[Abram]

emp,

У вас либо accel-ppp вешается на интерфейсы с OSPF (хотя не должен, смотрите свой конфиг), либо проблемы с связью, тогда как падение OSPF и ошибки радиуса - это просто разные симптомы одной болезни.

[Dimka88]

но всёже проблемы бывают. подозреваю не справляется радиус. не знаю что именно происходит но в момент когда радиус не отвечает в логи ошибки про то что радиус не доступен и начинают отваливаться ospf-линки в кваге. не понимаю как это связано. особой нагрузки на процессор при этом не видно. возможно ли отключить radius-аккаунтинг ?

acct-timeout=600

Specifies timeout of accounting interim update.

В теории если accel-ppp не получит ответ от acct-update то сессию обрывать не будет еще в течении 10 минут, мне как то помогло.

[nik247]

но всёже проблемы бывают. подозреваю не справляется радиус. не знаю что именно происходит но в момент когда радиус не отвечает в логи ошибки про то что радиус не доступен и начинают отваливаться ospf-линки в кваге. не понимаю как это связано. особой нагрузки на процессор при этом не видно. возможно ли отключить radius-аккаунтинг ?

acct-timeout=600

Specifies timeout of accounting interim update.

В теории если accel-ppp не получит ответ от acct-update то сессию обрывать не будет еще в течении 10 минут, мне как то помогло.

В вашем случае (с проблемой доступа к радиусу), лучше так:

# disable lost radius accounting server

acct-timeout=0

У самого так стоит.

По поводу "возможно ли отключить radius-аккаунтинг ?" - похоже, что нельзя, но можете установить большой интервал обновления:

# default interim - will override Radius

acct-interim-interval=86400

Правда, эта настройка перетирается через радиус....

[Dimka88]

В вашем случае (с проблемой доступа к радиусу), лучше так:

# disable lost radius accounting server

acct-timeout=0

Я с вами частично не согласен, все зависит от биллинговой системы(не в курсе что у emp), в случае абилса сессия пропадёт из активных но на самом деле на NASе будет работать. И Новые клиенты могут получать дублированные IP, что логично.

Отключиьт аккаунтинг.

acct-on= 0|1

Specifies whether radius client should send Account-Request with Acct-Status-Type=Accounting-On on startup and Acct-Status-Type=Accounting-Off on shutdown.

Изменено 4 августа, 2014 пользователем Dimka88

[Abram]

По поводу "возможно ли отключить radius-аккаунтинг ?" - похоже, что нельзя, но можете установить большой интервал обновления:

# default interim - will override Radius

acct-interim-interval=86400

Правда, эта настройка перетирается через радиус....

По-моему можно вообще убрать эту опцию и из конфига, и из RADIUS, тогда отключится.

[emp]

emp,

У вас либо accel-ppp вешается на интерфейсы с OSPF (хотя не должен, смотрите свой конфиг), либо проблемы с связью, тогда как падение OSPF и ошибки радиуса - это просто разные симптомы одной болезни.

так и есть. схема: авторизация по не классифицированному пакету на L3. вот на этом самом L3 и висит ospf в сторону агрегации. так делать нельзя ?

 

p.s. сейчас вот работает и может ещё пол дня проработать а потом внезапно пойдут глюки.

[kayot]

По поводу "возможно ли отключить radius-аккаунтинг ?" - похоже, что нельзя, но можете установить большой интервал обновления:

# default interim - will override Radius

acct-interim-interval=86400

Правда, эта настройка перетирается через радиус....

По-моему можно вообще убрать эту опцию и из конфига, и из RADIUS, тогда отключится.

Так точно.

[Abram]

так и есть. схема: авторизация по не классифицированному пакету на L3. вот на этом самом L3 и висит ospf в сторону агрегации. так делать нельзя ?

Нет, конечно.

[emp]

так и есть. схема: авторизация по не классифицированному пакету на L3. вот на этом самом L3 и висит ospf в сторону агрегации. так делать нельзя ?

Нет, конечно.

почему ? как делать правильно ?

[NiTr0]

И да, я бы аккаунтинг не убирал. Умер брас - и висят сессии вечно в биллинге...

