Перейти к содержимому
Калькуляторы

xeb, в последних коммитах поломался PPPoE. Не работают все после bb92e38.

 

Подтверждаю, уже думал сам багрепорт строчить... )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В последнем коммите похоже всплыла бага, описанная в посте 5321 http://forum.nag.ru/forum/index.php?showtopic=45266&st=5320&p=1025783entry1025783 и вроде как решенная.

IPoE, QinQ, IP unnumbered

 

меняем мак устройства, видим в логах Accel:

 

 

[2015-02-27 10:57:35.832] eth1.3029.103: 447f89341962b0a0: ipoe: session finished

[2015-02-27 10:57:36.916] eth1.3029.103: : recv [DHCPv4 Discover xid=a464870f chaddr=12:00:00:00:23:41 <Message-Type Discover> <Client-ID 01120000002341> <Host-Name GN-PC> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>]

[2015-02-27 10:57:36.940] eth1.3029.103: 447f89341962b0a1: send [RADIUS(1) Access-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7030> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <User-Password >]

[2015-02-27 10:57:36.961] eth1.3029.103: 447f89341962b0a1: recv [RADIUS(1) Access-Accept id=1 <PPPD-Upstream-Speed-Limit 40960> <Filter-Id "00.in"> <L4-Redirect 24> <DHCP-Router-IP-Address 146.XXX.105.1> <Framed-IP-Address 146.XXX.105.124> <PPPD-Downstream-Speed-Limit 40960>]

[2015-02-27 10:57:36.961] eth1.3029.103: 447f89341962b0a1: eth1.3029.103: authentication succeeded

[2015-02-27 10:57:36.961] eth1.3029.103: 447f89341962b0a1: send [DHCPv4 Offer xid=a464870f yiaddr=146.XXX.105.124 chaddr=12:00:00:00:23:41 <Message-Type Offer> <Server-ID 146.XXX.105.1> <Lease-Time 300> <Router 146.XXX.105.1> <Subnet 255.255.255.0> <DNS 8.8.8.8,4.4.4.4>]

[2015-02-27 10:57:46.961] eth1.3029.103: 447f89341962b0a1: ipoe: session timed out

[2015-02-27 10:57:46.961] eth1.3029.103: 447f89341962b0a1: terminate

[2015-02-27 10:57:46.961] eth1.3029.103: 447f89341962b0a1: ipoe: session finished

[2015-02-27 10:57:53.842] eth1.3029.103: : recv [DHCPv4 Discover xid=a464870f chaddr=12:00:00:00:23:41 <Message-Type Discover> <Client-ID 01120000002341> <Host-Name UG-PC> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>]

[2015-02-27 10:57:53.842] eth1.3029.103: 447f89341962b0a2: send [RADIUS(1) Access-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7030> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <User-Password >]

[2015-02-27 10:57:53.880] eth1.3029.103: 447f89341962b0a2: recv [RADIUS(1) Access-Accept id=1 <PPPD-Upstream-Speed-Limit 40960> <Filter-Id "00.in"> <L4-Redirect 24> <DHCP-Router-IP-Address 31.XXX.122.1> <Framed-IP-Address 31.XXX.122.154> <PPPD-Downstream-Speed-Limit 40960>]

[2015-02-27 10:57:53.880] eth1.3029.103: 447f89341962b0a2: eth1.3029.103: authentication succeeded

[2015-02-27 10:57:53.880] eth1.3029.103: 447f89341962b0a2: send [DHCPv4 Offer xid=a464870f yiaddr=31.41.XXX.154 chaddr=12:00:00:00:23:41 <Message-Type Offer> <Server-ID 31.XXX.122.1> <Lease-Time 300> <Router 31.XXX.122.1> <Subnet 255.255.255.0> <DNS 8.8.8.8,4.4.4.4>]

[2015-02-27 10:58:03.880] eth1.3029.103: 447f89341962b0a2: ipoe: session timed out

[2015-02-27 10:58:03.881] eth1.3029.103: 447f89341962b0a2: terminate

[2015-02-27 10:58:03.881] eth1.3029.103: 447f89341962b0a2: ipoe: session finished

 

 

tcpdump'ом видим что пакетов DHCP Offer нет:

 

 

 

tcpdump -enn -i eth1.3029|grep -i dhcp

tcpdump: WARNING: eth1.3029: no IPv4 address assigned

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth1.3029, link-type EN10MB (Ethernet), capture size 65535 bytes

