hsvt Опубликовано 17 августа, 2015 (изменено) · Жалоба Господа, ни как не могу разобраться с выдачей белых адресов на интерфейс. (shared=1). http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=1065425 Адреса у меня раздаёт DHCP от LANBilling, радиус от них же отвечает за авторизацию и аккаутинг. idle-timeout=180session-timeout=86400calling-sid=ip#soft-terminate=0#interface=eth0 interface=bond0.777,mode=L2,start=up,ifcfg=1,shared=1,proxy-arp=2local-net=100.100.0.254/24local-net=1.1.0.1/24 Авторизация происходит, сессия поднимается: 3829: ipoe0: <POINTOPOINT,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 100 link/ether 00:a0:d1:e3:bb:39 peer ff:ff:ff:ff:ff:ff inet 1.1.1.34 peer 1.1.1.98/32 scope global ipoe0 inet6 fe80::2a0:d1ff:fee3:bb39/64 scope link valid_lft forever preferred_lft forever На tcpdump вижу только 18:54:30.258120 IP 1.1.1.98 > 8.8.4.4: ICMP echo request, id 4, seq 59275, length 40 ip rdefault via 1.1.1.1 dev bond01.1.1.0/24 dev bond0 proto kernel scope link src 1.1.1.341.1.1.98 dev ipoe0 proto kernel scope link src 1.1.1.34100.100.0.0/15 dev bond0.777 proto kernel scope link src 100.100.0.254 Как с белыми адресами работать и зачем нужна опция nat = 1\0 ? Мне нужно самому натить в iptables серый->белый?(ip-unnumbered и vlan-per-user qinq пока что не нужно). Изменено 17 августа, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telecom Опубликовано 17 августа, 2015 · Жалоба Хм, поправил шейпер на насах, убрал удаление при убирании интерфейса - сегодня один нас покрашился, но немного по-другому... Что на этот раз??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 августа, 2015 · Жалоба Что-то связанное с прибитием интерфейса (3шт сразу разных), не сохранил трейс :( Жду нового падения, потом запощу сюда. К слову, словил еще окукливание демона по reload под нагрузкой (перестал реагировать на все внешние раздражители)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ViacheslavR Опубликовано 18 августа, 2015 · Жалоба Подскажите есть ли в accel-ppp опция ограничения общего числа активных соединений, т.е. аналог set link max-children[nnnn]? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 18 августа, 2015 (изменено) · Жалоба Прописал sysctl net.ipv4.conf.bond0.proxy_arp=1 трафик начал ходить за шлюз и во внешку, но в доках указано что: для корректной работы proxy-arp необходимо отлючить ядерный proxy-arp на рабочих интерфейсах Имеется в виду отключать на интерфейсах клиентов ? Изменено 18 августа, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 18 августа, 2015 · Жалоба Подскажите есть ли в accel-ppp опция ограничения общего числа активных соединений, т.е. аналог set link max-children[nnnn]? нет Имеется в виду отключать на интерфейсах клиентов ? имеется в виду отключать на интерфейсах указанных опциями interface Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 19 августа, 2015 (изменено) · Жалоба Хорошо, вроде немного разобрался. Еще вопрос по атрибуту L4-Redirect. В словарь accel прописал ATTRIBUTE L4-Redirect 243 integer В биллинге так же создал данный атрибут, НО там нужно указывать вендор. 243 я так понимаю это radius_type, а какой вендор у accel ? Указал 0, но тогда прилетает такое: [2015-08-19 12:36:35]: warn: ipoe0: radius:packet: unknown attribute received (0,243) И если использовать l4-redirect-ipset=blocked то сет нужно создавать вручную самому? И как обстоят дела после ребута сервера с формированием списков ipset и должников ? Изменено 19 августа, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 20 августа, 2015 · Жалоба И если использовать l4-redirect-ipset=blocked то сет нужно создавать вручную самому? да И как обстоят дела после ребута сервера с формированием списков ipset и должников ? после ребута естественно всё обнуляется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 20 августа, 2015 · Жалоба xeb а все же почему могут отличаться MTU на разных концах тунеля? Не то чтобы напрягало, в иптейблс MSS уменьшаю - но просто некрасиво... http://accel-ppp.org/forum/viewtopic.php?f=18&t=514 топик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ViacheslavR Опубликовано 24 августа, 2015 (изменено) · Жалоба подскажите каким образом можно исключить закольцовывание пакетов, при отсутствии целевого ppp интерфейса, между бордером и насом? Изменено 24 августа, 2015 пользователем ViacheslavR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 24 августа, 2015 · Жалоба подскажите каким образом можно исключить закольцовывание пакетов, при отсутствии целевого ppp интерфейса, между бордером и насом? Настройте blackhole route на все сети, которые используете для ppp на NAS и бордере или только на бордере.