[dansit]

Это странно все таки

Кусок man accel-ppp.conf(орентируюсь на на него конечно)

gw=range

Specifies range of local address of ppp interfaces if form:

x.x.x.x/mask[,pool_name] (for example 10.0.0.0/8)

x.x.x.x-y[,pool_name] (for example 10.0.0.1-254)

про name= вроде бы ничего не сказано. Только просто имя пула через запятую.

 

Ладно добавил

 

[ip-pool]

gw-ip-address=192.168.5.1

attr=Framed-Pool

192.168.15.1/24,name=ippool_god_mode

 

Вроде процесс выделения адресов пошел

Но теперь-

 

[2013-12-25 12:02:47]: debug: ppp0: ccp_layer_start

[2013-12-25 12:02:47]: debug: ppp0: ipcp_layer_start

[2013-12-25 12:02:47]: warn: ppp0: ppp:ipcp: to avoid kernel soft lockup requested IP cannot be assigned (192.168.15.1)

 

Получается что все таки нельзя выделять адреса из диапазона сети 192.168.0.0/24

 

Изменил на

 

[ip-pool]

gw-ip-address=192.168.5.1

attr=Framed-Pool

10.10.1.1/24,name=ippool_god_mode

 

Процесс выдачи теперь успешен.

 

Но теперь на первое место вышло взаимодействие с радиусом

 

[2013-12-25 12:42:37]: debug: ppp0: lcp_layer_started
[2013-12-25 12:42:37]: debug: ppp0: auth_layer_start
[2013-12-25 12:42:37]:  info: ppp0: send [CHAP Challenge id=1 <3624c01dc6361835b41da7fdc7e548bb>]
[2013-12-25 12:42:37]:  info: ppp0: recv [CHAP Response id=1 <327279793566ff2d843baae75fe752a5>, name="admin"]
[2013-12-25 12:42:37]:  info: ppp0: send [RADIUS(1) Access-Request id=1 <User-Name "admin"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 112"> 
<Called-Station-Id "192.168.5.1"> <CHAP-Challenge > <CHAP-Password >]
[2013-12-25 12:42:37]:  info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Netmask 255.255.255.255> <Framed-Pomed-Pool
"ippool_god_mode">]
[2013-12-25 12:42:37]:  info: ppp0: send [CHAP Success id=1 "Authentication succeeded"]
[2013-12-25 12:42:37]: debug: ppp0: auth_layer_started
[2013-12-25 12:42:37]: debug: ppp0: ccp_layer_start
[2013-12-25 12:42:37]: debug: ppp0: ipcp_layer_start
[2013-12-25 12:42:37]:  info: ppp0: send [iPCP ConfReq id=1 <addr 192.168.5.1>]
[2013-12-25 12:42:37]: debug: ppp0: ipv6cp_layer_start
[2013-12-25 12:42:37]:  info: ppp0: admin: authentication succeeded
[2013-12-25 12:42:37]:  info: ppp0: recv [iPCP ConfReq id=1 <addr 0.0.0.0> <dns1 0.0.0.0> <dns2 0.0.0.0>]
[2013-12-25 12:42:37]:  info: ppp0: send [iPCP ConfNak id=1 <addr 10.10.1.1> <dns1 8.8.8.8> <dns2 8.8.4.4>]
[2013-12-25 12:42:37]:  info: ppp0: recv [iPCP ConfAck id=1 <addr 192.168.5.1>]
[2013-12-25 12:42:37]:  info: ppp0: recv [iPCP ConfReq id=2 <addr 10.10.1.1> <dns1 8.8.8.8> <dns2 8.8.4.4>]
[2013-12-25 12:42:37]:  info: ppp0: send [iPCP ConfAck id=2]
[2013-12-25 12:42:37]: debug: ppp0: ipcp_layer_started
[2013-12-25 12:42:37]:  info: ppp0: send [RADIUS(1) Accounting-Request id=1 <User-Name "admin"> <NAS-Identifier "accel-ppp"> <NAS-IP-AddresAddress 127.0.0.1>
<NAS-Port 0> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "192.168.2.110> <Acct-Output-Gigawords 0> 
<Framed-IP-Address 10.10.1.1>]
[2013-12-25 12:42:39]:  warn: ppp0: radius: server(1) not responding
[2013-12-25 12:42:39]:  warn: radius: server(1) not responding
[2013-12-25 12:42:39]:  warn: ppp0: radius:acct_start: no servers available
[2013-12-25 12:42:39]: debug: ppp0: terminate

Изменено 25 декабря, 2013 пользователем dansit

[ALex_hha]

а что говорит?

