Перейти к содержимому
Калькуляторы

2kayot

2nuclearcat

ок перепишу правила, а что то еще прописываете ?

как боритесь с syn_flood и udp_flood от абонента, может быть unicast_storm на порту коммутатора ?

или conntrack отключен на accel-ppp ?

У меня стоит собственный кастомный софт для этого(завязан на биллинг и рубит зараженные аккаунты) + netflow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

-A FORWARD -p tcp -m multiport --destination-port 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 -j DROP

Выстрел себе в ногу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myth

С какого бодуна? В рабочем правиле конечно же есть и направление, и интерфейсы на которых оно применимо, упростил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kayot, я не это имел в виду. Зачем мне как абоненту белый IP, если у меня все равно ничего не работает? Ни ssh, ни rdp, а трах с нестандартными портами - счастье еще то.

 

Имитация белого ip.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем мне как абоненту белый IP, если у меня все равно ничего не работает?

Уникальность соурс адреса в просторах глобальной сети. Вот забанит вконтактик или еще кто то крупный ваш реальный ip с NAT на 2к или 10к людей - взвоете.

kayot написал, что за определенную сумму денег снимет ограничения, тем самым избавил своих клиентов от беды со спамом и взломом, пусть даже не на 100%.

По логике, все эти порты среднестатистическим пользователям, которых большинство и даром не нужны.

Изменено пользователем Dimka88

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myth

99% не нужна возможность поднимать сервера дома, а 1% требующий rdp и ssh открытыми в мир - доплатят 1$ к абонке и тоже будут счастливы.

Зато роутеры у тех самых 99% не будут перешиваться удаленно злыми китайскими хакерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пусть хоть перешьются. Это проблема абонента. Вот DNS запросы NATить к себе - это да, полезно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

99% не нужна возможность поднимать сервера дома, а 1% требующий rdp и ssh открытыми в мир - доплатят 1$ к абонке

До первого юридически грамотного клиента...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пусть хоть перешьются. Это проблема абонента. Вот DNS запросы NATить к себе - это да, полезно.

А почему бы и не вытереть рот своему клиенту после еды за дополнительную копеечку.

 

До первого юридически грамотного клиента...

Вы ошибаетесь, если полагаете что это не решено на уровне договора! В прочем это все оффтоп и к обсуждаемому проекту относится косвенно.

Изменено пользователем Dimka88

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос связан с реальными правилами ,а не "ну еще чуток допилить" или " все заблокировать а открывать по требованию".

Вопрос больше о реальной системе ddos (aka fastnetmon , suricata, synproxy,syncookied ) или выключенным conntrack ( -t raw prerouting -j NOTRACK)

или правилам аналогичным на cg-nat устройствах от брендов junos и .т.п. работающей у вас .

 

У меня сейчас есть ограничение для tcp iptables connlimit above 32 до 3000 соединений,но что делать с udp ???? (полный текст правила был раньше)

 

Я рассматривал вариант ,выводить conntrack -L -pudp -s(или -d)ipадрес | wc -l и считать кол. и делать alert на email если больше 3000 с болем [uNREPLIED] и без ?!!!

Изменено пользователем yazero

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

connlimit в некоторых случаях у меня жутко жрал проц, к сожалению давно не проверял его

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня сейчас есть ограничение для tcp iptables connlimit above 32 до 3000 соединений,но что делать с udp ????

а зачем вы с ним что-то хотите делать?... вас это сильно беспокоит?...

 

хотя если сильно хочется - можно попробовать что-то типа iptables -A FORWARD -m state --state NEW -m limit --limit 10/s -j ACCEPT - т.е. 10 новых коннектов в секунду максимум. или в PREROUTING это правильнее...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

то есть на bras у вас ни каких ограничений нет ?

 

- connlimit не грузит проц на трафике 800Мб и 1350 клиентах

- limit X/s, не вариант под него и хорошие соединения попадают, тока если если добавить recent может быть можно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

зарезаны только порты самбы/рпц, и подрезан днс. все, больше никаких ограничений, все прекрасно работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

hsvt

У меня всем белые адреса выдаются, соотвественно в сторону абонента все потенциально опасное блокируется. За небольшую сумму эти блокировки отключаются, обычно юрикам нужно.

мы не блокируем воообще ничего, у абонента просто труба в интернет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет. Подсобите советом.

Как организовать смену скорости на лету? без разрыва сессий?

