stasn1 Опубликовано 27 февраля, 2015 · Жалоба xeb, в последних коммитах поломался PPPoE. Не работают все после bb92e38. Подтверждаю, уже думал сам багрепорт строчить... ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SystemSyn Опубликовано 27 февраля, 2015 · Жалоба В последнем коммите похоже всплыла бага, описанная в посте 5321 http://forum.nag.ru/forum/index.php?showtopic=45266&st=5320&p=1025783entry1025783 и вроде как решенная. IPoE, QinQ, IP unnumbered меняем мак устройства, видим в логах Accel: [2015-02-27 10:57:35.832] eth1.3029.103: 447f89341962b0a0: ipoe: session finished [2015-02-27 10:57:36.916] eth1.3029.103: : recv [DHCPv4 Discover xid=a464870f chaddr=12:00:00:00:23:41 <Message-Type Discover> <Client-ID 01120000002341> <Host-Name GN-PC> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>] [2015-02-27 10:57:36.940] eth1.3029.103: 447f89341962b0a1: send [RADIUS(1) Access-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7030> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <User-Password >] [2015-02-27 10:57:36.961] eth1.3029.103: 447f89341962b0a1: recv [RADIUS(1) Access-Accept id=1 <PPPD-Upstream-Speed-Limit 40960> <Filter-Id "00.in"> <L4-Redirect 24> <DHCP-Router-IP-Address 146.XXX.105.1> <Framed-IP-Address 146.XXX.105.124> <PPPD-Downstream-Speed-Limit 40960>] [2015-02-27 10:57:36.961] eth1.3029.103: 447f89341962b0a1: eth1.3029.103: authentication succeeded [2015-02-27 10:57:36.961] eth1.3029.103: 447f89341962b0a1: send [DHCPv4 Offer xid=a464870f yiaddr=146.XXX.105.124 chaddr=12:00:00:00:23:41 <Message-Type Offer> <Server-ID 146.XXX.105.1> <Lease-Time 300> <Router 146.XXX.105.1> <Subnet 255.255.255.0> <DNS 8.8.8.8,4.4.4.4>] [2015-02-27 10:57:46.961] eth1.3029.103: 447f89341962b0a1: ipoe: session timed out [2015-02-27 10:57:46.961] eth1.3029.103: 447f89341962b0a1: terminate [2015-02-27 10:57:46.961] eth1.3029.103: 447f89341962b0a1: ipoe: session finished [2015-02-27 10:57:53.842] eth1.3029.103: : recv [DHCPv4 Discover xid=a464870f chaddr=12:00:00:00:23:41 <Message-Type Discover> <Client-ID 01120000002341> <Host-Name UG-PC> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>] [2015-02-27 10:57:53.842] eth1.3029.103: 447f89341962b0a2: send [RADIUS(1) Access-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7030> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <User-Password >] [2015-02-27 10:57:53.880] eth1.3029.103: 447f89341962b0a2: recv [RADIUS(1) Access-Accept id=1 <PPPD-Upstream-Speed-Limit 40960> <Filter-Id "00.in"> <L4-Redirect 24> <DHCP-Router-IP-Address 31.XXX.122.1> <Framed-IP-Address 31.XXX.122.154> <PPPD-Downstream-Speed-Limit 40960>] [2015-02-27 10:57:53.880] eth1.3029.103: 447f89341962b0a2: eth1.3029.103: authentication succeeded [2015-02-27 10:57:53.880] eth1.3029.103: 447f89341962b0a2: send [DHCPv4 Offer xid=a464870f yiaddr=31.41.XXX.154 chaddr=12:00:00:00:23:41 <Message-Type Offer> <Server-ID 31.XXX.122.1> <Lease-Time 300> <Router 31.XXX.122.1> <Subnet 255.255.255.0> <DNS 8.8.8.8,4.4.4.4>] [2015-02-27 10:58:03.880] eth1.3029.103: 447f89341962b0a2: ipoe: session timed out [2015-02-27 10:58:03.881] eth1.3029.103: 447f89341962b0a2: terminate [2015-02-27 10:58:03.881] eth1.3029.103: 447f89341962b0a2: ipoe: session finished tcpdump'ом видим что пакетов DHCP Offer нет: tcpdump -enn -i eth1.3029|grep -i dhcp tcpdump: WARNING: eth1.3029: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1.3029, link-type EN10MB (Ethernet), capture size 65535 bytes 10:57:28.913473 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300 10:57:36.916348 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300 10:57:53.842229 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300 Если наступает