 

10:57:28.913473 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300

10:57:36.916348 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300

10:57:53.842229 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300

 

 

 

Если наступает таймаут, qinq vlan падает, потом поднимается и все запускается:

 

 

accel:

 

[2015-02-27 10:59:03.881] ipoe: stop interface eth1.3029.103

[2015-02-27 10:59:03.913] ipoe: remove vlan eth1.3029.103

[2015-02-27 11:00:05.911] ipoe: create vlan eth1.3029.103 parent eth1.3029

[2015-02-27 11:00:05.913] ipoe: start interface eth1.3029.103 ()

[2015-02-27 11:01:05.913] ipoe: stop interface eth1.3029.103

[2015-02-27 11:01:05.929] ipoe: remove vlan eth1.3029.103

[2015-02-27 11:02:00.439] ipoe: create vlan eth1.3029.103 parent eth1.3029

[2015-02-27 11:02:00.440] ipoe: start interface eth1.3029.103 ()

[2015-02-27 11:03:00.440] ipoe: stop interface eth1.3029.103

[2015-02-27 11:03:00.457] ipoe: remove vlan eth1.3029.103

[2015-02-27 11:03:15.656] ipoe: create vlan eth1.3029.103 parent eth1.3029

[2015-02-27 11:03:15.656] ipoe: start interface eth1.3029.103 ()

[2015-02-27 11:03:35.446] eth1.3029.103: : recv [DHCPv4 Discover xid=67cc2a9a chaddr=12:00:00:00:23:41 <Message-Type Discover> <Client-ID 01120000002341> <Host-Name UG-PC> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>]

[2015-02-27 11:03:35.467] eth1.3029.103: 447f89341962b0a3: send [RADIUS(1) Access-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7033> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <User-Password >]

[2015-02-27 11:03:35.503] eth1.3029.103: 447f89341962b0a3: recv [RADIUS(1) Access-Accept id=1 <PPPD-Upstream-Speed-Limit 40960> <Filter-Id "00.in"> <L4-Redirect 24> <DHCP-Router-IP-Address 31.XXX.120.1> <Framed-IP-Address 31.XXX.120.3> <PPPD-Downstream-Speed-Limit 40960>]

[2015-02-27 11:03:35.503] eth1.3029.103: 447f89341962b0a3: eth1.3029.103: authentication succeeded

[2015-02-27 11:03:35.503] eth1.3029.103: 447f89341962b0a3: send [DHCPv4 Offer xid=67cc2a9a yiaddr=31.XXX.120.3 chaddr=12:00:00:00:23:41 <Message-Type Offer> <Server-ID 31.XXX.120.1> <Lease-Time 300> <Router 31.XXX.120.1> <Subnet 255.255.255.0> <DNS 91.210.192.2,91.210.192.3>]

[2015-02-27 11:03:35.505] eth1.3029.103: 447f89341962b0a3: recv [DHCPv4 Request xid=67cc2a9a chaddr=12:00:00:00:23:41 <Message-Type Request> <Client-ID 01120000002341> <Request-IP 31.XXX.120.3> <Server-ID 31.XXX.120.1> <Host-Name UG-PC> <Option-81 000000474e2d5043> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Domain-Name,Router,DNS,44,46,47,31,Route,Classless-Route,249,Vendor-Specific>]

[2015-02-27 11:03:35.505] eth1.3029.103: 447f89341962b0a3: send [RADIUS(1) Accounting-Request id=1 <User-Name "eth1.3029.103"> <NAS-Identifier "bras_ipoe1"> <NAS-IP-Address 91.XXX.192.22> <NAS-Port 7033> <NAS-Port-Id "eth1.3029.103"> <NAS-Port-Type Ethernet> <Calling-Station-Id "12:00:00:00:23:41"> <Called-Station-Id "eth1.3029.103"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "447f89341962b0a3"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 31.XXX.120.3>]

[2015-02-27 11:03:35.505] eth1.3029.103: 447f89341962b0a3: send [DHCPv4 Ack xid=67cc2a9a yiaddr=31.XXX.120.3 chaddr=12:00:00:00:23:41 <Message-Type Ack> <Server-ID 31.XXX.120.1> <Lease-Time 300> <Router 31.XXX.120.1> <Subnet 255.255.255.0> <DNS 4.4.4.4,8.8.8.8>]