Лучше в blackhole отправить все ваши сети (белые) с максимальным префиксом, а также все сети класса "С": dst-address=10.0.0.0/8 (distance=254) dst-address=91.223.122.0/24 (distance=254) dst-address=172.16.0.0/12 (distance=254) dst-address=192.168.0.0/16 (distance=254) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 августа, 2015 · Жалоба [shaper] attr=Filter-Id #attr-up= #attr-down= #burst-factor= #down-burst-factor=0.1 #up-burst-factor=0.3 #latency=50 #mpu=0 #mtu=0 #r2q=10 #quantum=1500 #moderate-quantum=1 #cburst=1534 #ifb=ifb0 up-limiter=police down-limiter=tbf leaf-qdisc=sfq perturb 10 #leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn] #rate-multiplier=1 #fwmark=1 verbose=1 При использовании таких параметров очень сильно разниться и завышается upload на тестируемом клиенте. tc qdisc show qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc pfifo_fast 0: dev eth1 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 qdisc htb 1: dev ifb0 root refcnt 2 r2q 10 default 0 direct_packets_stat 2 qdisc tbf 1: dev ipoe0 root refcnt 2 rate 12288Kbit burst 150Kb lat 50.0ms qdisc ingress ffff: dev ipoe0 parent ffff:fff1 ---------------- Пробовал играться с up-burst-factor, но что-то ничего не подобрал. Что еще можно покрутить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 25 августа, 2015 · Жалоба ingress qdisc покажите. ну и да, скорость с полисером лучше тестировать торрентом к примеру. одиночный поток с полисером не совсем дружит - скорость может как занижаться, так и завышаться. либо, как вариант - вообще забить на исход, которого и так в 2-3 раза меньше входящего... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 августа, 2015 (изменено) · Жалоба ingress qdisc покажите. ну и да, скорость с полисером лучше тестировать торрентом к примеру. одиночный поток с полисером не совсем дружит - скорость может как занижаться, так и завышаться. либо, как вариант - вообще забить на исход, которого и так в 2-3 раза меньше входящего... tc -s qdisc qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 Sent 2850159121 bytes 9958747 pkt (dropped 0, overlimits 0 requeues 36) backlog 0b 0p requeues 36 qdisc pfifo_fast 0: dev eth1 root refcnt 2 bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1 Sent 4090935990 bytes 10864146 pkt (dropped 0, overlimits 0 requeues 266) backlog 0b 0p requeues 266 qdisc htb 1: dev ifb0 root refcnt 2 r2q 10 default 0 direct_packets_stat 2 Sent 71326257 bytes 61040 pkt (dropped 185, overlimits 96280 requeues 0) backlog 0b 0p requeues 0 qdisc tbf 1: dev ipoe0 root refcnt 2 rate 24576Kbit burst 300Kb lat 50.0ms Sent 39913366 bytes 35749 pkt (dropped 0, overlimits 50469 requeues 0) backlog 0b 0p requeues 0 qdisc ingress ffff: dev ipoe0 parent ffff:fff1 ---------------- Sent 35991895 bytes 35021 pkt (dropped 305, overlimits 0 requeues 0) backlog 0b 0p requeues 0 tc -s qdisc show dev ipoe0 qdisc tbf 1: root refcnt 2 rate 24576Kbit burst 300Kb lat 50.0ms Sent 39911649 bytes 35723 pkt (dropped 0, overlimits 50469 requeues 0) backlog 0b 0p requeues 0 qdisc ingress ffff: parent ffff:fff1 ---------------- Sent 35989413 bytes 34980 pkt (dropped 305, overlimits 0 requeues 0) backlog 0b 0p requeues 0 tc -s filter show dev ipoe0 parent ffff: filter protocol ip pref 100 u32 filter protocol ip pref 100 u32 fh 800: ht divisor 1 filter protocol ip pref 100 u32 fh 800::1 order 1 key ht 800 bkt 0 flowid :1 (rule hit 34982 success 34982) match 00000000/00000000 at 12 (success 34982 ) action order 1: police 0x67 rate 24576Kbit burst 3000Kb mtu 2Kb action drop overhead 0b ref 1 bind 1 Action statistics: Sent 35989495 bytes 34982 pkt (dropped 305, overlimits 305 requeues 0) backlog 0b 0p requeues 0 Проверю торрентом еще до кучи. Может так же и iperf или netperf ? Изменено 25 августа, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 25 августа, 2015 · Жалоба Burst 3 МБ - потому и спидтест показывает невесть что (ам всего на аплоад несколько МБ засылается). Попробуйте его урезать где-то до 1 МБ или 512к. Хотя все равно полисиер есть полисиер, красивый ровный график не получить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 27 августа, 2015 (изменено) · Жалоба Burst 3 МБ - потому и спидтест показывает невесть что (ам всего на аплоад несколько МБ засылается). Попробуйте его урезать где-то до 1 МБ или 512к. Хотя все равно полисиер есть полисиер, красивый ровный график не получить. Сделал так, вроде получше. Исключений по адресам в штатном функционале сейчас еще нету (ignore networks) ? Ну чтобы локалка и другие необходимые адреса не шейпилась и отдавалось 100\1000 мбит внутри сети юзеру... Тему прочитал, но везде ссылают на внешний скрипты post up\down... [shaper] attr=Filter-Id #attr-up= #attr-down= #burst-factor=2 down-burst-factor=0.512 #up-burst-factor=1.0 #latency=50 #mpu=0 #mtu=0 #r2q=10 #quantum=1500 #moderate-quantum=1 #cburst=1534 ifb=ifb0 up-limiter=htb down-limiter=tbf #leaf-qdisc=sfq perturb 10 #leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn] #rate-multiplier=1 #fwmark=1 verbose=1 Изменено 27 августа, 2015 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 29 августа, 2015 · Жалоба Коллеги, подскажите как работает accel-ppp в режиме комбинирования. Т.