooping
ip igmp snooping vlan 401
ip igmp snooping vlan 401 immediately-leave

[IPTV + SNR-S2950]

На абонентском коммутаторе не обязательно указывать mrouter-port, лучше на абонентских портах включить

igmp snooping drop query

.

 

Покажите на каждом коммутаторе

sh ip igmp snooping vlan 401

 

SNR-S2950-1#sh ip igmp snooping vlan 401
Igmp snooping information for vlan 401

Igmp snooping L2 general querier                  :Yes(COULD_QUERY)
Igmp snooping query-interval                      :125(s)
Igmp snooping max response time                   :10(s)
Igmp snooping specific-query max response time    :1(s)
Igmp snooping robustness                          :2
Igmp snooping mrouter port keep-alive time        :255(s)
Igmp snooping query-suppression time              :255(s)

IGMP Snooping Connect Group Membership
Note:*-All Source, (S)- Include Source, [s]-Exclude Source
Groups          Sources             Ports               Exptime  System Level
239.255.255.250 *                   Ethernet1/24        00:02:43 V3

Igmp snooping vlan 401 mrouter port
Note:"!"-static mrouter port

 

и

 

SNR-2950-02# sh ip igmp snooping vlan 401
Igmp snooping information for vlan 401

Igmp snooping L2 general querier                  :NO
Igmp snooping query-interval                      :125(s)
Igmp snooping max response time                   :10(s)
Igmp snooping specific-query max response time    :1(s)
Igmp snooping robustness                          :2
Igmp snooping mrouter port keep-alive time        :255(s)

IGMP Snooping Connect Group Membership
Note:*-All Source, (S)- Include Source, [s]-Exclude Source
Groups          Sources             Ports               Exptime  System Level

Igmp snooping vlan 401 mrouter port
Note:"!"-static mrouter port
!Ethernet1/24