Перейти к содержимому
Калькуляторы

Господа, ни как не могу разобраться с выдачей белых адресов на интерфейс. (shared=1).

 

http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=1065425

 

Адреса у меня раздаёт DHCP от LANBilling, радиус от них же отвечает за авторизацию и аккаутинг.

 

 

idle-timeout=180session-timeout=86400calling-sid=ip#soft-terminate=0#interface=eth0

 

 

 

interface=bond0.777,mode=L2,start=up,ifcfg=1,shared=1,proxy-arp=2local-net=100.100.0.254/24local-net=1.1.0.1/24

 

 

Авторизация происходит, сессия поднимается:

 

3829: ipoe0: <POINTOPOINT,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 100   link/ether 00:a0:d1:e3:bb:39 peer ff:ff:ff:ff:ff:ff   inet 1.1.1.34 peer 1.1.1.98/32 scope global ipoe0   inet6 fe80::2a0:d1ff:fee3:bb39/64 scope link      valid_lft forever preferred_lft forever

 

 

На tcpdump вижу только

 

 

 18:54:30.258120 IP 1.1.1.98 > 8.8.4.4: ICMP echo request, id 4, seq 59275, length 40

 

 

 

 ip rdefault via 1.1.1.1 dev bond01.1.1.0/24 dev bond0  proto kernel  scope link  src 1.1.1.341.1.1.98 dev ipoe0  proto kernel  scope link  src 1.1.1.34100.100.0.0/15 dev bond0.777  proto kernel  scope link  src 100.100.0.254

 

 

Как с белыми адресами работать и зачем нужна опция nat = 1\0 ? Мне нужно самому натить в iptables серый->белый?(ip-unnumbered и vlan-per-user qinq пока что не нужно).

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, поправил шейпер на насах, убрал удаление при убирании интерфейса - сегодня один нас покрашился, но немного по-другому...

 

Что на этот раз???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то связанное с прибитием интерфейса (3шт сразу разных), не сохранил трейс :( Жду нового падения, потом запощу сюда.

 

К слову, словил еще окукливание демона по reload под нагрузкой (перестал реагировать на все внешние раздражители)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите есть ли в accel-ppp опция ограничения общего числа активных соединений, т.е. аналог set link max-children[nnnn]?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прописал sysctl

net.ipv4.conf.bond0.proxy_arp=1

трафик начал ходить за шлюз и во внешку, но в доках указано что:

 

для корректной работы proxy-arp необходимо отлючить ядерный proxy-arp на рабочих интерфейсах

 

Имеется в виду отключать на интерфейсах клиентов ?

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите есть ли в accel-ppp опция ограничения общего числа активных соединений, т.е. аналог set link max-children[nnnn]?
нет

 

Имеется в виду отключать на интерфейсах клиентов ?
имеется в виду отключать на интерфейсах указанных опциями interface

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошо, вроде немного разобрался. Еще вопрос по атрибуту L4-Redirect. В словарь accel прописал

ATTRIBUTE L4-Redirect 243 integer

 

В биллинге так же создал данный атрибут, НО там нужно указывать вендор. 243 я так понимаю это radius_type, а какой вендор у accel ?

 

Указал 0, но тогда прилетает такое:

 

[2015-08-19 12:36:35]:  warn: ipoe0: radius:packet: unknown attribute received (0,243)

 

И если использовать l4-redirect-ipset=blocked то сет нужно создавать вручную самому? И как обстоят дела после ребута сервера с формированием списков ipset и должников ?

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И если использовать l4-redirect-ipset=blocked то сет нужно создавать вручную самому?
да

 

И как обстоят дела после ребута сервера с формированием списков ipset и должников ?
после ребута естественно всё обнуляется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

xeb а все же почему могут отличаться MTU на разных концах тунеля? Не то чтобы напрягало, в иптейблс MSS уменьшаю - но просто некрасиво... http://accel-ppp.org/forum/viewtopic.php?f=18&t=514 топик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите каким образом можно исключить закольцовывание пакетов, при отсутствии целевого ppp интерфейса, между бордером и насом?

Изменено пользователем ViacheslavR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите каким образом можно исключить закольцовывание пакетов, при отсутствии целевого ppp интерфейса, между бордером и насом?

Настройте blackhole route на все сети, которые используете для ppp на NAS и бордере или только на бордере.