[2015-02-27 11:03:35.506] eth1.3029.103: 447f89341962b0a3: recv [RADIUS(1) Accounting-Response id=1]

[2015-02-27 11:03:35.507] eth1.3029.103: 447f89341962b0a3: shaper: installed shaper 40960/40960 (Kbit)

[2015-02-27 11:03:35.507] eth1.3029.103: 447f89341962b0a3: ipoe: session started

 

 

tcpdump:

11:03:30.247297 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit

11:03:31.260793 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit

11:03:33.273228 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit

11:03:35.445840 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 300

11:03:35.503605 90:e2:ba:35:8d:78 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 324: vlan 103, p 0, ethertype IPv4, 31.XXX.120.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 278

11:03:35.504866 12:00:00:00:23:41 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 352: vlan 103, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 12:00:00:00:23:41, length 306

11:03:35.505231 90:e2:ba:35:8d:78 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 324: vlan 103, p 0, ethertype IPv4, 31.XXX.120.1.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 278

11:03:37.282501 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit

11:03:45.285210 12:00:00:00:23:41 > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 151: vlan 103, p 0, ethertype IPv6, fe80::7400:7c40:288a:e3b4.546 > ff02::1:2.547: dhcp6 solicit

 

 

 

Конфиг accel:

 

 

 

[modules]

log_file

ipoe

radius

sigchld

pppd_compat

shaper

 

[core]

log-error=/var/log/accel-ppp/core.log

thread-count=4

 

[common]

 

[ppp]

verbose=1

min-mtu=1280

mtu=1400

mru=1400

ipv4=require

ipv6=deny

ipv6-intf-id=0:0:0:1

ipv6-peer-intf-id=0:0:0:2

ipv6-accept-peer-intf-id=1

lcp-echo-interval=20

lcp-echo-timeout=120

 

[auth]

 

[pptp]

verbose=1

 

[pppoe]

verbose=1

 

[l2tp]

verbose=1

 

[ipoe]

verbose=5

username=ifname

password=empty

lease-time=300

max-lease-time=600

unit-cache=0

shared=0

ifcfg=1

mode=L3

start=dhcpv4

ip-unnumbered=1

proxy-arp=1

nat=0

attr-dhcp-client-ip=Framed-IP-Address

attr-dhcp-router-ip=DHCP-Router-IP-Address

attr-dhcp-mask=DHCP-Mask

attr-dhcp-lease-time=DHCP-Lease-Time

vlan-mon=re:eth1\.3[0-9][0-9][0-9],101-200

vlan-timeout=60

vlan-name=%I.%N

interface=re:eth1\.3[0-9][0-9][0-9]

proto=100

 

 

 

[dns]

dns1=8.8.8.8

dns2=4.4.4.4

 

[wins]

 

[radius]

dictionary=/usr/share/accel-ppp/radius/dictionary

nas-identifier=bras_ipoe1

nas-ip-address=91.XXX.192.22

server=91.XXX.192.4,BLABLABLA,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0,weight=1

dae-server=0.0.0.0:3799,BLABLABLA

verbose=10

timeout=3

max-try=3

acct-timeout=120

 

 

[client-ip-range]

10.0.0.0/8

 

[ip-pool]

gw-ip-address=192.168.0.1

attr=Framed-Pool

192.168.0.2-255

192.168.1.1-255,name=pool1

192.168.2.1-255,name=pool2

192.168.3.1-255,name=pool3

192.168.4.0/24

 

[log]

log-file=/var/log/accel-ppp/accel-ppp.log

log-emerg=/var/log/accel-ppp/emerg.log

log-fail-file=/var/log/accel-ppp/auth-fail.log

log-debug=/var/log/accel-ppp/debug.log

copy=1

level=5

 

[log-pgsql]

conninfo=user=log

log-table=log

 

[pppd_compat]

ip-up=/etc/ppp/ip-up

ip-down=/etc/ppp/ip-down

ip-change=/etc/ppp/ip-change

radattr-prefix=/var/run/radattr

verbose=1

 

[chap-secrets]

gw-ip-address=192.168.100.1

 

[shaper]

r2q=1300

quantum=1500

attr-down=PPPD-Downstream-Speed-Limit

attr-up=PPPD-Upstream-Speed-Limit

ifb=ifb0

up-limiter=htb

down-limiter=htb

leaf-qdisc=sfq perturb 10

verbose=5

 

 

[cli]

telnet=127.0.0.1:2000

tcp=127.0.0.1:2001

 

[snmp]

master=0

agent-name=accel-ppp

 

[connlimit]

limit=10/min

burst=3

timeout=60

 

[ipv6-pool]

 

[ipv6-dns]

 

[ipv6-dhcp]

verbose=1

pref-lifetime=604800

valid-lifetime=2592000

route-via-gw=1

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как можно изменить формат поля Calling-Station-Id?