таймаут, qinq vlan падает, потом поднимается и все запускается: accel: [2015-02-27 10:59:03.881] ipoe: stop interface eth1.3029.103 [2015-02-27 10:59:03.913] ipoe: remove vlan eth1.3029.103 [2015-02-27 11:00:05.911] ipoe: create vlan eth1.3029.103 parent eth1.3029 [2015-02-27 11:00:05.913] ipoe: start interface eth1.3029.103 () [2015-02-27 11:01:05.913] ipoe: stop interface eth1.3029.103 [2015-02-27 11:01:05.929] ipoe: remove vlan eth1.3029.103 [2015-02-27 11:02:00.439] ipoe: create vlan eth1.3029.103 parent eth1.3029 [2015-02-27 11:02:00.440] ipoe: start interface eth1.3029.103 () [2015-02-27 11:03:00.440] ipoe: stop interface eth1.3029.103 [2015-02-27 11:03:00.457] ipoe: remove vlan eth1.3029.103 [2015-02-27 11:03:15.656] ipoe: create vlan eth1.3029.103 parent eth1.3029 [2015-02-27 11:03:15.656] ipoe: start interface eth1.3029.103 () [2015-02-27 11:03:35.446] eth1.3029.103: : recv [DHCPv4 Discover xid=67cc2a9a chaddr=12:00:00:00:23:41 <Message-Type Discover> <Client-ID 01120000002341> <Host-Name UG-PC> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>] [2015-02-27 11:03:35.467] eth1.3029.103: 447f89341962b0a3: send [RADIUS(1) Access-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7033> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <User-Password >] [2015-02-27 11:03:35.503] eth1.3029.103: 447f89341962b0a3: recv [RADIUS(1) Access-Accept id=1 <PPPD-Upstream-Speed-Limit 40960> <Filter-Id "00.in"> <L4-Redirect 24> <DHCP-Router-IP-Address 31.XXX.120.1> <Framed-IP-Address 31.XXX.120.3> <PPPD-Downstream-Speed-Limit 40960>] [2015-02-27 11:03:35.503] eth1.3029.103: 447f89341962b0a3: eth1.3029.103: authentication succeeded [2015-02-27 11:03:35.503] eth1.3029.103: 447f89341962b0a3: send [DHCPv4 Offer xid=67cc2a9a yiaddr=31.XXX.120.3 chaddr=12:00:00:00:23:41 <Message-Type Offer> <Server-ID 31.XXX.120.1> <Lease-Time 300> <Router 31.XXX.120.1> <Subnet 255.255.255.0> <DNS 91.210.192.2,91.210.192.3>] [2015-02-27 11:03:35.505] eth1.3029.103: 447f89341962b0a3: recv [DHCPv4 Request xid=67cc2a9a chaddr=12:00:00:00:23:41 <Message-Type Request> <Client-ID 01120000002341> <Request-IP 31.XXX.120.3> <Server-ID 31.XXX.120.1> <Host-Name UG-PC> <Option-81 000000474e2d5043> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>] [2015-02-27 11:03:35.505] eth1.3029.103: 447f89341962b0a3: send [RADIUS(1) Accounting-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7033> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "447f89341962b0a3"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 31.XXX.120.3>] [2015-02-27 11:03:35.505] eth1.3029.103: 447f89341962b0a3: send [DHCPv4 Ack xid=67cc2a9a yiaddr=31.XXX.120.3 chaddr=12:00:00:00:23:41 <Message-Type Ack> <Server-ID 31.XXX.120.1> <Lease-Time 300> <Router 31.XXX.120.1> <Subnet 255.255.255.0> <DNS 4.4.4.4,8.8.8.8>] [2015-02-27 11:03:35.506] eth1.3029.103: 447f89341962b0a3: recv [RADIUS(1) Accounting-Response id=1] [2015-02-27 11:03:35.507] eth1.3029.103: 447f89341962b0a3: shaper: installed shaper 40960/40960 (Kbit) [2015-02-27 11:03:35.507] eth1.3029.103: 447f89341962b0a3: ipoe: session started tcpdump: 11:03:30.247297 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit 11:03:31.260793 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit 11:03:33.273228 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit 11:03:35.445840 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300 11:03:35.503605 90:e2:ba:35:8d:78 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 324: vlan 103, p 0, ethertype IPv4, 31.XXX.120.