Лучше в blackhole отправить все ваши сети (белые) с максимальным префиксом, а также все сети класса "С":

dst-address=10.0.0.0/8 (distance=254)

dst-address=91.223.122.0/24 (distance=254)

dst-address=172.16.0.0/12 (distance=254)

dst-address=192.168.0.0/16 (distance=254)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[shaper]
attr=Filter-Id
#attr-up=
#attr-down=
#burst-factor=
#down-burst-factor=0.1
#up-burst-factor=0.3
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#moderate-quantum=1
#cburst=1534
#ifb=ifb0
up-limiter=police
down-limiter=tbf
leaf-qdisc=sfq perturb 10
#leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn]
#rate-multiplier=1
#fwmark=1
verbose=1

 

При использовании таких параметров очень сильно разниться и завышается upload на тестируемом клиенте.

 

tc qdisc show
qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
qdisc pfifo_fast 0: dev eth1 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
qdisc htb 1: dev ifb0 root refcnt 2 r2q 10 default 0 direct_packets_stat 2
qdisc tbf 1: dev ipoe0 root refcnt 2 rate 12288Kbit burst 150Kb lat 50.0ms
qdisc ingress ffff: dev ipoe0 parent ffff:fff1 ----------------

 

Пробовал играться с up-burst-factor, но что-то ничего не подобрал. Что еще можно покрутить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ingress qdisc покажите. ну и да, скорость с полисером лучше тестировать торрентом к примеру. одиночный поток с полисером не совсем дружит - скорость может как занижаться, так и завышаться.

 

 

либо, как вариант - вообще забить на исход, которого и так в 2-3 раза меньше входящего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ingress qdisc покажите. ну и да, скорость с полисером лучше тестировать торрентом к примеру. одиночный поток с полисером не совсем дружит - скорость может как занижаться, так и завышаться.

 

 

либо, как вариант - вообще забить на исход, которого и так в 2-3 раза меньше входящего...

 

 

tc -s qdisc
qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 2850159121 bytes 9958747 pkt (dropped 0, overlimits 0 requeues 36)
backlog 0b 0p requeues 36
qdisc pfifo_fast 0: dev eth1 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 4090935990 bytes 10864146 pkt (dropped 0, overlimits 0 requeues 266)
backlog 0b 0p requeues 266
qdisc htb 1: dev ifb0 root refcnt 2 r2q 10 default 0 direct_packets_stat 2
Sent 71326257 bytes 61040 pkt (dropped 185, overlimits 96280 requeues 0)
backlog 0b 0p requeues 0
qdisc tbf 1: dev ipoe0 root refcnt 2 rate 24576Kbit burst 300Kb lat 50.0ms
Sent 39913366 bytes 35749 pkt (dropped 0, overlimits 50469 requeues 0)
backlog 0b 0p requeues 0
qdisc ingress ffff: dev ipoe0 parent ffff:fff1 ----------------
Sent 35991895 bytes 35021 pkt (dropped 305, overlimits 0 requeues 0)
backlog 0b 0p requeues 0

 

tc -s qdisc show dev ipoe0
qdisc tbf 1: root refcnt 2 rate 24576Kbit burst 300Kb lat 50.0ms
Sent 39911649 bytes 35723 pkt (dropped 0, overlimits 50469 requeues 0)
backlog 0b 0p requeues 0
qdisc ingress ffff: parent ffff:fff1 ----------------
Sent 35989413 bytes 34980 pkt (dropped 305, overlimits 0 requeues 0)
backlog 0b 0p requeues 0

 

tc -s filter show dev ipoe0 parent ffff:
filter protocol ip pref 100 u32
filter protocol ip pref 100 u32 fh 800: ht divisor 1
filter protocol ip pref 100 u32 fh 800::1 order 1 key ht 800 bkt 0 flowid :1  (rule hit 34982 success 34982)
 match 00000000/00000000 at 12 (success 34982 )
       action order 1:  police 0x67 rate 24576Kbit burst 3000Kb mtu 2Kb action drop overhead 0b
ref 1 bind 1
       Action statistics:
       Sent 35989495 bytes 34982 pkt (dropped 305, overlimits 305 requeues 0)
       backlog 0b 0p requeues 0

 

 

 

Проверю торрентом еще до кучи. Может так же и iperf или netperf ?

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Burst 3 МБ - потому и спидтест показывает невесть что (ам всего на аплоад несколько МБ засылается). Попробуйте его урезать где-то до 1 МБ или 512к. Хотя все равно полисиер есть полисиер, красивый ровный график не получить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Burst 3 МБ - потому и спидтест показывает невесть что (ам всего на аплоад несколько МБ засылается). Попробуйте его урезать где-то до 1 МБ или 512к. Хотя все равно полисиер есть полисиер, красивый ровный график не получить.