е на одном интерфейсе и пптп, и пппое. Интересует стабильность, и подводные камни. Все планируется использовать на Ubuntu. Около 700 клиентов онлайн. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 29 августа, 2015 · Жалоба А чего ему не работать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 1 сентября, 2015 · Жалоба А чего ему не работать... тогда такой вопрос, а почему на пптп мне приходится использовать правило iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu иначе некоторые ресурсы не работают..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 сентября, 2015 · Жалоба Некорректное значение MTU на разных концах туннеля (или вообще некорректное в конфиге). Я уже спрашивал по этому поводу автора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_longhorn_ Опубликовано 3 сентября, 2015 · Жалоба Добрый день всем! Используем IPoE на accel-ppp, часть клиентов авторизируется по dhcp opt82, также есть клиенты, которые авторизуются по неклассифицированному пакету (start=up а конфиге accel). Заметили, что у клиентов, которые работают через модуль ядра ipoe есть периодические потери пакетов, у остальных клиентов, которые работают в выделенном влане таких проблем нет. Проверяли, заводя к себе на стенд отдельный влан с accel с авторизацией по opt82 и действительно наблюдали потери пакетов, количество клиентов в влане не имеет значения. Подскажите, пожалуйста, куда смотреть? Может кто-нибудь с таким сталкивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 3 сентября, 2015 · Жалоба _longhorn_ версию акселя + версию ядра бы сообщили, и какой шейпер юзается... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 сентября, 2015 · Жалоба Дошли таки руки серьезно покрутить IPoE (в последний раз крутил больше года назад на стенде) - что-то не сильно срастается при выдаче адресов через радиус. Пытаюсь реализовать ip unnumbered. Повешал адрес gw на lo, добавил пул в ippools, включил ipoe модуль - и не работает: Sep 6 00:30:25 test-26 accel-pppd: ipoe0:: send [RADIUS(1) Access-Request id=1 <User-Name "test-E18.1234"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.хх.хх> <NAS-Port 14> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:хх:хх:хх:00:da"> <Called-Station-Id "eth0.1234"> <User-Password >] Sep 6 00:30:25 test-26 accel-pppd: ipoe0:: recv [RADIUS(1) Access-Accept id=1 <Reply-Message ""> <Acct-Interim-Interval 90> <Session-Timeout 600> <User-Name "test-E18.1234"> <Framed-IP-Address 10.250.141.55> <Framed-IP-Netmask 0.0.0.0>] Sep 6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: test-E18.1234: authentication succeeded Sep 6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: can't determine router address Sep 6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: ipoe: session finished секции конфига (выборочно): [modules] path=/usr/lib/accel-ppp log_syslog ipoe auth_mschap_v1 auth_chap_md5 auth_pap radius ippool pppd_compat [ipoe] verbose=1 username=lua:username lease-time=600 max-lease-time=3600 shared=1 ifcfg=0 mode=L2 start=dhcpv4 ip-unnumbered=1 proxy-arp=1 lua-file=/etc/accel-ppp.lua soft-terminate=0 check-mac-change=1 interface=re:eth0\.[1-9][0-9][0-9]+ [ip-pool] gw-ip-address=10.250.128.1 attr=Framed-Pool 192.168.0.2-255 192.168.1.1-255,name=pool1 192.168.2.1-255,name=pool2 192.168.3.1-255,name=pool3 192.168.4.0/24 10.250.128.1/20 Без Framed-IP-Netmask - то же самое. Вопрос: как заставить аксель выдавать адрес/шлюз из пула по голому Framed-IP-Address? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 6 сентября, 2015 · Жалоба to NiTr0: Для каждой сетки ipoe, куда попадает Framed-IP-Address, указать какой выдавать GW и NET: [ipoe] gw-ip-address=192.168.0.1/24 gw-ip-address=192.168.1.1/24 gw-ip-address=192.168.2.1/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 6 сентября, 2015 · Жалоба О, таки заработало, спасибо. P.S. Неплохо было бы чтобы аксель мог слать дополнительные опции (типа static routes/ms static routes)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...