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 278 11:03:35.504866 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 352: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 306 11:03:35.505231 90:e2:ba:35:8d:78 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 324: vlan 103, p 0, ethertype IPv4, 31.XXX.120.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 278 11:03:37.282501 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit 11:03:45.285210 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit Конфиг accel: [modules] log_file ipoe radius sigchld pppd_compat shaper [core] log-error=/var/log/accel-ppp/core.log thread-count=4 [common] [ppp] verbose=1 min-mtu=1280 mtu=1400 mru=1400 ipv4=require ipv6=deny ipv6-intf-id=0:0:0:1 ipv6-peer-intf-id=0:0:0:2 ipv6-accept-peer-intf-id=1 lcp-echo-interval=20 lcp-echo-timeout=120 [auth] [pptp] verbose=1 [pppoe] verbose=1 [l2tp] verbose=1 [ipoe] verbose=5 username=ifname password=empty lease-time=300 max-lease-time=600 unit-cache=0 shared=0 ifcfg=1 mode=L3 start=dhcpv4 ip-unnumbered=1 proxy-arp=1 nat=0 attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=DHCP-Mask attr-dhcp-lease-time=DHCP-Lease-Time vlan-mon=re:eth1\.3[0-9][0-9][0-9],101-200 vlan-timeout=60 vlan-name=%I.%N interface=re:eth1\.3[0-9][0-9][0-9] proto=100 [dns] dns1=8.8.8.8 dns2=4.4.4.4 [wins] [radius] dictionary=/usr/share/accel-ppp/radius/dictionary nas-identifier=bras_ipoe1 nas-ip-address=91.XXX.192.22 server=91.XXX.192.4,BLABLABLA,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0,weight=1 dae-server=0.0.0.0:3799,BLABLABLA verbose=10 timeout=3 max-try=3 acct-timeout=120 [client-ip-range] 10.0.0.0/8 [ip-pool] gw-ip-address=192.168.0.1 attr=Framed-Pool 192.168.0.2-255 192.168.1.1-255,name=pool1 192.168.2.1-255,name=pool2 192.168.3.1-255,name=pool3 192.168.4.0/24 [log] log-file=/var/log/accel-ppp/accel-ppp.log log-emerg=/var/log/accel-ppp/emerg.log log-fail-file=/var/log/accel-ppp/auth-fail.log log-debug=/var/log/accel-ppp/debug.log copy=1 level=5 [log-pgsql] conninfo=user=log log-table=log [pppd_compat] ip-up=/etc/ppp/ip-up ip-down=/etc/ppp/ip-down ip-change=/etc/ppp/ip-change radattr-prefix=/var/run/radattr verbose=1 [chap-secrets] gw-ip-address=192.168.100.1 [shaper] r2q=1300 quantum=1500 attr-down=PPPD-Downstream-Speed-Limit attr-up=PPPD-Upstream-Speed-Limit ifb=ifb0 up-limiter=htb down-limiter=htb leaf-qdisc=sfq perturb 10 verbose=5 [cli] telnet=127.0.0.1:2000 tcp=127.0.0.1:2001 [snmp] master=0 agent-name=accel-ppp [connlimit] limit=10/min burst=3 timeout=60 [ipv6-pool] [ipv6-dns] [ipv6-dhcp] verbose=1 pref-lifetime=604800 valid-lifetime=2592000 route-via-gw=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 27 февраля, 2015 · Жалоба Как можно изменить формат поля Calling-Station-Id?Нужно значение без разделителей. никак Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
theMIROn Опубликовано 28 февраля, 2015 (изменено) · Жалоба xeb, в последних коммитах поломался PPPoE. Не работают все после bb92e38. В коммите 44d70d - IP назначен клиенту, но на сервере его нет на ppp интерфейсе: из-за mtu == 0. патч тут http://pastebin.com/raw.php?i=rCY5cGdu Изменено 28 февраля, 2015 пользователем theMIROn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 3 марта, 2015 · Жалоба @xeb, спасибо, на коммите 26a89d0 PPPoE работает! на тестовом сервере подняли лимит до 500 клиентов и вылезла неприятная проблема при перезагрузке демона: при accel-cmd restart gracefully демон просто падает. при service accel-ppp restart пишет в лог: ==> /var/log/accel-ppp/accel-ppp.log <== [2015-03-03 16:39:12]: info: terminate, sig = 15 [2015-03-03 16:39:12]: info: recv [RADIUS(1) Accounting-Response id=91] [2015-03-03 16:39:12]: info: recv [RADIUS(1) Accounting-Response id=b] [2015-03-03 16:39:12]: info: recv [RADIUS(1) Accounting-Response id=7f] [2015-03-03 