hsvt Опубликовано 15 апреля, 2016 · Жалоба Коллеги Добрый День. Нахожусь перед дилеммой. Есть три наса, на которых крутится accel. Поставил значение acct-timeout=0. Стали проходить двойные подключения. Поставил нулевой таймаут, чтобы аксель не тушил сессии(при недоступности радиуса). Может быть, просто поставить большой Таймаут? Что скажите? Кто, как решает этот вопрос? Интересует тот же вопрос. Радиус сервер ушёл на 3-4 минутную профилактику, в аццеле получил [2016-04-15 17:34:00]: error: radius:packet:read: No route to host и отвал сессий. #acct-timeout=120 закоментирован Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 15 апреля, 2016 · Жалоба hsvt А надо не комментировать, а задать =0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 15 апреля, 2016 (изменено) · Жалоба hsvt А надо не комментировать, а задать =0. Спасибо, я тут перечитал поиском все вопросы касательно acct-timeout, у кого то были какие то двойные подключения... Наверное лучше всё таки задать большее время таймаута. Изменено 15 апреля, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 19 апреля, 2016 · Жалоба У меня 0 стоит. Проблем нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 19 апреля, 2016 · Жалоба Как правильно снатить пулом в связке с accel? iptables -t nat -S -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A POSTROUTING -s 10.30.0.0/15 -o bond0 -j SNAT --to-source x.x.x.35-x.x.x.40 --persistent nas-identifier=pppoe nas-ip-address=x.x.x.35 gw-ip-address=x.x.x.35 ip r | grep black blackhole x.x.x.35 При такой конфигурации тестовый ноут внешку не видит, счётчик на правиле не растёт. Нужно вообще разделить nas-ip-address от gw ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 апреля, 2016 · Жалоба gw-ip-address должен быть из той же подсети что и ip клиента - иначе куда клиент пакеты-то слать будет? не, винда может и поймет такое безобращие, но линукс - только с костылями, роутеры - через один. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 20 апреля, 2016 · Жалоба gw-ip-address должен быть из той же подсети что и ip клиента - иначе куда клиент пакеты-то слать будет? не, винда может и поймет такое безобращие, но линукс - только с костылями, роутеры - через один. В данном случае клиенту выдается серый ip через Framed-IP-Address, когда выдаю белый - у клиента работает, естественно без NAT уже. С серым счётчики вроде забегали, но трафик идёт только в одну сторону от клиента... Chain POSTROUTING (policy ACCEPT 30496 packets, 8016K bytes) pkts bytes target prot opt in out source destination 101 6654 SNAT all -- * bond0 10.30.0.0/15 0.0.0.0/0 to:x.x.x.35-x.x.x.40 persistent tcp 6 9 SYN_SENT src=10.30.0.108 dst=87.250.250.25 sport=62482 dport=443 [uNREPLIED] src=87.250.250.25 dst=x.x.x.37 sport=443 dport=62482 mark=0 use=1 tcp 6 9 SYN_SENT src=10.30.0.108 dst=87.250.250.25 sport=62481 dport=443 [uNREPLIED] src=87.250.250.25 dst=x.x.x.37 sport=443 dport=62481 mark=0 use=1 icmp 1 28 src=10.30.0.108 dst=8.8.8.8 type=8 code=0 id=5 [uNREPLIED] src=8.8.8.8 dst=x.x.x.37 type=0 code=0 id=5 mark=0 use=1 Клиент пытается снатиться через x.x.x.37. gw-ip-address предлагаете ставить из 10.30.0.0/15 ? или ЧЯДНТ? Когда ставлю gw-ip-address x.x.x.37 - работает. Может всю подсеть на lo повесить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 20 апреля, 2016 · Жалоба tcpdump запустите вначале... посмотреть, откуда пакеты пролазят, а откуда - нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n0b Опубликовано 21 апреля, 2016 · Жалоба Система на CentOS 6.7 uname -r 2.6.32-573.22.1.el6.x86_64 find / -name pptp.ko /lib/modules/2.6.32-573.22.1.el6.x86_64/extra/pptp.ko lsmod | grep pptp pptp 16502 0 pppox 2696 2 pptp,pppoe ppp_generic 25398 3 pptp,pppoe,pppox Accel-ppp версии 1.10.2. Скомпилировалось и установилось всё нормально. При попытке подключения в логах: failed to create PPTP socket (Protocol not supported). Поиском по теме воспользовался (depmod, modprobe pptp, rmmod сделал, ip_gre в модулях не светится). В чём ещё может быть причина? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 21 апреля, 2016 · Жалоба tcpdump запустите вначале... посмотреть, откуда пакеты пролазят, а откуда - нет Да запускал много раз, в общем если вешать шлюза на lo, начинает всё бегать и тогда внешние адреса становятся зависимым от внутренних, пробовал менять внутренний и переподключаться - выдаёт из пула по разному, по идее как и должно быть + persistent 1:1. Если убирать с lo - через таймаут у клиента отваливается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 22 апреля, 2016 · Жалоба разберитесь пока без ната, что куда ходит и куда не ходит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n0b Опубликовано 25 апреля, 2016 (изменено) · Жалоба Может кто сможет удалённо помочь за вознаграждение по поводу моего вопроса двумя постами выше? Пишите в ЛС. Изменено 26 апреля, 2016 пользователем n0b Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 25 апреля, 2016 · Жалоба Accel-ppp версии 1.10.2. Скомпилировалось и установилось всё нормально. При попытке подключения в логах: failed to create PPTP socket (Protocol not supported). Поиском по теме воспользовался (depmod, modprobe pptp, rmmod сделал, ip_gre в модулях не светится). В чём ещё может быть причина? Может кто сможет удалённо помочь за вознаграждение по поводу моего вопроса двумя постами выше? Пишите в ЛС. Думаю как всегда у centos проблема в SELinux. Попробуйте выключить его для начала. И dmesg покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 апреля, 2016 (изменено) · Жалоба разберитесь пока без ната, что куда ходит и куда не ходит... offtop немого, а если у меня еще quagga (ibgp) используется, мне нужно дублировать настройки ip интерфейсов в /etc/network/interfaces и в zebra.conf ? Quaggа первый раз приделываю к софт роутеру. auto lo iface lo inet loopback up ip addr add x.x.x.36/32 dev lo down ip add del x.x.x.36/32 dev lo up ip route add blackhole x.x.x.36/32 down ip route del blackhole x.x.x.36/32 interface lo ip address x.x.x.36/32 ! ip route x.x.x.36/32 Null0 254 Я имею в виду чтобы всё это корректно отрабатывало при старте системы, а вланы уже через vlan-mon:re для PPPoE. UPD. Кстати, vlan-mon ни в какую не хочет работать для PPPoE на версии 7de0d2d00be552dede15dfd02c9e423dda7eb6f5. vlan-mon=bond0,1000 vlan-timeout=60 vlan-name=%I.%N interface=re:bond0\.(1000) modinfo vlan-mon filename: /lib/modules/3.2.0-4-amd64/kernel/drivers/net/vlan_mon.ko license: GPL depends: vermagic: 3.2.0-4-amd64 SMP mod_unload modversions parm: autoclean:int cat /proc/net/ptype Type Device Function ALL vlan_pt_recv+0x0/0x1b0 [vlan_mon] ALL bond0 tpacket_rcv+0x0/0x6d8 0800 ip_rcv+0x0/0x255 0011 llc_rcv+0x0/0x2a0 8863 pppoe_disc_rcv+0x0/0xdc [pppoe] 8864 pppoe_rcv+0x0/0x13f [pppoe] 0004 llc_rcv+0x0/0x2a0 0806 arp_rcv+0x0/0xd1 86dd ipv6_rcv+0x0/0x2fc [2016-04-25 17:34:20]: info: terminate, sig = 15 [2016-04-25 17:34:21]: msg: accel-ppp version 7de0d2d00be552dede15dfd02c9e423dda7eb6f5 [2016-04-25 17:35:32]: info: terminate, sig = 15 [2016-04-25 17:35:33]: msg: accel-ppp version 7de0d2d00be552dede15dfd02c9e423dda7eb6f5 [2016-04-25 17:38:46]: info: terminate, sig = 15 [2016-04-25 17:38:47]: msg: accel-ppp version 7de0d2d00be552dede15dfd02c9e423dda7eb6f5 В debug лог тоже самое. verbose везде = 100 основной log verbose = 5 dmesg | grep vlan [ 10.669428] vlan-mon driver v1.11 Что