 

# netstat -lanp | grep -E "(1812|1813)"

[dansit]

Можно сказать проблема решена.

Адреса выделяются.

С радиусом разобрался. Сменил пароль между аккселем и радиусом и взаимодействие наладилось. В старом пароле был спецсимвол который явно не нравился радиусу.

 

Спасибо всем за участие. Буду дальше настраивать биллинг

[morfair]

Адрес radius-сервера можно указать доменным именем?

[ALex_hha]

Адрес radius-сервера можно указать доменным именем?

можно, если с ДНС проблем нет

[dansit]

У меня небольшой вопрос. Аксел должен автоматически менять роутинг для vpn клиентов? Или надо что дополнительно прикручивать? А то подключение есть, а роутинга нет.

Или надо доп скрипт какой прикручиваить для роутинга

 

И еще одна проблема.

Сейчас на рабочем гейте стоит poptop+pptpd. Это связка не только выводит офисные компы в инет, но и предосставляет доступ к локалке из инета по ключу с шифрование.

А так как аксель один заменяет эту пару то вопрос

Как это сделать аккелем. Доступ к локалке из инета по ключу с шифрованием?

[xeb]

EAP чтоли ?

[sanyasi]

Добрый день!

Внедряю 1.7.3. Проблема с логами (вывод в файл).

1)------------------

Очень это удобно - лог на юзера. Но ротация не работает HUP на демона не освобождает файл лога. Пишет в переименованный.

Кроме того доHUPался, теперь и основной лог не пишется.

Можно ли добавить в log_syslog.c возможность в каждом сообщении выводить вместе с номером ppp, логин, и возможно ip c которого соединение было?

А логи раскладывать по пользователем уже самим сислогом?

Если это не интересно для основной версии, то хоть подскажите в какие строчки смотреть, что искать непрограммисту С.

Думаю непрофильной работы для аццель станет меньше, и число открытых файлов уменьшится.

2)------------------

Какие qdisc class filter добавляются на ppp+ и ifb интерфейсы при шейпе htb/htb

(разобрать вывод с интерфейса примененного фильтра не получилось)

3)------------------

Кто-нибудь делал шейп и входящего и исходящего трафика на ifb?

заворачиванием, например обоих трафиков на один или два ifb скриптами?

У меня получилось отдельно входящий с шейпом по хешам ип.

Исходящий работает во встроенном шейпере... Соединить не получилось.

А задача выглядит заманчивой в свете unit-cache=1000

на интерфейс вешаем tc фильтры при первом создании, и всё.

Скоростью рулим по ifb.

Изменено 26 декабря, 2013 пользователем sanyasi

[dansit]

EAP чтоли ?

 

Ну я не знаю. EAP или что то еще. Просто спросил про возможность настройки при помощи аккселя ВХОДЯЩИХ соеденений. Чтоб поднимался tun интерфейс.

К тому же это у меня это у задача второй стадии.

А пока Первоочередная - раздать доступ в инет в офисе через впн или пппое.

 

Я просто никак не могу понять - рулит или не рулит аксель роутингом на сервере.

Воде как бы рулит.

Потому что.

route -n

до подключения клиента

 

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 195.189.68.117 0.0.0.0 UG 0 0 0 eth1

192.168.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0

195.189.68.116 0.0.0.0 255.255.255.252 U 0 0 0 eth1

 

после подключения

 

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 195.189.68.117 0.0.0.0 UG 0 0 0 eth1

10.11.1.8 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0

192.168.0.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0

195.189.68.116 0.0.0.0 255.255.255.252 U 0 0 0 eth1

 

 

Сейчас пул такой

[ip-pool]

gw-ip-address=10.10.0.1

attr=Framed-Pool

10.10.1.1/24,name=ippool_god_mode

10.11.1.1/24,name=ippool_all_users

10.12.1.1/24,name=ippool_poor_users

 

Вроде как роут добавляется. Но с клиенского компа трассировка инета дальше 10.10.0.1 не идет.