16:39:12]: info: recv [RADIUS(1) Accounting-Response id=cb] [2015-03-03 16:39:12]: info: recv [RADIUS(1) Accounting-Response id=1f] строк с Accounting-Response примерно штук 100 и замирает на пару минут, потом стартует: ==> /var/log/accel-ppp/emerg.log <== radius: no dm_coa_secret specified, DM/CoA disabled... ==> /var/log/accel-ppp/accel-ppp.log <== [2015-03-03 16:42:17]: msg: accel-ppp version 26a89d0fc3c2c015f68c80bddfdcbda963396271 [2015-03-03 16:42:17]: info: send [RADIUS(1) Accounting-Request id=1 <Acct-Status-Type Accounting-On> <NAS-Identifier "oz-ural4320"> <NAS-IP-Address 10.100.3.21>] [2015-03-03 16:42:17]: info: recv [RADIUS(1) Accounting-Response id=1] но, в логи валит огромное количество сообщений authentication failed с ответом радиуса <Reply-Message "% Sessions limit exceeded."> минут через 5 прилетает сообщение: ==> /var/log/accel-ppp/emerg.log <== radius: out of memory п.с. сюда хорошо бы тоже писать время еще через 5 минут: ==> /var/log/accel-ppp/accel-ppp.log <== [2015-03-03 16:52:53]: info: recv [RADIUS(1) Accounting-Response id=2] [2015-03-03 16:52:57]: info: recv [RADIUS(1) Accounting-Response id=2] зависшие сессии отваливаются по тайм-ауту через 10 минут. все учетки ограничены одной сессией. single-session=replace - не работает, т.к. только что перезагруженный демон еще не знает, что сессия уже была им инициирована ранее. что крутить? секция radius из конфига: [radius] nas-identifier=oz-ural4320 nas-ip-address=10.100.3.21 gw-ip-address=100.64.0.1 #server=127.0.0.1,testing123,auth-port=1812,acct-port=1813,req-limit=50,fail-timeout=0,max-fail=10,weight=1 server=10.100.3.251,qwerty,auth-port=1645,acct-port=1646,req-limit=50,fail-timeout=30,max-fail=10,weight=10 #dae-server=10.100.3.21:3799,qwerty acct-interim-interval=120 verbose=1 interim-verbose=0 timeout=180 max-try=3 acct-timeout=300 #acct-delay-time=0 acct-on=1 sid_in_auth=1 # need to work Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 марта, 2015 · Жалоба cREoz То, что вы описываете это стандартная проблема сессионной модели (за исключением out of memory(вероятно, баг)). такое будет с любым брасом после его перезагрузки Так что если вы хотите, чтоб сессии поднимались быстро после перезагрузки браса без удаления сессий из радиус-сервера/биллинга, то вам нужно научить радиус отвечать accept при получении идентичных параметров в access-request (т.е. nas-port-id и calling-station-id). задача не совсем тривиальная, но вполне решаемая если радиус-сервер это не чёрный ящик для вас Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cREoz Опубликовано 3 марта, 2015 (изменено) · Жалоба s.lobanov, спасибо за разъяснение... Интересно, что часть сессий accel-pppd всё-таки закрывает, причем закрывает практически все, пока их совсем мало. Это навело меня на мысль о возможных ограничениях скорости обращений к радиус-серверу в accel-pppd или блокировках со стороны биллинга. Биллинг в облаке и мой к ним запрос пока еще остается без ответа :( Не знаю почему ложится демон сейчас, но прежде команда accel-cmd restart gracefully отрабатывала на все 100%. п.с. что должно быть в nas-port-id? у меня во всех сессиях - <NAS-Port-Id ""> Изменено 3 марта, 2015 пользователем cREoz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 5 марта, 2015 (изменено) · Жалоба Подскажите или ткните носом в документацию, как в accel-ppp можно настроить реверс-пас фильтрацию ? Вообще интересуют возможности по фильтрации пакетов от клиента в туннеле (в данном случае pptp) с сорсом, отличным от выданного ip-адреса, и пакетов, адресованных на "серые" сети (192.168... и другие). Ну а рас предусмотрены схемы работы на серых адресах, то должны быть варианты на тему того, что