AciDSAS

  Что-то не так... Посмотрел только что на один BRAS. CCR 1036-8G-2S+. На нем вертится BGP (внутренний), Firewall & NAT, Shaper (Simple Queues), Traffic-Flow (netflow v9), radius (accounting и управление сессиями), DHCP. Вечером on-line ~1400 абонентов. Проходит около 3Гбит/с вход + 3Гбит/с выход, ~500k pps in + ~500k pps out. Тарифы от 1мбит/с до 300мбит/с.

Нормально для этого работает мак-куки. Лизы dhcp тут не важны. Стоят лизы на пару часов, keep-alive 2 минуты, таймаут сессии 180 дней, idle - none, mac-cookie тоже 180 дней. И все ок. Клиент отвалился, при следующем появлении, если мак-куки жив, авторизация происходит автоматом. Обрати внимание, что мак-куки удаляется автоматически, если превышен session-timeout, nas-request - traffic limit, admin-request или юзер сам нажал кнопку logout.

Как вариант можно разделить на авторизованных — "остановившиеся повтыкать на вывеску" и неавторизованные — "быстро пробежавшие мимо". Для неавторизованых есть свои параметры idle timeout, Keep-alive timeout и login timeout.

Видимо никак... А в чем практический смысл отключать сессию сразу при отвале клиента? Если клиент присоединится обратно раньше, чем истечет Keep-alive, то сессия просто продлится.

Сброс через keep-alive не пойдет? Параметр keepalive-timeout в user profile.

Сидел, читал, думал вот сейчас помогу кому-то... а тут бац и сам разобрался. Проблема актуальна не только для бонда, но и для простых ВЛАНов на интерфейсах. Если не ether не установить МТУ больше 1500, то mtu на vlan будет максимум 1496 с очень интересными последствиями. Так что ставим MTU 1600 для i350 и аналогов и получаем нормально работающую систему с блондином и вланами.

Ээх, невнимательно я прочитал... думал mikrot-mikrot через динамический nat от стороннего оператора взлетел.. :)

А что прописывается в качестве remote-address со стороны белого адреса?

Ubiquiti: Rocket M5 + AM-5G-17-90 (90 градусов 17dbi усиление) б/у 3 шт. — 6.000₽ Rocket M2 новый в запечатанной коробке — 3.500₽ продан AirMax Sector AM-2G15-120 (120 градусов 15dbi) новый — 6.000₽ NanoBeam M5 400 немного б/у 3 шт. — 3.000₽ Оплата любым удобным способом (нал, qiwi, visa и т.п.). Находится в Москве. Отправлю в регионы. Возможен аргументированный торг. acidsas@gmail.com +7-925-5o7-3828

/ip route add dst-address=10.1.1.2 type=unreachable distance=250

Да

Mikrotik SXT LTE... Правда LTE only.

Судя по статистике микротика какой-то трафик в этом правиле пошел, но днс не работает... Тогда сеанс телепатии закончен. Давайте схему и /ip firewall export

Вероятно у Вас ещё есть какие-то правила в файрволе, которые блокируют перенаправление. Посмотрите внимательно. Ещё проще.../ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53

Попробуйте с первым правилом только, если не получится, включите второе и эффект будет 100%. Если новый DNS у Вас в разных сегментах с клиентами, тогда второе правило не нужно.

/ip firewall nat add action=dst-nat dst-address=10.11.22.33 chain=dstnat protocol=udp port=53 to-addresses=10.44.55.66 не знаю конфигурацию вашей сети, так что может понадобиться еще: /ip firewall nat add action=masquerade chain=srcnat dst-address=10.44.55.66 protocol=udp dst-port=53

Продам абсолютно новые Ubiquiti PowerBeam M5. Есть 5 шт. — 5000₽/шт. Все оборудование в запечатанных коробках находится в Москве. Ни разу не вскрывалось! Могу отправить транспортной компанией. Связь через лс или +7-925-5о7-38-28

Цена снижена до 4500₽

А в чем сложность? /bin/echo "User-Name=test_user,Acct-Session-Id=a1b2c3,Framed-IP-Address=xxx.xxx.xxx.xxx,Mikrotik-Rate-Limit=30M" | /usr/bin/radclient -q NAS_IP:PORT coa password меняем shape на 30мбит в обе стороны. Интересует если смысл обновлять ROS поймаю ли глюки? Какую версию используете? Глюки это дело сугубо индивидуальное :) На CCR 6.37.1 в нашей конфигурации работает стабильно. На х86 с i350, i82576, i82580 выше 6.35.4, можно сказать, не работает. Соберите стенд и обкатайте. Это лучше, чем сразу в продакшн.

А в чем сложность? /bin/echo "User-Name=test_user,Acct-Session-Id=a1b2c3,Framed-IP-Address=xxx.xxx.xxx.xxx,Mikrotik-Rate-Limit=30M" | /usr/bin/radclient -q NAS_IP:PORT coa password меняем shape на 30мбит в обе стороны.

Работает. Скорости меняет "налету". Сессии сбрасывает. Какая стоит задача? Пускать без авторизации на определенные ресурсы? Да, для неавторизованного хотспот абонента иметь правила с доступом на определенные ресурсы и с редиректом на авторизацию и/или оплату при попытке доступа к запрещенным. То есть, набор фильтров из 3 действий accept списка разрешенных IP, редирект HTTP при попытке HTTP доступа к запрещенным и блокировать все остальное. При авторизации и оплате доступа за счет CoA снимать ограничения. Так именно это walled-garden это и делает. Прописываете то, что можно (можно хосты, можно порты, можно протоколы). При обращении к запрещенному http происходит редирект на страницу "дай денег". При авторизации клиент становится авторизованным и проходит мимо walled-garden. А CoA нужно для изменения скорости "налету".

Именно хотспот, не PPPoE? Именно hotspot. Вот CoA для PPPoE недавно запилили.

Работает. Скорости меняет "налету". Сессии сбрасывает. Какая стоит задача? Пускать без авторизации на определенные ресурсы?

Продам абсолютно новые Ubiquiti Rocket M5. Есть 4 шт. — 5000₽/шт. К ним предлагаются алюминиевые корпуса для защиты от окружающей среды и помех RF Elements. 4шт. — 500₽/шт. Все оборудование в запечатанных коробках находится в Москве. Ни разу не вскрывалось! Могу отправить транспортной компанией в регионы. Если заберете все сразу — 21000₽.Связь через лс или +7-925-5о7-38-28

В 6.36.3arp - fixed crash that caused Ethernet frames to go out via wrong interface