[hsvt]

Коллеги Добрый День.

 

Нахожусь перед дилеммой. Есть три наса, на которых крутится accel. Поставил значение acct-timeout=0.

 

Стали проходить двойные подключения. Поставил нулевой таймаут, чтобы аксель не тушил сессии(при недоступности радиуса). Может быть, просто поставить большой Таймаут?

 

Что скажите? Кто, как решает этот вопрос?

 

Интересует тот же вопрос. Радиус сервер ушёл на 3-4 минутную профилактику, в аццеле получил

[2016-04-15 17:34:00]: error: radius:packet:read: No route to host 

и отвал сессий. #acct-timeout=120 закоментирован

[kayot]

hsvt

А надо не комментировать, а задать =0.

[hsvt]

hsvt

А надо не комментировать, а задать =0.

 

Спасибо, я тут перечитал поиском все вопросы касательно acct-timeout, у кого то были какие то двойные подключения... Наверное лучше всё таки задать большее время таймаута.

Изменено 15 апреля, 2016 пользователем hsvt

[myth]

У меня 0 стоит. Проблем нет.

[hsvt]

Как правильно снатить пулом в связке с accel?

 

iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 10.30.0.0/15 -o bond0 -j SNAT --to-source x.x.x.35-x.x.x.40 --persistent

 

nas-identifier=pppoe
nas-ip-address=x.x.x.35
gw-ip-address=x.x.x.35

 

ip r | grep black
blackhole x.x.x.35

 

При такой конфигурации тестовый ноут внешку не видит, счётчик на правиле не растёт. Нужно вообще разделить nas-ip-address от gw ?

[NiTr0]

gw-ip-address должен быть из той же подсети что и ip клиента - иначе куда клиент пакеты-то слать будет?

не, винда может и поймет такое безобращие, но линукс - только с костылями, роутеры - через один.

[hsvt]

gw-ip-address должен быть из той же подсети что и ip клиента - иначе куда клиент пакеты-то слать будет?

не, винда может и поймет такое безобращие, но линукс - только с костылями, роутеры - через один.

 

В данном случае клиенту выдается серый ip через Framed-IP-Address, когда выдаю белый - у клиента работает, естественно без NAT уже.

 

С серым счётчики вроде забегали, но трафик идёт только в одну сторону от клиента...

 

Chain POSTROUTING (policy ACCEPT 30496 packets, 8016K bytes)
pkts bytes target     prot opt in     out     source               destination
 101  6654 SNAT       all  --  *      bond0   10.30.0.0/15        0.0.0.0/0            to:x.x.x.35-x.x.x.40 persistent

 

tcp      6 9 SYN_SENT src=10.30.0.108 dst=87.250.250.25 sport=62482 dport=443 [uNREPLIED] src=87.250.250.25 dst=x.x.x.37 sport=443 dport=62482 mark=0 use=1
tcp      6 9 SYN_SENT src=10.30.0.108 dst=87.250.250.25 sport=62481 dport=443 [uNREPLIED] src=87.250.250.25 dst=x.x.x.37 sport=443 dport=62481 mark=0 use=1
icmp     1 28 src=10.30.0.108 dst=8.8.8.8 type=8 code=0 id=5 [uNREPLIED] src=8.8.8.8 dst=x.x.x.37 type=0 code=0 id=5 mark=0 use=1

 

Клиент пытается снатиться через x.x.x.37.

 

gw-ip-address предлагаете ставить из 10.30.0.0/15 ? или ЧЯДНТ?

 

Когда ставлю gw-ip-address x.x.x.37 - работает. Может всю подсеть на lo повесить?

[NiTr0]

tcpdump запустите вначале... посмотреть, откуда пакеты пролазят, а откуда - нет

[n0b]

Система на CentOS 6.7

uname -r
2.6.32-573.22.1.el6.x86_64

find / -name pptp.ko
/lib/modules/2.6.32-573.22.1.el6.x86_64/extra/pptp.ko

lsmod | grep pptp
pptp                   16502  0 
pppox                   2696  2 pptp,pppoe
ppp_generic            25398  3 pptp,pppoe,pppox

 

Accel-ppp версии 1.10.2. Скомпилировалось и установилось всё нормально. При попытке подключения в логах: failed to create PPTP socket (Protocol not supported).

