nuclearcat Опубликовано 25 сентября, 2016 · Жалоба 2kayot 2nuclearcat ок перепишу правила, а что то еще прописываете ? как боритесь с syn_flood и udp_flood от абонента, может быть unicast_storm на порту коммутатора ? или conntrack отключен на accel-ppp ? У меня стоит собственный кастомный софт для этого(завязан на биллинг и рубит зараженные аккаунты) + netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 25 сентября, 2016 · Жалоба -A FORWARD -p tcp -m multiport --destination-port 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 -j DROP Выстрел себе в ногу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 26 сентября, 2016 · Жалоба myth С какого бодуна? В рабочем правиле конечно же есть и направление, и интерфейсы на которых оно применимо, упростил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 26 сентября, 2016 · Жалоба kayot, я не это имел в виду. Зачем мне как абоненту белый IP, если у меня все равно ничего не работает? Ни ssh, ни rdp, а трах с нестандартными портами - счастье еще то. Имитация белого ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 26 сентября, 2016 (изменено) · Жалоба Зачем мне как абоненту белый IP, если у меня все равно ничего не работает? Уникальность соурс адреса в просторах глобальной сети. Вот забанит вконтактик или еще кто то крупный ваш реальный ip с NAT на 2к или 10к людей - взвоете. kayot написал, что за определенную сумму денег снимет ограничения, тем самым избавил своих клиентов от беды со спамом и взломом, пусть даже не на 100%. По логике, все эти порты среднестатистическим пользователям, которых большинство и даром не нужны. Изменено 26 сентября, 2016 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 26 сентября, 2016 · Жалоба myth 99% не нужна возможность поднимать сервера дома, а 1% требующий rdp и ssh открытыми в мир - доплатят 1$ к абонке и тоже будут счастливы. Зато роутеры у тех самых 99% не будут перешиваться удаленно злыми китайскими хакерами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 26 сентября, 2016 · Жалоба Пусть хоть перешьются. Это проблема абонента. Вот DNS запросы NATить к себе - это да, полезно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 26 сентября, 2016 · Жалоба 99% не нужна возможность поднимать сервера дома, а 1% требующий rdp и ssh открытыми в мир - доплатят 1$ к абонке До первого юридически грамотного клиента... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 26 сентября, 2016 (изменено) · Жалоба Пусть хоть перешьются. Это проблема абонента. Вот DNS запросы NATить к себе - это да, полезно. А почему бы и не вытереть рот своему клиенту после еды за дополнительную копеечку. До первого юридически грамотного клиента... Вы ошибаетесь, если полагаете что это не решено на уровне договора! В прочем это все оффтоп и к обсуждаемому проекту относится косвенно. Изменено 26 сентября, 2016 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yazero Опубликовано 26 сентября, 2016 (изменено) · Жалоба Вопрос связан с реальными правилами ,а не "ну еще чуток допилить" или " все заблокировать а открывать по требованию". Вопрос больше о реальной системе ddos (aka fastnetmon , suricata, synproxy,syncookied ) или выключенным conntrack ( -t raw prerouting -j NOTRACK) или правилам аналогичным на cg-nat устройствах от брендов junos и .т.п. работающей у вас . У меня сейчас есть ограничение для tcp iptables connlimit above 32 до 3000 соединений,но что делать с udp ???? (полный текст правила был раньше) Я рассматривал вариант ,выводить conntrack -L -pudp -s(или -d)ipадрес | wc -l и считать кол. и делать alert на email если больше 3000 с болем [uNREPLIED] и без ?!!! Изменено 26 сентября, 2016 пользователем yazero Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 26 сентября, 2016 · Жалоба connlimit в некоторых случаях у меня жутко жрал проц, к сожалению давно не проверял его Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 26 сентября, 2016 · Жалоба У меня сейчас есть ограничение для tcp iptables connlimit above 32 до 3000 соединений,но что делать с udp ???? а зачем вы с ним что-то хотите делать?... вас это сильно беспокоит?... хотя если сильно хочется - можно попробовать что-то типа iptables -A FORWARD -m state --state NEW -m limit --limit 10/s -j ACCEPT - т.е. 10 новых коннектов в секунду максимум. или в PREROUTING это правильнее... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yazero Опубликовано 27 сентября, 2016 · Жалоба то есть на bras у вас ни каких ограничений нет ? - connlimit не грузит проц на трафике 800Мб и 1350 клиентах - limit X/s, не вариант под него и хорошие соединения попадают, тока если если добавить recent может быть можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 27 сентября, 2016 · Жалоба зарезаны только порты самбы/рпц, и подрезан днс. все, больше никаких ограничений, все прекрасно работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 5 октября, 2016 · Жалоба hsvt У меня всем белые адреса выдаются, соотвественно в сторону абонента все потенциально опасное блокируется. За небольшую сумму эти блокировки отключаются, обычно юрикам нужно. мы не блокируем воообще ничего, у абонента просто труба в интернет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 6 октября, 2016 · Жалоба Всем привет. Подсобите советом. Как организовать смену скорости на лету? без разрыва сессий? Сейчас шейпер работает через внешний скрипт в разделе pppd-compat биллинг отдает новые параметры для сессии, accel в рад.аттр пишет новые параметры но ничего не меняется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 6 октября, 2016 (изменено) · Жалоба скрипт /etc/ppp/ip-change отвечает за CoA Что-то типа этого #!/bin/sh if [ -f /var/run/radattr.$1 ] then DOWNSPEED=`/usr/bin/awk '/PPPD-Downstream-Speed-Limit/ {print $2}' /var/run/radattr.$1` UPSPEED=`/usr/bin/awk '/PPPD-Upstream-Speed-Limit/ {print $2}' /var/run/radattr.$1` FILTERS=`/usr/bin/awk '/Filter-Id/ {print $2}' /var/run/radattr.$1` IP=`/usr/bin/awk '/Framed/ {print $2}' /var/run/radattr.$1` #echo $DOWNSPEED #echo $UPSPEED #echo $FILTERS fi if [ "$UPSPEED" -ne "0" ] ; then ##### speed server->client if [ "$UPSPEED" -ge "6000" ] ; then /sbin/tc class replace dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 51k cburst 2k /sbin/tc class replace dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit burst 51k cburst 2k prio 1 /sbin/tc class replace dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit burst 51k cburst 2k prio 2 #######Мелкие тарифы до 6000Kbit/sec######################################### else /sbin/tc class replace dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 10k cburst 1k /sbin/tc class replace dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit ceil ${UPSPEED}kbit burst 10k cburst 1k prio 1 /sbin/tc class replace dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit ceil ${UPSPEED}kbit burst 10k cburst 1k prio 2 fi fi ##### speed client->server if [ "$DOWNSPEED" != "0" ] ; then #/sbin/tc qdisc add dev $1 handle ffff: ingress /sbin/tc filter replace dev $1 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${DOWNSPEED}kbit burst 1024kb drop flowid :1 fi Изменено 6 октября, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alhlmlk Опубликовано 9 октября, 2016 · Жалоба Уважаемый Хеб. Прошу помощи, так как мучаюсь с этой проблемой давно. Абоненты работают по PPPoE + FreeRadius Абоненты авторизируются нормально, но по истечению определенного времени, сессия абонента завершается. По какой причине мне не понятно. Вот что выдает лог accel-ppp [2016-10-09 09:44:14]: info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4bf"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>] [2016-10-09 09:44:14]: info: ppp123: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:44:32]: info: ppp74: send [RADIUS(2) Accounting-Request id=2b <User-Name "uspl8c36"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "b4:b5:2f:7c:80:64"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b3eb"> <Acct-Session-Time 12721> <Acct-Input-Octets 39126504> <Acct-Output-Octets 475842483> <Acct-Input-Packets 486455> <Acct-Output-Packets 420325> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.10.218> <Acct-Terminate-Cause User-Request>] [2016-10-09 09:44:33]: info: ppp74: disconnected [2016-10-09 09:44:33]: info: recv [RADIUS(2) Accounting-Response id=2b] [2016-10-09 09:46:00]: info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4bf"> <Acct-Session-Time 105> <Acct-Input-Octets 10663> <Acct-Output-Octets 3836> <Acct-Input-Packets 154> <Acct-Output-Packets 36> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>] [2016-10-09 09:46:00]: info: ppp123: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:46:03]: info: ppp123: disconnected [2016-10-09 09:46:14]: info: ppp74: connect: ppp74 <--> pppoe(e8:de:27:d7:0d:17) [2016-10-09 09:46:17]: info: ppp74: send [RADIUS(1) Access-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >] [2016-10-09 09:46:17]: info: ppp74: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.4.102> <Filter-Id "session Framed-IP-Address rate set in 2000 5500 