Нужно значение без разделителей.

никак

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

xeb, в последних коммитах поломался PPPoE. Не работают все после bb92e38.

В коммите 44d70d - IP назначен клиенту, но на сервере его нет на ppp интерфейсе:

 

из-за mtu == 0.

патч тут http://pastebin.com/raw.php?i=rCY5cGdu

Изменено пользователем theMIROn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@xeb, спасибо, на коммите 26a89d0 PPPoE работает!

 

на тестовом сервере подняли лимит до 500 клиентов и вылезла неприятная проблема при перезагрузке демона:

при accel-cmd restart gracefully демон просто падает.

при service accel-ppp restart пишет в лог:

==> /var/log/accel-ppp/accel-ppp.log <==
[2015-03-03 16:39:12]:  info: terminate, sig = 15
[2015-03-03 16:39:12]:  info: recv [RADIUS(1) Accounting-Response id=91]
[2015-03-03 16:39:12]:  info: recv [RADIUS(1) Accounting-Response id=b]
[2015-03-03 16:39:12]:  info: recv [RADIUS(1) Accounting-Response id=7f]
[2015-03-03 16:39:12]:  info: recv [RADIUS(1) Accounting-Response id=cb]
[2015-03-03 16:39:12]:  info: recv [RADIUS(1) Accounting-Response id=1f]

строк с Accounting-Response примерно штук 100

 

и замирает на пару минут, потом стартует:

==> /var/log/accel-ppp/emerg.log <==
radius: no dm_coa_secret specified, DM/CoA disabled...

==> /var/log/accel-ppp/accel-ppp.log <==
[2015-03-03 16:42:17]:   msg: accel-ppp version 26a89d0fc3c2c015f68c80bddfdcbda963396271
[2015-03-03 16:42:17]:  info: send [RADIUS(1) Accounting-Request id=1 <Acct-Status-Type Accounting-On> <NAS-Identifier "oz-ural4320"> <NAS-IP-Address 10.100.3.21>]
[2015-03-03 16:42:17]:  info: recv [RADIUS(1) Accounting-Response id=1]

но, в логи валит огромное количество сообщений authentication failed с ответом радиуса <Reply-Message "% Sessions limit exceeded.">

 

минут через 5 прилетает сообщение:

==> /var/log/accel-ppp/emerg.log <==
radius: out of memory

п.с. сюда хорошо бы тоже писать время

 

еще через 5 минут:

==> /var/log/accel-ppp/accel-ppp.log <==
[2015-03-03 16:52:53]:  info: recv [RADIUS(1) Accounting-Response id=2]
[2015-03-03 16:52:57]:  info: recv [RADIUS(1) Accounting-Response id=2]

 

зависшие сессии отваливаются по тайм-ауту через 10 минут.

все учетки ограничены одной сессией.

single-session=replace - не работает, т.к. только что перезагруженный демон еще не знает, что сессия уже была им инициирована ранее.

 

что крутить?

 

секция radius из конфига:

[radius]
nas-identifier=oz-ural4320
nas-ip-address=10.100.3.21
gw-ip-address=100.64.0.1
#server=127.0.0.1,testing123,auth-port=1812,acct-port=1813,req-limit=50,fail-timeout=0,max-fail=10,weight=1
server=10.100.3.251,qwerty,auth-port=1645,acct-port=1646,req-limit=50,fail-timeout=30,max-fail=10,weight=10
#dae-server=10.100.3.21:3799,qwerty
acct-interim-interval=120
verbose=1
interim-verbose=0
timeout=180
max-try=3
acct-timeout=300
#acct-delay-time=0
acct-on=1
sid_in_auth=1 # need to work

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

cREoz

То, что вы описываете это стандартная проблема сессионной модели (за исключением out of memory(вероятно, баг)). такое будет с любым брасом после его перезагрузки

 

Так что если вы хотите, чтоб сессии поднимались быстро после перезагрузки браса без удаления сессий из радиус-сервера/биллинга, то вам нужно научить радиус отвечать accept при получении идентичных параметров в access-request (т.е. nas-port-id и calling-station-id). задача не совсем тривиальная, но вполне решаемая если радиус-сервер это не чёрный ящик для вас

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

s.lobanov, спасибо за разъяснение...