Поиском по теме воспользовался (depmod, modprobe pptp, rmmod сделал, ip_gre в модулях не светится). В чём ещё может быть причина?

[hsvt]

tcpdump запустите вначале... посмотреть, откуда пакеты пролазят, а откуда - нет

 

Да запускал много раз, в общем если вешать шлюза на lo, начинает всё бегать и тогда внешние адреса становятся зависимым от внутренних, пробовал менять внутренний и переподключаться - выдаёт из пула по разному, по идее как и должно быть + persistent 1:1.

 

Если убирать с lo - через таймаут у клиента отваливается.

[NiTr0]

разберитесь пока без ната, что куда ходит и куда не ходит...

[n0b]

Может кто сможет удалённо помочь за вознаграждение по поводу моего вопроса двумя постами выше? Пишите в ЛС.

Изменено 26 апреля, 2016 пользователем n0b

[Dimka88]

Accel-ppp версии 1.10.2. Скомпилировалось и установилось всё нормально. При попытке подключения в логах: failed to create PPTP socket (Protocol not supported).

Поиском по теме воспользовался (depmod, modprobe pptp, rmmod сделал, ip_gre в модулях не светится). В чём ещё может быть причина?

Может кто сможет удалённо помочь за вознаграждение по поводу моего вопроса двумя постами выше? Пишите в ЛС.

Думаю как всегда у centos проблема в SELinux. Попробуйте выключить его для начала. И dmesg покажите.

[hsvt]

разберитесь пока без ната, что куда ходит и куда не ходит...

 

offtop немого, а если у меня еще quagga (ibgp) используется, мне нужно дублировать настройки ip интерфейсов в /etc/network/interfaces и в zebra.conf ? Quaggа первый раз приделываю к софт роутеру.

 

auto lo
iface lo inet loopback
up ip addr add x.x.x.36/32 dev lo
down ip add del x.x.x.36/32 dev lo

up ip route add blackhole x.x.x.36/32
down ip route del blackhole x.x.x.36/32

 

interface lo
ip address x.x.x.36/32
!
ip route x.x.x.36/32 Null0 254

 

Я имею в виду чтобы всё это корректно отрабатывало при старте системы, а вланы уже через vlan-mon:re для PPPoE.

 

UPD.

Кстати, vlan-mon ни в какую не хочет работать для PPPoE на версии 7de0d2d00be552dede15dfd02c9e423dda7eb6f5.

 

vlan-mon=bond0,1000
vlan-timeout=60
vlan-name=%I.%N
interface=re:bond0\.(1000)

 

modinfo vlan-mon
filename:       /lib/modules/3.2.0-4-amd64/kernel/drivers/net/vlan_mon.ko
license:        GPL
depends:
vermagic:       3.2.0-4-amd64 SMP mod_unload modversions
parm:           autoclean:int

 

cat /proc/net/ptype
Type Device      Function
ALL           vlan_pt_recv+0x0/0x1b0 [vlan_mon]
ALL  bond0    tpacket_rcv+0x0/0x6d8
0800          ip_rcv+0x0/0x255
0011          llc_rcv+0x0/0x2a0
8863          pppoe_disc_rcv+0x0/0xdc [pppoe]
8864          pppoe_rcv+0x0/0x13f [pppoe]
0004          llc_rcv+0x0/0x2a0
0806          arp_rcv+0x0/0xd1
86dd          ipv6_rcv+0x0/0x2fc

 

[2016-04-25 17:34:20]:  info: terminate, sig = 15
[2016-04-25 17:34:21]:   msg: accel-ppp version 7de0d2d00be552dede15dfd02c9e423dda7eb6f5
[2016-04-25 17:35:32]:  info: terminate, sig = 15
[2016-04-25 17:35:33]:   msg: accel-ppp version 7de0d2d00be552dede15dfd02c9e423dda7eb6f5
[2016-04-25 17:38:46]:  info: terminate, sig = 15
[2016-04-25 17:38:47]:   msg: accel-ppp version 7de0d2d00be552dede15dfd02c9e423dda7eb6f5

 

В debug лог тоже самое.