 

Поэтому и мучаюсь. То ли надо дополнильно какие правила роутинга или iptables при старте интерфейса. Либо я что то обратно что не так в настройках акселя напортачил.

 

Сорри конечно. Может быть за туповатые вопросы. Наверно просто моих знаний не хватает. Задачу такую решаю впервые

[xeb]

Поэтому и мучаюсь. То ли надо дополнильно какие правила роутинга или iptables при старте интерфейса.

надо

 

Какие qdisc class filter добавляются на ppp+ и ifb интерфейсы при шейпе htb/htb

http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=680930

 

Ну я не знаю. EAP или что то еще. Просто спросил про возможность настройки при помощи аккселя ВХОДЯЩИХ соеденений. Чтоб поднимался tun интерфейс.

accel работает только с ppp, можете организовать входящие соединения через тот-же pptp/l2tp

[sanyasi]

Тааак... логины в сислог выводятся, но на этапе pptp соединения они еще не известны.

Ктото ломится на сервер, а узнать кто не получается.

Да и хотелось бы сислогом по ip соединяющихся сортировать логи.

Подскажите как добавить в вывод сислога IP адрес инициатора vpn соединения?

[demidc3]

Подскажите, если используются несколько Radius-серверов, по какому принципу они чередуются (допустим, все отвечают)? И можно ли сделать основной/запасной, чтобы запасной использовался только если основной не отвечает? Сейчас просто прописал их по-порядку, основному fail-time=5, но вижу, что на запасной тоже запросы идут, хотя основной работает нормально. Можно ли это исключить?

[Lynx10]

хотел уточнить в варианте shared ipoe снова вернулись к именованию интерфейсов типа eth1.40.ipoe0? там же есть проблема с длинной имени интерфейса....

[dansit]

 

Ну я не знаю. EAP или что то еще. Просто спросил про возможность настройки при помощи аккселя ВХОДЯЩИХ соеденений. Чтоб поднимался tun интерфейс.

accel работает только с ppp, можете организовать входящие соединения через тот-же pptp/l2tp

 

Ок. Хорошо. pptp/l2tp. как бы эти секции в конфиге есть.

 

Погуглил немного по инету. Нашел что Когда аксель был еще pptp, то входящее соеденение настраивалось как обычный pptp в /etc/ppp/options.pptp.

Но модуль pptp переехал в ядро. Аксель стал просто ppp. И теперь /etc/ppp/options.pptp нифига не актуально. Или все таки используется модулем которые в ядро перехал?

Или надо правильно сконфигурить секции pptp/l2tp для того чтоб акксель был плагином для модуля ядра?

Если так, то как?

 

Аксель конечно шикарная по производительностям прога, но документация на нее огорчает. Приходится по крупицам по всему инету шарить.

[Abram]

dansit,

accel-ppp до 1.x был плагином для pppd. Он умел входящие и исходящие соединения.

accel-ppp после 1.x (т.е. современный) работает сам по себе, pppd ему не нужен. Он умеет только входящие соединения. Он не умеет сам инициировать соединения.

Кроме того, следует понимать, что accel-ppp - продукт в основном для ISP и пилится под их нужды. Поэтому, например, здесь куча разных настроек шейпера и работы с RADIUS, но совсем ничего нет для всяких там хитрых сертификатных авторизаций, потому что ни один провайдер не станет их использовать.

 

Документация вся в man accel-ppp.conf - в чем проблема?

[dansit]

dansit,

Документация вся в man accel-ppp.conf - в чем проблема?

 

Проблема в том что там описано не все.

Уже нарвался раз. По Framed-Pool. Что перед ним надо писать name=. В мане этого нет

 

Или это?

Что имеется ввиду?

ip-pool=pppoe или ip-pool=l2tp

 

В конфиге по дефолту есть - в мане нет.

 

 

 

Он умеет только входящие соединения. Он не умеет сам инициировать соединения.

 

А мне и не надо что чтоб он сам иницировал. Иницирует юзер. Неважно где он. Снаружи локальной сетки или внутри.

Отличие наших внешних и внутрених юзеров в том, что для внешних нужно обязательно поднимать шифрование тунелей и поддерживать сертификаты или ssh ключи. У нас так работают удалено некоторые сотрудники в компании.