100001 out 1000 5500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>] [2016-10-09 09:46:17]: info: ppp74: ptu7bc72: authentication succeeded [2016-10-09 09:46:17]: info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c0"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>] [2016-10-09 09:46:17]: info: ppp74: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:47:59]: info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c0"> <Acct-Session-Time 105> <Acct-Input-Octets 6530> <Acct-Output-Octets 2302> <Acct-Input-Packets 92> <Acct-Output-Packets 28> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>] [2016-10-09 09:47:59]: info: ppp74: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:48:03]: info: ppp74: disconnected [2016-10-09 09:48:14]: info: ppp74: connect: ppp74 <--> pppoe(e8:de:27:d7:0d:17) [2016-10-09 09:48:14]: info: ppp74: send [RADIUS(1) Access-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >] [2016-10-09 09:48:14]: info: ppp74: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.4.102> <Filter-Id "session Framed-IP-Address rate set in 2000 5500 100001 out 1000 5500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>] [2016-10-09 09:48:14]: info: ppp74: ptu7bc72: authentication succeeded [2016-10-09 09:48:14]: info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c1"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>] [2016-10-09 09:48:14]: info: ppp74: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:48:19]: info: ppp123: connect: ppp123 <--> pppoe(1c:6f:65:5c:84:7e) [2016-10-09 09:48:19]: info: ppp123: send [RADIUS(1) Access-Request id=1 <User-Name "mochyub5c3"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "1c:6f:65:5c:84:7e"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >] [2016-10-09 09:48:19]: info: ppp123: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.10.231> <Filter-Id "session Framed-IP-Address rate set in 3500 8500 100001 out 2000 8500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>] [2016-10-09 09:48:19]: info: ppp123: mochyub5c3: authentication succeeded [2016-10-09 09:48:19]: warn: ppp123: IPV6CP: discarding packet [2016-10-09 09:48:19]: warn: ppp123: CCP: discarding packet [2016-10-09 09:48:19]: info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "mochyub5c3"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "1c:6f:65:5c:84:7e"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c2"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.10.231>] [2016-10-09 09:48:19]: info: ppp123: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:49:59]: info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c1"> <Acct-Session-Time 105> <Acct-Input-Octets 6530> <Acct-Output-Octets 2302> <Acct-Input-Packets 92> <Acct-Output-Packets 28> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>] [2016-10-09 09:49:59]: info: ppp74: recv [RADIUS(2) Accounting-Response id=1] [2016-10-09 09:50:03]: info: ppp74: disconnected Такие разрывы и последующие переподключения происходят только с абонентскими роутерами. Если подключение поднимать на ПК, то сессия может висеть хоть сутки. Вот конфиг acell [modules] log_file #log_syslog #log_tcp #log_pgsql pptp l2tp pppoe #ipoe auth_mschap_v2 auth_mschap_v1 auth_chap_md5 auth_pap radius ippool sigchld pppd_compat #shaper #chap-secrets #net-snmp #logwtmp connlimit #ipv6_nd #ipv6_dhcp #ipv6pool [core] log-error=/var/log/accel-ppp/core.log # thread-count=4 thread-count=1 [common] single-session=replace #sid-case=upper #sid-source=seq [ppp] verbose=1 min-mtu=300 mtu=1492 mru=1492 # carbon: ccp=0 allow connect from linux devices ccp=0 #это сделает радиус Рё СЃРєСЂРёРїС‚ событий иначе никак РЅРµ переподключиться будет check-ip=1 check-ip=1 #mppe=require ipv4=require ipv6=deny ipv6-intf-id=0:0:0:1 ipv6-peer-intf-id=0:0:0:2 ipv6-accept-peer-intf-id=1 lcp-echo-interval=1 lcp-echo-failure=1 #lcp-echo-timeout=10 #unit-cache=2000 #max-configure=30 [auth] #any-login=0 #noauth=0 [pptp] verbose=1 #echo-interval=30 [pppoe] verbose=1 #ac-name=xxx #service-name=yyy #pado-delay=0 pado-delay=0,100:100,200:200,-1:500 #ifname-in-sid=called-sid #tr101=1 padi-limit=10 #ip-pool=pppoe #interface=eth1,padi-limit=1000 ac-name=xge_NetLink service-name=xge_NetLink interface=eth1,padi-limit=1000 [l2tp] verbose=1 #dictionary=/usr/local/share/accel-ppp/l2tp/dictionary dictionary=/etc/accel-ppp/l2tp/dictionary #hello-interval=60 #timeout=60 #rtimeout=5 #retransmit=5 #host-name=accel-ppp #dir300_quirk=0 #secret= #dataseq=allow #reorder-timeout=0 #ip-pool=l2tp avp_permissive=1 [ipoe] verbose=1 username=ifname #password=username lease-time=600 max-lease-time=3600 #unit-cache=1000 #l4-redirect-table=4 #l4-redirect-ipset=l4 #l4-redirect-on-reject=300 shared=0 ifcfg=1 mode=L2 start=dhcpv4 #proxy-arp=0 #nat=0 #proto=100 #relay=10.10.10.10 #attr-dhcp-client-ip=DHCP-Client-IP-Address #attr-dhcp-router-ip=DHCP-Router-IP-Address #attr-dhcp-mask=DHCP-Mask #attr-l4-redirect=L4-Redirect #local-net=192.168.0.0/16 #lua-file=/etc/accel-ppp.lua #offer-delay=0,100:100,200:200,-1:1000 #vlan-mon=eth0,10-200 #vlan-timeout=60 #vlan-name=%I.