какие-то серые надо всё же пропускать, я так думаю. В ipoe что-то читал про проверку мас-адреса, а других упоминаний про подобные вещи с ходу не нашёл. Изменено 5 марта, 2015 пользователем wtyd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 5 марта, 2015 · Жалоба Подскажите или ткните носом в документацию, как в accel-ppp можно настроить реверс-пас фильтрацию ? А разве она должна настраиваться в accel-ppp? /etc/sysctl.conf net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashaumka Опубликовано 5 марта, 2015 · Жалоба День добрый, XEB вот такой баг. ppp150 | moskalu | 10:fe:ed:ab:9b:83 | ---.---.11.115 | 25600/5120 | pppoe | | active | 00:05:38 ppp151 | semenchuk | c8:60:00:61:89:67 | ---.---.11.116 | 10240/3072 | pppoe | | active | 00:05:38 ppp152 | Miroslava | e8:94:f6:6c:69: ppp152 | Miroslava | e8:94:f6:6c:69:c9 | --.---.11.117 | 25600/512 ppp153 | vados | 64:66:b3:44:b2:5b | 10.39.240.27 | 25600/8192 | pppoe | | active | 00:05:36 ppp154 | valeriya | e8:94:f6:ca:44:0f | --.---.11.118 | 10240/3072 | pppoe | | active | 00:05:36 ppp155 | nasta2 | 48:5b:39:cd:09:3e | --.---.11.121 | 25600/8192 | pppoe | | active | 00:05:33 редко, но проскакивает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 5 марта, 2015 · Жалоба Подскажите или ткните носом в документацию, как в accel-ppp можно настроить реверс-пас фильтрацию ? А разве она должна настраиваться в accel-ppp? /etc/sysctl.conf net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1 Ну это-то я знаю, но это немного не то. Хочется более расширенной фильтрации. Наверное серые сети проще iptables'ами зафильтровать как надо, а rp можно как вы сказали на крайний случай. Я думал есть спец. фичи. Просто я давно давно делал accel-pptp и там я спера юзал rp-фильрацию, но потом переделал на примерно такое в ip-pre-up скрипте: # anti-spoof filter $TC filter add dev $IFNAME parent ffff: protocol ip prio 1 \ u32 match ip src $IPREMOTE/32 flowid 1:1 \ action police rate $[$DOWN*1000] \ burst $[$DOWN*256] drop $TC filter add dev $IFNAME parent ffff: protocol ip prio 2 \ u32 match ip src 0.0.0.0/0 flowid 1:1 action drop в комментариях написано, что rp-filter нарушает работу icmp при запрещающих правилах iptables, т.е. icmp сообщения не шлются. Это было давно, без комментов в скрипте я бы и не вспомнил. Сейчас может быть что-то изменилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stasn1 Опубликовано 8 марта, 2015 · Жалоба Такой нюанс вылез: при использовании -j TEE --gateway x.x.x.x --oif vlanXXX для зеркалирования - трафик на ipoe интерфейсах удваивается.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bsi82 Опубликовано 12 марта, 2015 · Жалоба Всем доброго! как заставить шейпер устанавливать ceil=rate*n ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 12 марта, 2015 · Жалоба ceil не управляется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 13 марта, 2015 · Жалоба Добрые день , коллеги. Подскажите , по vlan-mon . Вообщем на bras придет vlan с 3-ым тегом - bond1.2.3.1001-2001 "Достанет " ли его vlan-mon и поднимит ли vlan вида bond1.2.3.4 ? vlan-mon=re:bond1.2.3.1001-2001 interface=re:bond1.2.3.[1-2][0-9][0-9][0-9] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 13 марта, 2015 · Жалоба Должен, ему пофигу. Только регулярки правильно напишите - как-то так: vlan-mon=re:bond1\.2\.3,1001-2001 interface=re:bond1\.2\.3\.