Но насколько понял(очень надеюсь что я ошибаюсь), Аксель это не умеет приципиально. Либо надо что то мудрить при помощи радиус авторизации и чего то еще.Не знаю точно.

Внутрених то юзеров я выпустил в инет через vpn. Теперь задача впустить внешних.

Я ж не могу еще и стандарный pptpd взгромоздить. Его место аккселем занято. Значит мне надо как то решить задачу при помоши акселя

 

P.S. Кстати топик то на форуме назвается accel PPTPD Понимаю что историческое наследие. Но тогда оно неправильно для нынешней проги

Изменено 29 декабря, 2013 пользователем dansit

[Abram]

Но насколько понял(очень надеюсь что я ошибаюсь), Аксель это не умеет приципиально. Либо надо что то мудрить при помощи радиус авторизации и чего то еще.Не знаю точно.

Внутрених то юзеров я выпустил в инет через vpn. Теперь задача впустить внешних.

Я ж не могу еще и стандарный pptpd взгромоздить. Его место аккселем занято. Значит мне надо как то решить задачу при помоши акселя

 

P.S. Кстати топик то на форуме назвается accel PPTPD Понимаю что историческое наследие. Но тогда оно неправильно для нынешней проги

Да, два конфига не умеет. Вашу задачу надо решать так: либо поднять два разных сервиса для двух разных задач (и это будет правильно), либо городить через RADIUS.

 

И да, название историческое.

[Lynx10]

хотел уточнить в варианте shared ipoe снова вернулись к именованию интерфейсов типа eth1.40.ipoe0? там же есть проблема с длинной имени интерфейса....

ложная тревога, на стенде обновил сам accel-ppp а модуль к ядру остался старый!

 

Ну походу, спрошу - кто-то в продакшене использует shared схему?

Спасибо!

[nik247]

хотел уточнить в варианте shared ipoe снова вернулись к именованию интерфейсов типа eth1.40.ipoe0? там же есть проблема с длинной имени интерфейса....

ложная тревога, на стенде обновил сам accel-ppp а модуль к ядру остался старый!

 

Ну походу, спрошу - кто-то в продакшене использует shared схему?

Спасибо!

Я использую.

[cdi]

С наступающим Новым годом! Скажите под freebsd будет или есть accel-ppp ?

[Abram]

С наступающим Новым годом! Скажите под freebsd будет или есть accel-ppp ?

Нет и не будет.

 

ipoe повторяемо падает на 3.11.

http://pastebin.com/vjT5YmcU

[Lynx10]

хотел уточнить в варианте shared ipoe снова вернулись к именованию интерфейсов типа eth1.40.ipoe0? там же есть проблема с длинной имени интерфейса....

ложная тревога, на стенде обновил сам accel-ppp а модуль к ядру остался старый!

 

Ну походу, спрошу - кто-то в продакшене использует shared схему?

Спасибо!

Я использую.

сколько максимально сессий терминировали? если не секрет....

[fet4]

Debian 7 + accel-ppp 1.7.3 Не работает корректно shaper. Проблема идентична в точь-точь как тут http://sourceforge.net/p/accel-ppp/discussion/1345743/thread/992b0c1c/ и тут http://sourceforge.net/p/accel-ppp/discussion/1345743/thread/a0abff0a

Все параметры передаются, но странички тупят ужасно.

 

Подскажите куда копать???

 

Конфиг Accel

[modules]
log_file
pppoe
auth_mschap_v2
radius
sigchld
pppd_compat
shaper

[core]
log-error=/var/log/accel-ppp/core.log
thread-count=4

[ppp]
verbose=1
min-mtu=1400
mtu=1492
mru=1492
ipv4=require
ipv6=deny
lcp-echo-interval=20
lcp-echo-timeout=120

[pppoe]
verbose=1
interface=eth0

interface=vlan100
interface=vlan101
interface=vlan102
interface=vlan103
interface=vlan104
interface=vlan105
interface=vlan106
interface=vlan107
interface=vlan108
interface=vlan109

[dns]
dns1=172.30.0.1
dns2=172.30.1.1

[radius]
dictionary=/usr/local/share/accel-ppp/radius/dictionary
nas-identifier=accel-ppp
nas-ip-address=127.0.0.1
gw-ip-address=172.31.1.254
auth-server=127.0.0.1:1812,TDKIezOvdhHQmonC
acct-server=127.0.0.1:1813,TDKIezOvdhHQmonC
server=127.0.0.1,TDKIezOvdhHQmonC,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0
dae-server=127.0.0.1:3799,TDKIezOvdhHQmonC
verbose=1