[Abram]

так и есть. схема: авторизация по не классифицированному пакету на L3. вот на этом самом L3 и висит ospf в сторону агрегации. так делать нельзя ?

Нет, конечно.

почему ? как делать правильно ?

А, стоп. В сторону агрегации? Это я не туда. Логично всё.

[emp]

так и есть. схема: авторизация по не классифицированному пакету на L3. вот на этом самом L3 и висит ospf в сторону агрегации. так делать нельзя ?

Нет, конечно.

почему ? как делать правильно ?

А, стоп. В сторону агрегации? Это я не туда. Логично всё.

откуда приходит исходящий от клиента туда и вешаю. на redback именно так.

[roysbike]

Пока нет документации, напомните про IPoE L2 QinQ. На сервере создаю vlan на eth1 с 1-10. Получается, eth1.1, eth1.2. Нужли ли мне создавать cvid вланы(клиентские) eth1.1.1 eth1.1.2 и тд. Или может vlan-mon это делать , мониторить и создавать или может только поднимать?

[Abram]

vlan-mon клиентские создаёт сам.

Дока кстати на вики вроде есть по этому делу.

[Cramac]

Многоуважаемый Алл. Подскажите, как в моей схеме ipoe работать с выдачей реального ИП?

 

ИП выдает радиус, либо адреса из 192.168.0.0/16 либо 91.х.х.0/24

интерфейсы accel создает такие:

ipoe4 Link encap:Ethernet HWaddr 00:1e:67:79:9c:01

inet addr:10.10.10.1 P-t-P:172.20.1.2 Mask:255.255.255.255

 

Конфиг accel

[ipoe]

verbose=1

#username=ifname

#password=username

lease-time=600

max-lease-time=3600

#unit-cache=1000

#l4-redirect-table=4

l4-redirect-ipset=l4redirect

l4-redirect-on-reject=300

shared=1

ifcfg=1

mode=L2

start=up

#relay=10.10.10.10

#attr-dhcp-client-ip=DHCP-Client-IP-Address

#attr-dhcp-router-ip=DHCP-Router-IP-Address

#attr-dhcp-mask=DHCP-Mask

#attr-l4-redirect=L4-Redirect

local-net=10.10.11.0/24

local-net=172.20.0.0/16

#lua-file=/etc/accel-ppp.lua

interface=eth0

[xeb]

1. выдавать сразу реальный ип

2. использовать нат, для этого в конфиг ipoe nat=1 и радиус должен выдавать реальный ип через Framed-IP-Address

[Cramac]

спс, опробую

[nik247]

Многоуважаемый Алл. Подскажите, как в моей схеме ipoe работать с выдачей реального ИП?

 

ИП выдает радиус, либо адреса из 192.168.0.0/16 либо 91.х.х.0/24

интерфейсы accel создает такие:

ipoe4 Link encap:Ethernet HWaddr 00:1e:67:79:9c:01

inet addr:10.10.10.1 P-t-P:172.20.1.2 Mask:255.255.255.255

 

Конфиг accel

[ipoe]

verbose=1

#username=ifname

#password=username

lease-time=600

max-lease-time=3600

#unit-cache=1000

#l4-redirect-table=4

l4-redirect-ipset=l4redirect

l4-redirect-on-reject=300

shared=1

ifcfg=1

mode=L2

start=up

#relay=10.10.10.10

#attr-dhcp-client-ip=DHCP-Client-IP-Address

#attr-dhcp-router-ip=DHCP-Router-IP-Address

#attr-dhcp-mask=DHCP-Mask

#attr-l4-redirect=L4-Redirect

local-net=10.10.11.0/24

local-net=172.20.0.0/16

#lua-file=/etc/accel-ppp.lua

interface=eth0

Указываем GW и маски, которые будут выдаваться клиентам на основе Framed-IP-Address:

gw-ip-address=192.168.0.1/16
gw-ip-address=91.X.X.1/24

Они же должны быть прописаны локально. Желательно на lo:1,lo:2... как /32:

lo:1      Link encap:Local Loopback
         inet addr:192.168.0.1  Mask:255.255.255.255
         UP LOOPBACK RUNNING  MTU:16436  Metric
lo:1      Link encap:Local Loopback
         inet addr:91.X.X.1  Mask:255.255.255.255
         UP LOOPBACK RUNNING  MTU:16436  Metric