[1-2]\d{3} Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 13 марта, 2015 (изменено) · Жалоба roysbike Так как ты написал - не будет, так как Abram подправил - будет. Дело даже не в правильности регулярки, а в vlan-mon=re:bond1.2.3,(запятая,список вланов)1001-2001 Изменено 13 марта, 2015 пользователем kayot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 13 марта, 2015 · Жалоба kayot, Если уж так - тогда без re:. Либо если уж писать re: - тогда точки таки экранировать. vlan-mon=bond1.2.3,1001-2001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 13 марта, 2015 · Жалоба Abram Надо, но в данном случае не обязательно. Пусть себе любой символ подставляется) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 13 марта, 2015 · Жалоба Abram Надо, но в данном случае не обязательно. Пусть себе любой символ подставляется) Можно вообще всё точками забить. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SABRE Опубликовано 21 марта, 2015 · Жалоба Здравствуйте, хочу уточнить у более опытных коллег принцип работы mode=L2/L3. Клиенты подключаются через L3 коммутатор к интерфейсу eth0.4002. shared=1, ifcfg=1, start=up. Так вот проблема - стоит mode=L3, то клиент авторизируется, но маршрут на интерфес ipoeN не добавляется, соответственно связи нет, если mode=L2 все работает как положено. В документации описно, что L2 нужно использовать припрямом соединении. Собственно почему при L3 не добавляются маршруты? И еще один вопрос, можно ли в шейпере исключить пакеты мажду клиентами (в схеме vlan-per-user, shared=0,ifcfg=1,mode=L2,start=dhcpv4) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 21 марта, 2015 · Жалоба Вопрос сообществу - на данный момент при использовании DHCP Relay можно отключить добавление option82 самим акселем ? то есть эти поля вообще не трогать чтобы на DHCP сервак пришла неизмененная опция82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stasn1 Опубликовано 22 марта, 2015 · Жалоба Такой нюанс вылез: при использовании -j TEE --gateway x.x.x.x --oif vlanXXX для зеркалирования - трафик на ipoe интерфейсах удваивается.... Уточнение - задвоение трафика на ipoe интерфейсе (оригинал на dst mac ff:ff:ff:ff:ff:ff + копия на mac gateway хоста в TEE) просходит только если он поднят по start=up (неклассифицированному пакету), при start=dhcpv4 всё нормально, при том что все остальные настройки в accel для принимающих вланов идентичны. В результате дублирования трафика шейпер на ipoe-интерфейсе естественно работает некорректно. Реально ли это как-то поправить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adeep Опубликовано 22 марта, 2015 · Жалоба Салют. А у нас так: [2015-03-22 19:39:48]: info: ipoe0: recv [DHCPv4 Discover xid=ef504ece chaddr=4c:5e:0c:c0:90:fc <Message-Type Discover> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP,138> <Host-Name MikroTik> <Client-ID 014c5e0cc090fc> <Rela y-Agent {Agent-Circuit-ID _0f3b000801} {Agent-Remote-ID _00e00f01e4e4} {Option-9 _00000cf80e010c6765706f6e3534353d303032}>] [2015-03-22 19:39:48]: info: ipoe0: send [DHCPv4 Offer xid=ef504ece yiaddr=10.126.0.2 chaddr=4c:5e:0c:c0:90:fc <Message-Type Offer> <Server-ID 10.126.0.1> <Lease-Time 600> <Router 10.126.0.1> <Subnet 255.255.255.0> <DNS 193.33.236.1,193 .33.237.20>] [2015-03-22 19:39:49]: info: ipoe0: ipoe: session timed out [2015-03-22 19:39:49]: debug: ipoe0: terminate [2015-03-22 19:39:49]: info: ipoe0: ipoe: session finished [2015-03-22 19:39:49]: info: ipoe0: send [DHCPv4 relay Release xid=ef504ece ciaddr=10.126.0.2 giaddr=193.33.237.21 chaddr=4c:5e:0c:c0:90:fc <Message-Type Release> <Relay-Agent {Agent-Circuit-ID _0f3b000801} {Agent-Remote-ID _00e00f01e4e 4} {Option-9 _00000cf80e010c6765706f6e3534353d303032}>] Откуда успевает взяться session timed out? commit 3e886b631e0684c689b8075778be505ae9ae7629 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 22 марта, 2015 · Жалоба Откуда успевает взяться session timed out? Судя по всему, таймаут ожидания ответа на DHCP Offer. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...