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
copy=1
level=3

[pppd-compat]
#ip-pre-up=/etc/ppp/ip-pre-up
ip-up=/etc/ppp/ip-up
ip-down=/etc/ppp/ip-down
ip-change=/etc/ppp/ip-change
radattr-prefix=/var/run/radattr
verbose=1

[shaper]
up-limiter=police
down-limiter=tbf
attr-down=PPPD-Downstream-Speed-Limit
attr-up=PPPD-Upstream-Speed-Limit
verbose=1

[cli]
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
#password=123

 

Атрибуты передаются

root ~ # cat /var/run/radattr.ppp0

Код:
Acct-Interim-Interval 300
Session-Timeout 2276289
User-Name anya
PPPD-Upstream-Speed-Limit 25600
Framed-IP-Address 10.192.51.113
Framed-IP-Netmask 255.255.255.255
PPPD-Downstream-Speed-Limit 25600
MS-CHAP2-Success 01533D33423335353231344346333544454231354642383938434531463245344330393638334334444132
MS-MPPE-Recv-Key A0DFFCA5BA9E9CA5C53FFD64EB655C49336170C7B754FA2BB9A5DD9EC29524FB5A03
MS-MPPE-Send-Key ABDADF1B565F40CF4885F267DD9CD80452AA18ADB0039A215E6552918F36E64D2206
MS-MPPE-Encryption-Policy 1
MS-MPPE-Encryption-Type 6

 

root ~ # tc qdisc show dev ppp0
qdisc tbf 1: root refcnt 2 rate 25600Kbit burst 320000b lat 50.0ms
qdisc ingress ffff: parent ffff:fff1 ----------------

root ~ # tc filter show dev ppp0 parent ffff:
filter protocol ip pref 1 u32
filter protocol ip pref 1 u32 fh 800: ht divisor 1
filter protocol ip pref 1 u32 fh 800::1 order 1 key ht 800 bkt 0 flowid :1
 match 00000000/00000000 at 12
       action order 1:  police 0x9 rate 25600Kbit burst 3125Kb mtu 2Kb action drop overhead 0b
ref 1 bind 1

 

[2014-01-07 04:04:18]:  info: ppp0: connect: ppp0 <--> pppoe(44:87:fc:52:4f:3b)
[2014-01-07 04:04:18]:  info: ppp0: send [RADIUS(1) Access-Request id=1 <User-Name "anya"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 127.0.0.1> <NAS-Port 0> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "44:87:fc:52:4f:3b"> <Called-Station-Id "64:66:b3:03:b0:3e"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2014-01-07 04:04:18]:  info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Session-Timeout 2145342> <User-Name "anya"> <PPPD-Upstream-Speed-Limit 25600> <Framed-IP-Address 10.192.239.31> <Framed-IP-Netmask 255.255.255.255> <PPPD-Downstream-Speed-Limit 25600><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 1><Microsoft MS-MPPE-Encryption-Type 6>]
[2014-01-07 04:04:18]:  info: ppp0: anya: authentication succeeded
[2014-01-07 04:04:18]:  warn: ppp0: IPV6CP: discarding packet
[2014-01-07 04:04:18]:  info: ppp0: send [RADIUS(1) Accounting-Request id=1 <User-Name "anya"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 127.0.0.1> <NAS-Port 0> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "44:87:fc:52:4f:3b"> <Called-Station-Id "64:66:b3:03:b0:3e"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "5c7bde346279a7d1"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.192.239.31>]
[2014-01-07 04:04:18]:  info: ppp0: recv [RADIUS(1) Accounting-Response id=1]

Изменено 7 января, 2014 пользователем fet4

[nuclearcat]

ethtool -K eth0 tso off gso off gro off lro off

(и другие езер интерфейсы, если через них ходит траффик для pppoe)

Может поможет?

[fet4]

Капец, помогло, спасибо огромное)))) Хотя смотрел ethtool -k eth*, все было выключено.

А как зафиксировать эти значения при загрузке? Или тупо через rc.local командами?