[KaraVan]

Коллеги, а кто может во фрилансерском режиме соорудить тестовый NAS на обсуждаемом софте и прикрутить его по RADIUS к UTM5? Авторизация нужна только по статическим IP(MAC).

 

Если есть желание подзаработать, стукните в личку.

[AccessPoint]

это значит, что на встроенном шейпере такое сделать невозможно?

 

Тут неоднократно говорилось, что на Си реализовать добавления правил для каждого по вкусу не так так просто да и не имеет смысла, используйте ip-up и ip-change скрипты для установки шейпера.

 

Понял, а возможно ли одновременно использовать и встроенный шейпер и модуль pppd-compat, т.е. помимо основного встроеного шейпера еще накидать правил шейпинга скриптами ip-up?

Или же создать какое-то общее правило шейпинга в отдельную подсеть, которое будет перекрывать создаваемые при инициации соединений правила?

Изменено 30 мая, 2014 пользователем AccessPoint

[taf_321]

скрипты ip-up/down/change это хорошо, но но когда на каджый тазик приходится >100 соединений, то нужно иметь в виду, что случае неожиданных ***охеншванцев, когда ~1000 коннектов единомоментно падают и тут же пытаются подняться, можно выхватить весьма интересные эффекты из race condition. Имейте это в виду, когда будете закладываться на [pppd-compat]

[Abram]

скрипты ip-up/down/change это хорошо, но но когда на каджый тазик приходится >100 соединений, то нужно иметь в виду, что случае неожиданных ***охеншванцев, когда ~1000 коннектов единомоментно падают и тут же пытаются подняться, можно выхватить весьма интересные эффекты из race condition. Имейте это в виду, когда будете закладываться на [pppd-compat]

Кстати да. Я тут думаю наваять себе для этого дела демон на питоне - чтобы из ip-up делать просто что-то вроде echo 'vlan1415.1617 1024/1024' | netcat blahblahblah, ну или в локальный сокет.

Какие там подводные камни? Откуда race condition? На одновременной правке ifb? Или имеется в виду нагрузка от большого кол-ва одновременно запущенных shell-ов с ip-up?

[s.lobanov]

это значит, что на встроенном шейпере такое сделать невозможно?

 

Тут неоднократно говорилось, что на Си реализовать добавления правил для каждого по вкусу не так так просто да и не имеет смысла, используйте ip-up и ip-change скрипты для установки шейпера.

 

Дело не в языке программирования, а в том, что кто-то должен сформулировать чёткое ТЗ, понятное для программиста, без "сделать п***ато или 'дружественный провайдер'" (в терминах tc, из этого уже можно переделать на вызовы API ядра)

 

Проще всего заимствовать идеи у Cisco ISG, там через радиус-аттрибуты передаются шейперы/полисеры с разделением трафика по "направлениям"(acl).

[Dimka88]

Понял, а возможно ли одновременно использовать и встроенный шейпер и модуль pppd-compat, т.е. помимо основного встроеного шейпера еще накидать правил шейпинга скриптами ip-up?

 

Думаю можно, модули то разные. Мало ли что вам в ip-up/ip-down/ip-change необходимо выполнять.

Изменено 30 мая, 2014 пользователем Dimka88

[h1vs2]

Судя по документации LinuxISG в соседней ветке - там реализовано по направлениям, через "листы". Может позаимствовать идеи в реализации.

 

П.С : ответ в стиле : "мальчик разберись в теме и поучи матчасть" - тоже принимаются :)

[Abram]

Судя по документации LinuxISG в соседней ветке - там реализовано по направлениям, через "листы". Может позаимствовать идеи в реализации.

 

П.С : ответ в стиле : "мальчик разберись в теме и поучи матчасть" - тоже принимаются :)

Угу, листы, которые хрен поменяешь без перезагрузки демона. Нафик.

[s.lobanov]

Да всё понятно как это делать. Делают же через up/down-скрипты. Нужно это обобщить(чтоб могли многие пользоваться, а не затачивать под чьи-то костыли) и реализовать.

[NiTr0]

Да всё понятно как это делать.