Сейчас шейпер работает через внешний скрипт в разделе pppd-compat

биллинг отдает новые параметры для сессии, accel в рад.аттр пишет новые параметры но ничего не меняется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скрипт /etc/ppp/ip-change отвечает за CoA

Что-то типа этого

 

#!/bin/sh
if [ -f /var/run/radattr.$1 ]
then
DOWNSPEED=`/usr/bin/awk '/PPPD-Downstream-Speed-Limit/ {print $2}' /var/run/radattr.$1`
UPSPEED=`/usr/bin/awk '/PPPD-Upstream-Speed-Limit/ {print $2}' /var/run/radattr.$1`
FILTERS=`/usr/bin/awk '/Filter-Id/ {print $2}' /var/run/radattr.$1`
IP=`/usr/bin/awk '/Framed/ {print $2}' /var/run/radattr.$1`

#echo $DOWNSPEED
#echo $UPSPEED
#echo $FILTERS
fi

if [ "$UPSPEED" -ne "0" ] ;
then
##### speed server->client
if [ "$UPSPEED" -ge "6000" ] ;
then
/sbin/tc class replace dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 51k cburst 2k
/sbin/tc class replace dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit burst 51k cburst 2k prio 1
/sbin/tc class replace dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit burst 51k cburst 2k prio 2

#######Мелкие тарифы до 6000Kbit/sec#########################################
else
/sbin/tc class replace dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 10k  cburst 1k
/sbin/tc class replace dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit ceil ${UPSPEED}kbit burst 10k cburst 1k prio 1
/sbin/tc class replace dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit ceil ${UPSPEED}kbit burst 10k cburst 1k prio 2
fi
fi

##### speed client->server
if [ "$DOWNSPEED" != "0" ] ;
then
#/sbin/tc qdisc add dev $1 handle ffff: ingress
/sbin/tc filter replace dev $1 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${DOWNSPEED}kbit burst 1024kb drop flowid :1
fi

Изменено пользователем myth

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уважаемый Хеб. Прошу помощи, так как мучаюсь с этой проблемой давно.

Абоненты работают по PPPoE + FreeRadius

Абоненты авторизируются нормально, но по истечению определенного времени, сессия абонента завершается. По какой причине мне не понятно.

Вот что выдает лог accel-ppp

[2016-10-09 09:44:14]:  info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4bf"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>]
[2016-10-09 09:44:14]:  info: ppp123: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:44:32]:  info: ppp74: send [RADIUS(2) Accounting-Request id=2b <User-Name "uspl8c36"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "b4:b5:2f:7c:80:64"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b3eb"> <Acct-Session-Time 12721> <Acct-Input-Octets 39126504> <Acct-Output-Octets 475842483> <Acct-Input-Packets 486455> <Acct-Output-Packets 420325> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.10.218> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:44:33]:  info: ppp74: disconnected
[2016-10-09 09:44:33]:  info: recv [RADIUS(2) Accounting-Response id=2b]
[2016-10-09 09:46:00]:  info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4bf"> <Acct-Session-Time 105> <Acct-Input-Octets 10663> <Acct-Output-Octets 3836> <Acct-Input-Packets 154> <Acct-Output-Packets 36> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:46:00]:  info: ppp123: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:46:03]:  info: ppp123: disconnected
[2016-10-09 09:46:14]:  info: ppp74: connect: ppp74 <--> pppoe(e8:de:27:d7:0d:17)
[2016-10-09 09:46:17]:  info: ppp74: send [RADIUS(1) Access-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2016-10-09 09:46:17]:  info: ppp74: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.4.102> <Filter-Id "session Framed-IP-Address rate set in 2000 5500 100001 out 1000 5500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>]
[2016-10-09 09:46:17]:  info: ppp74: ptu7bc72: authentication succeeded
[2016-10-09 09:46:17]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c0"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>]
[2016-10-09 09:46:17]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:47:59]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c0"> <Acct-Session-Time 105> <Acct-Input-Octets 6530> <Acct-Output-Octets 2302> <Acct-Input-Packets 92> <Acct-Output-Packets 28> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:47:59]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:48:03]:  info: ppp74: disconnected
[2016-10-09 09:48:14]:  info: ppp74: connect: ppp74 <--> pppoe(e8:de:27:d7:0d:17)
[2016-10-09 09:48:14]:  info: ppp74: send [RADIUS(1) Access-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2016-10-09 09:48:14]:  info: ppp74: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.4.102> <Filter-Id "session Framed-IP-Address rate set in 2000 5500 100001 out 1000 5500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>]
[2016-10-09 09:48:14]:  info: ppp74: ptu7bc72: authentication succeeded
[2016-10-09 09:48:14]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c1"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>]
[2016-10-09 09:48:14]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:48:19]:  info: ppp123: connect: ppp123 <--> pppoe(1c:6f:65:5c:84:7e)
[2016-10-09 09:48:19]:  info: ppp123: send [RADIUS(1) Access-Request id=1 <User-Name "mochyub5c3"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "1c:6f:65:5c:84:7e"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2016-10-09 09:48:19]:  info: ppp123: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.10.231> <Filter-Id "session Framed-IP-Address rate set in 3500 8500 100001 out 2000 8500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>]
[2016-10-09 09:48:19]:  info: ppp123: mochyub5c3: authentication succeeded
[2016-10-09 09:48:19]:  warn: ppp123: IPV6CP: discarding packet
[2016-10-09 09:48:19]:  warn: ppp123: CCP: discarding packet
[2016-10-09 09:48:19]:  info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "mochyub5c3"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "1c:6f:65:5c:84:7e"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c2"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.10.231>]
[2016-10-09 09:48:19]:  info: ppp123: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:49:59]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c1"> <Acct-Session-Time 105> <Acct-Input-Octets 6530> <Acct-Output-Octets 2302> <Acct-Input-Packets 92> <Acct-Output-Packets 28> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:49:59]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:50:03]:  info: ppp74: disconnected