Но /16 красивее разбить на /24:

gw-ip-address=192.168.0.1/24
gw-ip-address=192.168.1.1/24
gw-ip-address=192.168.2.1/24
...
gw-ip-address=192.168.255.1/24

lo:1      Link encap:Local Loopback
         inet addr:192.168.0.1  Mask:255.255.255.255
         UP LOOPBACK RUNNING  MTU:16436  Metric
lo:2      Link encap:Local Loopback
         inet addr:192.168.1.1  Mask:255.255.255.255
         UP LOOPBACK RUNNING  MTU:16436  Metric
...
lo:255    Link encap:Local Loopback
         inet addr:192.168.255.1  Mask:255.255.255.255
         UP LOOPBACK RUNNING  MTU:16436  Metric

Только в этом случае надо, что бы радиус выдавал адреса только 192.168.Х.2-254.

Иначе с адресами 192.168.Х.0, 192.168.Х.1,192.168.Х.255, если их выдаст радиус у клиента будут коллизии.

А натить где Вы будете серые IP?

 

Я бы на вашем месте все таки сеточку бы /16 немножко укоротил...

Изменено 8 августа, 2014 пользователем nik247

[Abram]

Кому надо - вики на данный момент работает: http://accel-pppd.net/

[roysbike]

Возможно ли использовать vlan-mon в секции PPPoE? (Хочу пока параллельно использовать IPoE и PPPoE)

[kayot]

Возможно ли использовать vlan-mon в секции PPPoE? (Хочу пока параллельно использовать IPoE и PPPoE)

Нет. PPPoE + vlan-mon = красивейшие краши accel, а иногда и всего сервера при попытке удаления влана.

[roysbike]

Возможно ли использовать vlan-mon в секции PPPoE? (Хочу пока параллельно использовать IPoE и PPPoE)

Нет. PPPoE + vlan-mon = красивейшие краши accel, а иногда и всего сервера при попытке удаления влана.

Понял. Спасибо .

[v-m-k]

Приветствую коллеги. Прочитал всю тему и так уверенность в решении на базе accel-ppp и не пришла. Хотим использовать как брас для ipoe с авторизацией по неклассифицированному пакету. У кого нибудь есть положительный опыт использования в продакшене? Если не сложно хотелось бы услышать конфиг сервака, сколько пережовывает, какой тип авторизации и не падает ли в корки. Спасибо.

[t1bur1an]

v-m-k, стоит 1.8.0 под ipoe. vlan-mon + старт по дхцп. В среднем днем 1300+ пользователей, каждому даем по мегабиту. Краши были только по вине радиуса, а точнее кривых рук их настроившего. Сейчас счастье и радость. время лизы 600 секунд. Влан интерфейсов 50 штук + штук 7 eoip тунелей. шейпинг так же ставит аксель.

Используется debian 7.5 на виртуалке. 2 ядра L5639 @ 2.13GHz + 2гб памяти(из них в среднем 1.2г свободно).

Средняя нагрузка до 50мбит.

Но у нас специфика такая что нам не нужно долгое время лизы и большие тарифы :)

[nik247]

v-m-k, стоит 1.8.0 под ipoe. vlan-mon + старт по дхцп. В среднем днем 1300+ пользователей, каждому даем по мегабиту. Краши были только по вине радиуса, а точнее кривых рук их настроившего. Сейчас счастье и радость. время лизы 600 секунд. Влан интерфейсов 50 штук + штук 7 eoip тунелей. шейпинг так же ставит аксель.

Используется debian 7.5 на виртуалке. 2 ядра L5639 @ 2.13GHz + 2гб памяти(из них в среднем 1.2г свободно).

Средняя нагрузка до 50мбит.

Но у нас специфика такая что нам не нужно долгое время лизы и большие тарифы :)

Не подскажете, насчет eoip тунелей - используете kernel или userspace? И как они себя ведут?