Ну вот у меня отдельное направление - отдельный влан (ибо точка обмена трафиком с эдак 10к префиксов). У кого-то отдельное направление - список подсетей, ибо их мало. Как скрестить ужа с ежом?

[Abram]

Да всё понятно как это делать.

Ну вот у меня отдельное направление - отдельный влан (ибо точка обмена трафиком с эдак 10к префиксов). У кого-то отдельное направление - список подсетей, ибо их мало. Как скрестить ужа с ежом?

Если думать вот таким вот глобальным образом - то в шейпере нужно учитывать только маркировки пакетов (какие, кстати, умеет tc? edit: умеет, google fw flowid). А маркирует пусть каждый себе сам как хочет.

[s.lobanov]

NiTr0

по хедерам и метаданным. вариантов не много в самом деле. главное чётко это сформулировать. я, зная нюансы шедулеров, фильтров и прочего добра оцениваю составление тз где-то в пару рабочих дней чистого времени, но ради just for fun их нет

[Lynx10]

Xeb, вопрос по IPoE , accel работает в режиме L2, клиенту отдаю /30 сеть, на брасе создается vlan с маской /32, возмонжо это как то исправить, чтобы маска была таже что у клиента. Или так задуманно?

ну все таки а почему не использовать аннамберед ? зачем городить огород с /30? люди наоборот рады что есть возможность аннамберед использовать

 

у меня схема следующая:

на лупбеке висит адрес - который является шлюзом для клиентов....

настроено автосоздание вланов но без автоконфигурации - т.е. влан на клиента создается голый без адреса

в этот голый влан аццел крутит адрес по аннамберед /32 ... клиенту отдаю маску большую ... для примера /24

чтобы клиенты могли между собой обмениваться трафиком включен проксиарп....

все работает отлично.

 

а ну и запущен оспф... так как брасов всяких разных есть много ....

эта схема работает для одного блока IP или для нескольких?

для сколько угодно

у меня 5 блоков

[Abram]

Lynx10,

А как же MX80? :)

[Lynx10]

Lynx10,

А как же MX80? :)

все работает и трудится

МХ80 уже не один у него появился брат-близнец:) К слову к МХ - работает хорошо, хлопот не доставляет, особенно на последних прошивках.

 

а accel-ю мы тоже работу нашли и пристроили, тоже работает и не кашляет :)

Схема "влан на юзера" которуя я описал выше у нас вертелась на тесте некоторое время - но в продакшен не запустили,хотя и нареканий не было, а вот с шареным вланом + аннамберед на одном из узлов сейчас тестируем в бою, пока проблем не замечал

[roysbike]

Xeb, вопрос по IPoE , accel работает в режиме L2, клиенту отдаю /30 сеть, на брасе создается vlan с маской /32, возмонжо это как то исправить, чтобы маска была таже что у клиента. Или так задуманно?

ну все таки а почему не использовать аннамберед ? зачем городить огород с /30? люди наоборот рады что есть возможность аннамберед использовать

 

у меня схема следующая:

на лупбеке висит адрес - который является шлюзом для клиентов....

настроено автосоздание вланов но без автоконфигурации - т.е. влан на клиента создается голый без адреса

в этот голый влан аццел крутит адрес по аннамберед /32 ... клиенту отдаю маску большую ... для примера /24

чтобы клиенты могли между собой обмениваться трафиком включен проксиарп....

все работает отлично.

 

а ну и запущен оспф... так как брасов всяких разных есть много ....

эта схема работает для одного блока IP или для нескольких?

для сколько угодно

у меня 5 блоков

Спасибо за идею, попробую. Использовал аннамберед, у меня конфигурилcя IP на vlan, поэтому ospf хавал /32 ip из vlan.

 

pppoe

pppoe

У меня схема такая, border--172.31.0.0/27--ipoe ------ . Белые IP висят на бордоре. NAT 1:1 и раздаю белые. Клиенты в 172.30.0.0/16, Как ospf добавит маршрут, если он не видит ip на интерфейсе?