 

Такие разрывы и последующие переподключения происходят только с абонентскими роутерами. Если подключение поднимать на ПК, то сессия может висеть хоть сутки.

Вот конфиг acell

[modules]
log_file
#log_syslog
#log_tcp
#log_pgsql

pptp
l2tp
pppoe
#ipoe

auth_mschap_v2
auth_mschap_v1
auth_chap_md5
auth_pap

radius
ippool
sigchld
pppd_compat

#shaper
#chap-secrets
#net-snmp
#logwtmp
connlimit

#ipv6_nd
#ipv6_dhcp
#ipv6pool

[core]
log-error=/var/log/accel-ppp/core.log
# thread-count=4
thread-count=1

[common]
single-session=replace
#sid-case=upper
#sid-source=seq

[ppp]
verbose=1
min-mtu=300
mtu=1492
mru=1492
# carbon: ccp=0 allow connect from linux devices
ccp=0
#это сделает радиус и скрипт событий иначе никак не переподключиться будет check-ip=1
check-ip=1
#mppe=require
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=1
lcp-echo-failure=1
#lcp-echo-timeout=10
#unit-cache=2000
#max-configure=30

[auth]
#any-login=0
#noauth=0

[pptp]
verbose=1
#echo-interval=30

[pppoe]
verbose=1
#ac-name=xxx
#service-name=yyy
#pado-delay=0
pado-delay=0,100:100,200:200,-1:500
#ifname-in-sid=called-sid
#tr101=1
padi-limit=10
#ip-pool=pppoe
#interface=eth1,padi-limit=1000
ac-name=xge_NetLink
service-name=xge_NetLink
interface=eth1,padi-limit=1000

[l2tp]
verbose=1
#dictionary=/usr/local/share/accel-ppp/l2tp/dictionary
dictionary=/etc/accel-ppp/l2tp/dictionary
#hello-interval=60
#timeout=60
#rtimeout=5
#retransmit=5
#host-name=accel-ppp
#dir300_quirk=0
#secret=
#dataseq=allow
#reorder-timeout=0
#ip-pool=l2tp
avp_permissive=1


[ipoe]
verbose=1
username=ifname
#password=username
lease-time=600
max-lease-time=3600
#unit-cache=1000
#l4-redirect-table=4
#l4-redirect-ipset=l4
#l4-redirect-on-reject=300
shared=0
ifcfg=1
mode=L2
start=dhcpv4
#proxy-arp=0
#nat=0
#proto=100
#relay=10.10.10.10
#attr-dhcp-client-ip=DHCP-Client-IP-Address
#attr-dhcp-router-ip=DHCP-Router-IP-Address
#attr-dhcp-mask=DHCP-Mask
#attr-l4-redirect=L4-Redirect
#local-net=192.168.0.0/16
#lua-file=/etc/accel-ppp.lua
#offer-delay=0,100:100,200:200,-1:1000
#vlan-mon=eth0,10-200
#vlan-timeout=60
#vlan-name=%I.%N
#ip-pool=ipoe
interface=eth0