 

Интересно, что часть сессий accel-pppd всё-таки закрывает, причем закрывает практически все, пока их совсем мало.

Это навело меня на мысль о возможных ограничениях скорости обращений к радиус-серверу в accel-pppd или блокировках со стороны биллинга.

Биллинг в облаке и мой к ним запрос пока еще остается без ответа :(

 

Не знаю почему ложится демон сейчас, но прежде команда accel-cmd restart gracefully отрабатывала на все 100%.

 

п.с. что должно быть в nas-port-id? у меня во всех сессиях - <NAS-Port-Id "">

Изменено пользователем cREoz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите или ткните носом в документацию, как в accel-ppp можно настроить реверс-пас фильтрацию ?

 

Вообще интересуют возможности по фильтрации пакетов от клиента в туннеле (в данном случае pptp) с сорсом, отличным от выданного ip-адреса, и пакетов, адресованных на "серые" сети (192.168... и другие). Ну а рас предусмотрены схемы работы на серых адресах, то должны быть варианты на тему того, что какие-то серые надо всё же пропускать, я так думаю.

 

В ipoe что-то читал про проверку мас-адреса, а других упоминаний про подобные вещи с ходу не нашёл.

Изменено пользователем wtyd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите или ткните носом в документацию, как в accel-ppp можно настроить реверс-пас фильтрацию ?

А разве она должна настраиваться в accel-ppp?

 

/etc/sysctl.conf

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

День добрый, XEB

 

вот такой баг.

ppp150 | moskalu | 10:fe:ed:ab:9b:83 | ---.---.11.115 | 25600/5120 | pppoe | | active | 00:05:38

ppp151 | semenchuk | c8:60:00:61:89:67 | ---.---.11.116 | 10240/3072 | pppoe | | active | 00:05:38

ppp152 | Miroslava | e8:94:f6:6c:69: ppp152 | Miroslava | e8:94:f6:6c:69:c9 | --.---.11.117 | 25600/512 ppp153 | vados | 64:66:b3:44:b2:5b | 10.39.240.27 | 25600/8192 | pppoe | | active | 00:05:36

ppp154 | valeriya | e8:94:f6:ca:44:0f | --.---.11.118 | 10240/3072 | pppoe | | active | 00:05:36

ppp155 | nasta2 | 48:5b:39:cd:09:3e | --.---.11.121 | 25600/8192 | pppoe | | active | 00:05:33

 

редко, но проскакивает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите или ткните носом в документацию, как в accel-ppp можно настроить реверс-пас фильтрацию ?

А разве она должна настраиваться в accel-ppp?

 

/etc/sysctl.conf

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

 

Ну это-то я знаю, но это немного не то. Хочется более расширенной фильтрации. Наверное серые сети проще iptables'ами зафильтровать как надо, а rp можно как вы сказали на крайний случай. Я думал есть спец. фичи. Просто я давно давно делал accel-pptp и там я спера юзал rp-фильрацию, но потом переделал на примерно такое в ip-pre-up скрипте:

 

# anti-spoof filter

$TC filter add dev $IFNAME parent ffff: protocol ip prio 1 \

u32 match ip src $IPREMOTE/32 flowid 1:1 \

action police rate $[$DOWN*1000] \

burst $[$DOWN*256] drop

$TC filter add dev $IFNAME parent ffff: protocol ip prio 2 \

u32 match ip src 0.0.0.0/0 flowid 1:1 action drop

 

в комментариях написано, что rp-filter нарушает работу icmp при запрещающих правилах iptables, т.е. icmp сообщения не шлются. Это было давно, без комментов в скрипте я бы и не вспомнил. Сейчас может быть что-то изменилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такой нюанс вылез: при использовании -j TEE --gateway x.x.x.x --oif vlanXXX для зеркалирования - трафик на ipoe интерфейсах удваивается....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем доброго!