 

Сделал так, вроде получше. Исключений по адресам в штатном функционале сейчас еще нету (ignore networks) ? Ну чтобы локалка и другие необходимые адреса не шейпилась и отдавалось 100\1000 мбит внутри сети юзеру... Тему прочитал, но везде ссылают на внешний скрипты post up\down...

 

[shaper]
attr=Filter-Id
#attr-up=
#attr-down=
#burst-factor=2
down-burst-factor=0.512
#up-burst-factor=1.0
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#moderate-quantum=1
#cburst=1534
ifb=ifb0
up-limiter=htb
down-limiter=tbf
#leaf-qdisc=sfq perturb 10
#leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn]
#rate-multiplier=1
#fwmark=1
verbose=1

Изменено пользователем hsvt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите как работает accel-ppp в режиме комбинирования.

 

Т.е на одном интерфейсе и пптп, и пппое. Интересует стабильность, и подводные камни. Все планируется использовать на Ubuntu. Около 700 клиентов онлайн.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чего ему не работать...

 

тогда такой вопрос, а почему на пптп мне приходится использовать правило

 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu иначе некоторые ресурсы не работают.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Некорректное значение MTU на разных концах туннеля (или вообще некорректное в конфиге). Я уже спрашивал по этому поводу автора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день всем!

 

Используем IPoE на accel-ppp, часть клиентов авторизируется по dhcp opt82, также есть клиенты, которые авторизуются по неклассифицированному пакету (start=up а конфиге accel). Заметили, что у клиентов, которые работают через модуль ядра ipoe есть периодические потери пакетов, у остальных клиентов, которые работают в выделенном влане таких проблем нет. Проверяли, заводя к себе на стенд отдельный влан с accel с авторизацией по opt82 и действительно наблюдали потери пакетов, количество клиентов в влане не имеет значения. Подскажите, пожалуйста, куда смотреть? Может кто-нибудь с таким сталкивался?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_longhorn_

версию акселя + версию ядра бы сообщили, и какой шейпер юзается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дошли таки руки серьезно покрутить IPoE (в последний раз крутил больше года назад на стенде) - что-то не сильно срастается при выдаче адресов через радиус.

Пытаюсь реализовать ip unnumbered. Повешал адрес gw на lo, добавил пул в ippools, включил ipoe модуль - и не работает:

Sep  6 00:30:25 test-26 accel-pppd: ipoe0:: send [RADIUS(1) Access-Request id=1 <User-Name "test-E18.1234"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.хх.хх> <NAS-Port 14> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:хх:хх:хх:00:da"> <Called-Station-Id "eth0.1234"> <User-Password >]
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:: recv [RADIUS(1) Access-Accept id=1 <Reply-Message ""> <Acct-Interim-Interval 90> <Session-Timeout 600> <User-Name "test-E18.1234"> <Framed-IP-Address 10.250.141.55> <Framed-IP-Netmask 0.0.0.0>]
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: test-E18.1234: authentication succeeded
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: can't determine router address
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: ipoe: session finished

секции конфига (выборочно):

[modules]
path=/usr/lib/accel-ppp
log_syslog
ipoe
auth_mschap_v1
auth_chap_md5
auth_pap
radius
ippool
pppd_compat

[ipoe]
verbose=1
username=lua:username
lease-time=600
max-lease-time=3600
shared=1
ifcfg=0
mode=L2
start=dhcpv4
ip-unnumbered=1
proxy-arp=1
lua-file=/etc/accel-ppp.lua
soft-terminate=0
check-mac-change=1
interface=re:eth0\.[1-9][0-9][0-9]+

[ip-pool]
gw-ip-address=10.250.128.1
attr=Framed-Pool
192.168.0.2-255
192.168.1.1-255,name=pool1
192.168.2.1-255,name=pool2
192.168.3.1-255,name=pool3
192.168.4.0/24
10.250.128.1/20

 

Без Framed-IP-Netmask - то же самое.

 

Вопрос: как заставить аксель выдавать адрес/шлюз из пула по голому Framed-IP-Address?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to NiTr0:

Для каждой сетки ipoe, куда попадает Framed-IP-Address, указать какой выдавать GW и NET:

[ipoe]
gw-ip-address=192.168.0.1/24
gw-ip-address=192.168.1.1/24
gw-ip-address=192.168.2.1/24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О, таки заработало, спасибо.

P.S. Неплохо было бы чтобы аксель мог слать дополнительные опции (типа static routes/ms static routes)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.