[dns]
dns1=10.128.0.1
dns2=8.8.8.8

[wins]
#wins1=172.16.0.1
#wins2=172.16.1.1

[radius]
#dictionary=/usr/local/share/accel-ppp/radius/dictionary
dictionary=/etc/accel-ppp/radius/dictionary
nas-identifier=169.254.18.12
nas-ip-address=169.254.18.12
gw-ip-address=10.128.0.1
# auth-server=@@@authserver%%%,@@@secret%%% (obsolete)
# acct-server=@@@acctserver%%%,,@@@secret%%% (obsolete)
#server=127.0.0.1,testing123 (obsolete)
server=169.254.18.12,pass,auth-port=1812,acct-port=0,req-limit=0,fail-time=0
server=169.254.18.13,pass,auth-port=0,acct-port=1813,req-limit=0,fail-time=0
# dae-server=127.0.0.1:3799,testing123
verbose=1
#timeout=50
#max-try=5
acct-timeout=0
#acct-delay-time=1
#acct-on=0

[client-ip-range]
disable

[ip-pool]
gw-ip-address=10.128.0.1
#vendor=Cisco
#attr=Cisco-AVPair
attr=Framed-Pool
192.168.0.2-255
192.168.1.1-255,name=pool1
192.168.2.1-255,name=pool2
192.168.3.1-255,name=pool3
192.168.4.0/24

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
log-debug=/var/log/accel-ppp/debug.log
#log-debug=/dev/stdout
#syslog=accel-pppd,daemon
#log-tcp=127.0.0.1:3000
copy=1
#color=1
#per-user-dir=per_user
#per-session-dir=per_session
#per-session=1
level=3

#[log-pgsql]
#conninfo=user=log
#log-table=log

[pppd-compat]
#ip-pre-up=/etc/ppp/ip-pre-up
ip-up=/usr/local/bin/ip-up
ip-down=/usr/local/bin/ip-down
ip-change=/usr/local/bin/ip-change
radattr-prefix=/var/run/radattr
verbose=1

[chap-secrets]
gw-ip-address=192.168.100.1
#chap-secrets=/etc/ppp/chap-secrets
#encrypted=0
#username-hash=md5

[shaper]
#attr=Filter-Id
#down-burst-factor=0.1
#up-burst-factor=1.0
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#cburst=1534
#ifb=ifb0
up-limiter=police
down-limiter=tbf
#leaf-qdisc=sfq perturb 10
#rate-multiplier=1
verbose=1

[cli]
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
#password=123

[snmp]
master=0
agent-name=accel-ppp

[connlimit]
limit=10/min
burst=20
timeout=3000

[ipv6-pool]
fc00:0:1::/48,64
delegate=fc00:1::/36,48

[ipv6-dns]
#fc00:1::1
#fc00:1::2
#fc00:1::3
#dnssl=suffix1.local.net
#dnssl=suffix2.local.net.

[ipv6-dhcp]
verbose=1
pref-lifetime=604800
valid-lifetime=2592000
route-via-gw=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Alhlmlk, как не крутите, но гадалок тут нет, в секции [log] уровень level=5 сделайте и покажите еще раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Acct-Terminate-Cause User-Request -- разрыв соединеия по запросу клиента

 

И да, поставьте параметры lpc-echo хотя бы такими:

 

lcp-echo-interval=30

lcp-echo-failure=3

lcp-echo-timeout=120

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lcp-echo-failure=3

lcp-echo-timeout=120

вроде как взаимоисключающие опции же...

 

у меня interval=5, timeout=30 (т.е. failure аксель выбирает 6)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вроде как взаимоисключающие опции же...

Нет. Пинговать соединение каждые 30 секунд, ждать ответ до 120 секунд (есть линки в жопе мира, куда пакеты голубями доставляются), и рубить соединение после трех неудачных попыток. Такой подбор параметров сложился когда на этапе внедрения логи активно просматривались глазами в режиме debug.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

почему же? Я это понимаю как 3*120

да потому:

Specifies timeout in seconds to wait for any peer activity. If this option specified it turns on adaptive lcp echo functionality and "lcp-echo-failure" is not used.

 

Нет.

таки ж да. иногда полезно в маны заглядывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.