странно, даже если выгрузить модуль - в логах не ругается вообще на warn: vlan_mon: kernel module is not loaded Изменено 25 апреля, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 25 апреля, 2016 · Жалоба а если у меня еще quagga (ibgp) используется, мне нужно дублировать настройки ip интерфейсов в /etc/network/interfaces и в zebra.conf ? зачем? завели в зебре блэкхол, и все, она его в системную роут-таблицу перенесет сама. хотя я бы советовал bird вместо квагги. как-то более предсказуемый и гибкий ИМХО. хотя и квагга вполне жизнеспособна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 25 апреля, 2016 (изменено) · Жалоба а если у меня еще quagga (ibgp) используется, мне нужно дублировать настройки ip интерфейсов в /etc/network/interfaces и в zebra.conf ? зачем? завели в зебре блэкхол, и все, она его в системную роут-таблицу перенесет сама. хотя я бы советовал bird вместо квагги. как-то более предсказуемый и гибкий ИМХО. хотя и квагга вполне жизнеспособна. ага понял, спасибо, насчёт vlan-mon для ppppoe, завелось только после добавления в [modules] vlan-mon Изменено 25 апреля, 2016 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n0b Опубликовано 26 апреля, 2016 · Жалоба Система на CentOS 6.7 Поставил Debian (3.16.0-4-amd64), завелось сразу же без шаманства. Ещё раз выражаю благодарность Димке88 за предложенную помощь и xeb'у за accel-ppp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 26 апреля, 2016 · Жалоба Жестоко. Вместо отключения или настройки selinux поменять дистрибутив.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 26 апреля, 2016 (изменено) · Жалоба Жестоко. Вместо отключения или настройки selinux поменять дистрибутив.. Там не только в SElinux. Где то в ядре зарыто. В данный момент на стенде развернул centos, пытаюсь разобраться. ps:// прошло 1.5 часа компиляции на двух ядерном тазике =) Изменено 26 апреля, 2016 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n0b Опубликовано 26 апреля, 2016 · Жалоба kayot selinux был отключён с самого начала, машина не в продакшене, тестовая, и особой привязки к дистрибутиву как бы и не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 27 апреля, 2016 · Жалоба Там не только в SElinux. Где то в ядре зарыто. В данный момент на стенде развернул centos, пытаюсь разобраться. ps:// прошло 1.5 часа компиляции на двух ядерном тазике =) Полез дальше в ядро centos и понял, что разбираться придется долго. Есть ли действительно нуждающиеся в centos 6.4 с ядром 2.6.32 для accel-ppp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 27 апреля, 2016 · Жалоба к сведению, поддежка динозавров (ядер < 3.0) в accel-ppp не планируется с версии 1.11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 27 апреля, 2016 · Жалоба А в чем вообще смысл держать стоковое ядро на софт-роутере? Или собирать чуть более свежее, но такое же окаменелое? Впилите какой-нить 3.18 и забудьте о всех бедах, у меня часть машин вообще на centos 5.х живут, но с ядрами 3.18 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telecom Опубликовано 28 апреля, 2016 · Жалоба к сведению, поддежка динозавров (ядер < 3.0) в accel-ppp не планируется с версии 1.11 Давно пора уже было так сделать! А в чем вообще смысл держать стоковое ядро на софт-роутере? Или собирать чуть более свежее, но такое же окаменелое? Впилите какой-нить 3.18 и забудьте о всех бедах, у меня часть машин вообще на centos 5.х живут, но с ядрами 3.18 :) +100500 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 28 апреля, 2016 · Жалоба У кого accel-ppp для ipoe работает? Как нынче стабильность решения? И сколько держит сервер в нагрузке онлайн пользователей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...