%N #ip-pool=ipoe interface=eth0 [dns] dns1=10.128.0.1 dns2=8.8.8.8 [wins] #wins1=172.16.0.1 #wins2=172.16.1.1 [radius] #dictionary=/usr/local/share/accel-ppp/radius/dictionary dictionary=/etc/accel-ppp/radius/dictionary nas-identifier=169.254.18.12 nas-ip-address=169.254.18.12 gw-ip-address=10.128.0.1 # auth-server=@@@authserver%%%,@@@secret%%% (obsolete) # acct-server=@@@acctserver%%%,,@@@secret%%% (obsolete) #server=127.0.0.1,testing123 (obsolete) server=169.254.18.12,pass,auth-port=1812,acct-port=0,req-limit=0,fail-time=0 server=169.254.18.13,pass,auth-port=0,acct-port=1813,req-limit=0,fail-time=0 # dae-server=127.0.0.1:3799,testing123 verbose=1 #timeout=50 #max-try=5 acct-timeout=0 #acct-delay-time=1 #acct-on=0 [client-ip-range] disable [ip-pool] gw-ip-address=10.128.0.1 #vendor=Cisco #attr=Cisco-AVPair attr=Framed-Pool 192.168.0.2-255 192.168.1.1-255,name=pool1 192.168.2.1-255,name=pool2 192.168.3.1-255,name=pool3 192.168.4.0/24 [log] log-file=/var/log/accel-ppp/accel-ppp.log log-emerg=/var/log/accel-ppp/emerg.log log-fail-file=/var/log/accel-ppp/auth-fail.log log-debug=/var/log/accel-ppp/debug.log #log-debug=/dev/stdout #syslog=accel-pppd,daemon #log-tcp=127.0.0.1:3000 copy=1 #color=1 #per-user-dir=per_user #per-session-dir=per_session #per-session=1 level=3 #[log-pgsql] #conninfo=user=log #log-table=log [pppd-compat] #ip-pre-up=/etc/ppp/ip-pre-up ip-up=/usr/local/bin/ip-up ip-down=/usr/local/bin/ip-down ip-change=/usr/local/bin/ip-change radattr-prefix=/var/run/radattr verbose=1 [chap-secrets] gw-ip-address=192.168.100.1 #chap-secrets=/etc/ppp/chap-secrets #encrypted=0 #username-hash=md5 [shaper] #attr=Filter-Id #down-burst-factor=0.1 #up-burst-factor=1.0 #latency=50 #mpu=0 #mtu=0 #r2q=10 #quantum=1500 #cburst=1534 #ifb=ifb0 up-limiter=police down-limiter=tbf #leaf-qdisc=sfq perturb 10 #rate-multiplier=1 verbose=1 [cli] telnet=127.0.0.1:2000 tcp=127.0.0.1:2001 #password=123 [snmp] master=0 agent-name=accel-ppp [connlimit] limit=10/min burst=20 timeout=3000 [ipv6-pool] fc00:0:1::/48,64 delegate=fc00:1::/36,48 [ipv6-dns] #fc00:1::1 #fc00:1::2 #fc00:1::3 #dnssl=suffix1.local.net #dnssl=suffix2.local.net. [ipv6-dhcp] verbose=1 pref-lifetime=604800 valid-lifetime=2592000 route-via-gw=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 9 октября, 2016 · Жалоба Alhlmlk, как не крутите, но гадалок тут нет, в секции [log] уровень level=5 сделайте и покажите еще раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 октября, 2016 · Жалоба lcp-echo-interval=1 lcp-echo-failure=1 странные настройки... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 10 октября, 2016 · Жалоба Acct-Terminate-Cause User-Request -- разрыв соединеия по запросу клиента И да, поставьте параметры lpc-echo хотя бы такими: lcp-echo-interval=30 lcp-echo-failure=3 lcp-echo-timeout=120 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 11 октября, 2016 · Жалоба lcp-echo-failure=3 lcp-echo-timeout=120 вроде как взаимоисключающие опции же... у меня interval=5, timeout=30 (т.е. failure аксель выбирает 6) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 октября, 2016 · Жалоба почему же? Я это понимаю как 3*120 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 12 октября, 2016 · Жалоба вроде как взаимоисключающие опции же... Нет. Пинговать соединение каждые 30 секунд, ждать ответ до 120 секунд (есть линки в жопе мира, куда пакеты голубями доставляются), и рубить соединение после трех неудачных попыток. Такой подбор параметров сложился когда на этапе внедрения логи активно просматривались глазами в режиме debug. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 12 октября, 2016 · Жалоба почему же? Я это понимаю как 3*120 да потому: Specifies timeout in seconds to wait for any peer activity. If this option specified it turns on adaptive lcp echo functionality and "lcp-echo-failure" is not used. Нет. таки ж да. иногда полезно в маны заглядывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...