 

verbose везде = 100

основной log verbose = 5

 

dmesg | grep vlan
[   10.669428] vlan-mon driver v1.11

 

Что странно, даже если выгрузить модуль - в логах не ругается вообще на warn: vlan_mon: kernel module is not loaded

Изменено 25 апреля, 2016 пользователем hsvt

[NiTr0]

а если у меня еще quagga (ibgp) используется, мне нужно дублировать настройки ip интерфейсов в /etc/network/interfaces и в zebra.conf ?

зачем? завели в зебре блэкхол, и все, она его в системную роут-таблицу перенесет сама.

 

хотя я бы советовал bird вместо квагги. как-то более предсказуемый и гибкий ИМХО. хотя и квагга вполне жизнеспособна.

[hsvt]

а если у меня еще quagga (ibgp) используется, мне нужно дублировать настройки ip интерфейсов в /etc/network/interfaces и в zebra.conf ?

зачем? завели в зебре блэкхол, и все, она его в системную роут-таблицу перенесет сама.

 

хотя я бы советовал bird вместо квагги. как-то более предсказуемый и гибкий ИМХО. хотя и квагга вполне жизнеспособна.

 

ага понял, спасибо, насчёт vlan-mon для ppppoe, завелось только после добавления в

 

[modules]
vlan-mon

Изменено 25 апреля, 2016 пользователем hsvt

[n0b]

Система на CentOS 6.7

Поставил Debian (3.16.0-4-amd64), завелось сразу же без шаманства. Ещё раз выражаю благодарность Димке88 за предложенную помощь и xeb'у за accel-ppp.

[kayot]

Жестоко. Вместо отключения или настройки selinux поменять дистрибутив..

[Dimka88]

Жестоко. Вместо отключения или настройки selinux поменять дистрибутив..

Там не только в SElinux. Где то в ядре зарыто. В данный момент на стенде развернул centos, пытаюсь разобраться.

ps:// прошло 1.5 часа компиляции на двух ядерном тазике =)

Изменено 26 апреля, 2016 пользователем Dimka88

[n0b]

kayot selinux был отключён с самого начала, машина не в продакшене, тестовая, и особой привязки к дистрибутиву как бы и не было.

[Dimka88]

Там не только в SElinux. Где то в ядре зарыто. В данный момент на стенде развернул centos, пытаюсь разобраться.

ps:// прошло 1.5 часа компиляции на двух ядерном тазике =)

 

Полез дальше в ядро centos и понял, что разбираться придется долго.

Есть ли действительно нуждающиеся в centos 6.4 с ядром 2.6.32 для accel-ppp?

[xeb]

к сведению, поддежка динозавров (ядер < 3.0) в accel-ppp не планируется с версии 1.11

[kayot]

А в чем вообще смысл держать стоковое ядро на софт-роутере? Или собирать чуть более свежее, но такое же окаменелое?

Впилите какой-нить 3.18 и забудьте о всех бедах, у меня часть машин вообще на centos 5.х живут, но с ядрами 3.18 :)

[telecom]

к сведению, поддежка динозавров (ядер < 3.0) в accel-ppp не планируется с версии 1.11

Давно пора уже было так сделать!

 

А в чем вообще смысл держать стоковое ядро на софт-роутере? Или собирать чуть более свежее, но такое же окаменелое?

Впилите какой-нить 3.18 и забудьте о всех бедах, у меня часть машин вообще на centos 5.х живут, но с ядрами 3.18 :)

+100500

[SyJet]

У кого accel-ppp для ipoe работает? Как нынче стабильность решения? И сколько держит сервер в нагрузке онлайн пользователей?