как заставить шейпер устанавливать ceil=rate*n ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрые день , коллеги. Подскажите , по vlan-mon . Вообщем на bras придет vlan с 3-ым тегом - bond1.2.3.1001-2001

"Достанет " ли его vlan-mon и поднимит ли vlan вида bond1.2.3.4 ?

vlan-mon=re:bond1.2.3.1001-2001
interface=re:bond1.2.3.[1-2][0-9][0-9][0-9]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Должен, ему пофигу. Только регулярки правильно напишите - как-то так:

vlan-mon=re:bond1\.2\.3,1001-2001
interface=re:bond1\.2\.3\.[1-2]\d{3}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roysbike

Так как ты написал - не будет, так как Abram подправил - будет. Дело даже не в правильности регулярки, а в

vlan-mon=re:bond1.2.3,(запятая,список вланов)1001-2001

Изменено пользователем kayot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kayot,

Если уж так - тогда без re:. Либо если уж писать re: - тогда точки таки экранировать.

vlan-mon=bond1.2.3,1001-2001

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Abram

Надо, но в данном случае не обязательно. Пусть себе любой символ подставляется)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Abram

Надо, но в данном случае не обязательно. Пусть себе любой символ подставляется)

Можно вообще всё точками забить. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, хочу уточнить у более опытных коллег принцип работы mode=L2/L3. Клиенты подключаются через L3 коммутатор к интерфейсу eth0.4002.

shared=1, ifcfg=1, start=up. Так вот проблема - стоит mode=L3, то клиент авторизируется, но маршрут на интерфес ipoeN не добавляется, соответственно связи нет, если mode=L2 все работает как положено. В документации описно, что L2 нужно использовать припрямом соединении. Собственно почему при L3 не добавляются маршруты?

 

И еще один вопрос, можно ли в шейпере исключить пакеты мажду клиентами (в схеме vlan-per-user, shared=0,ifcfg=1,mode=L2,start=dhcpv4)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос сообществу - на данный момент при использовании DHCP Relay можно отключить добавление option82 самим акселем ? то есть эти поля вообще не трогать чтобы на DHCP сервак пришла неизмененная опция82

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такой нюанс вылез: при использовании -j TEE --gateway x.x.x.x --oif vlanXXX для зеркалирования - трафик на ipoe интерфейсах удваивается....

 

Уточнение - задвоение трафика на ipoe интерфейсе (оригинал на dst mac ff:ff:ff:ff:ff:ff + копия на mac gateway хоста в TEE) просходит только если он поднят по start=up (неклассифицированному пакету), при start=dhcpv4 всё нормально, при том что все остальные настройки в accel для принимающих вланов идентичны.

 

В результате дублирования трафика шейпер на ipoe-интерфейсе естественно работает некорректно.

Реально ли это как-то поправить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Салют.

А у нас так:

 

[2015-03-22 19:39:48]: info: ipoe0: recv [DHCPv4 Discover xid=ef504ece chaddr=4c:5e:0c:c0:90:fc <Message-Type Discover> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP,138> <Host-Name MikroTik> <Client-ID 014c5e0cc090fc> <Rela

y-Agent {Agent-Circuit-ID _0f3b000801} {Agent-Remote-ID _00e00f01e4e4} {Option-9 _00000cf80e010c6765706f6e3534353d303032}>]

[2015-03-22 19:39:48]: info: ipoe0: send [DHCPv4 Offer xid=ef504ece yiaddr=10.126.0.2 chaddr=4c:5e:0c:c0:90:fc <Message-Type Offer> <Server-ID 10.126.0.1> <Lease-Time 600> <Router 10.126.0.1> <Subnet 255.255.255.0> <DNS 193.33.236.1,193

.33.237.20>]

[2015-03-22 19:39:49]: info: ipoe0: ipoe: session timed out

[2015-03-22 19:39:49]: debug: ipoe0: terminate

[2015-03-22 19:39:49]: info: ipoe0: ipoe: session finished

[2015-03-22 19:39:49]: info: ipoe0: send [DHCPv4 relay Release xid=ef504ece ciaddr=10.126.0.2 giaddr=193.33.237.21 chaddr=4c:5e:0c:c0:90:fc <Message-Type Release> <Relay-Agent {Agent-Circuit-ID _0f3b000801} {Agent-Remote-ID _00e00f01e4e

4} {Option-9 _00000cf80e010c6765706f6e3534353d303032}>]

 

 

Откуда успевает взяться session timed out?

 

commit 3e886b631e0684c689b8075778be505ae9ae7629

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Откуда успевает взяться session timed out?

Судя по всему, таймаут ожидания ответа на DHCP Offer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.