Изменено 31 мая, 2014 пользователем roysbike

[kayot]

Заводил на днях второй IPOE-сервер, немного пересмотрел при этом логику. Вместо выделенного SQL DHCP-сервера на каждом BRASе будет стоять свой сервер с локальной копией базы.

В связи с чем появилась неожиданная хотелка.

 

Если уж accel умеет быть полноценным DHCP-сервером, возможно ли немного расширить этот функционал?

Сейчас можно работать или релеем, используя внешний DHCP-сервер, или сервером, получая данные от радиуса.

Предложение - добавить в DHCP-режим возможность указывать в качестве источника данных SQL таблицу, или вообще внешний скрипт(тот же lua).

При работе с базой - банальная табличка вида "username - IP/mask"(для совместимости с существующим radius-mode).

Для скрипта - передаем тот же "username", получаем IP/mask. Особого смысла в наличии скрипта нет, но вдруг кому пригодится.

Плюс, параметр "кеширования данных" - запрашивать данные только при старте сесси и в дальнейшем отдавать их(как сейчас работает через радиус), или обновлять их при каждом продлении лизы.

 

Мне такой функционал очень облегчил бы жизнь, нынче приходится держать отдельный sql DHCP сервер, который как бы лишняя сущность и точка отказа.

[roysbike]

Коллеги, такая проблемка , версия 1.8 . Куда исчез шейпер. Хотя радиус отдает. Вот лог

 

ifname |  username   |    calling-sid    |      ip       | rate-limit | type  | comp | state  |  uptime  
--------+-------------+-------------------+---------------+------------+-------+------+--------+----------
ppp0   | varava_see2 | 74:d0:2b:2d:73:38 | 172.30.29.218 |            | pppoe |      | active | 00:03:10 

 

accel-ppp.log

[2014-05-31 18:45:44]:  info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-Compression Van-Jacobson-TCP-IP> <Framed-IP-Address 172.30.29.218> <Framed-IP-Netmask 255.255.255.255> <Acct-Interim-Interval 0> <PPPD-Upstream-Speed-Limit 20480> <PPPD-Downstream-Speed-Limit 20480> <PPPD-Redirect-Attribute 0><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 1><Microsoft MS-MPPE-Encryption-Type 6>]

 

 

root@pppoe1:/run# cat radattr.ppp0
Framed-Protocol PPP
Framed-Compression Van-Jacobson-TCP-IP
Framed-IP-Address 172.30.29.218
Framed-IP-Netmask 255.255.255.255
Acct-Interim-Interval 0
PPPD-Upstream-Speed-Limit 20480
PPPD-Downstream-Speed-Limit 20480
PPPD-Redirect-Attribute 0
MS-CHAP2-Success 01533D31304330434646303432354333363044373235364132453943303233313945364638384444314445
MS-MPPE-Recv-Key A4C7100243B2EC5D4B58C82D129D02CBE9C7FB0A3711D1EFE4A6A5A239259C8807E6
MS-MPPE-Send-Key ABE05AAEFDAB725B056998FE3F1CE6CB919D25863BA4D9050E20DE1DEFAE4B1F51A8
MS-MPPE-Encryption-Policy 1
MS-MPPE-Encryption-Type 6

Изменено 31 мая, 2014 пользователем roysbike

[Abram]

roysbike,

man accel-ppp.conf

[shaper]

This module controls shaper.

 

attr=name

Specifies which radius attribute contains rate information. Default - Filter-ID.

 

attr-up=name

 

attr-down=name

Specifies which radius attributes contains rate information for upstream and downstream respectively.

Т.е. так:

[shaper]
attr-up=PPPD-Upstream-Speed-Limit
attr-down=PPPD-Downstream-Speed-Limit

[roysbike]

roysbike,

man accel-ppp.conf

[shaper]

This module controls shaper.

 

attr=name

Specifies which radius attribute contains rate information. Default - Filter-ID.

 

attr-up=name

 

attr-down=name

Specifies which radius attributes contains rate information for upstream and downstream respectively.

Т.е. так:

[shaper]
attr-up=PPPD-Upstream-Speed-Limit
attr-down=PPPD-Downstream-Speed-Limit

 

Спасибо , забыл добавить после обновления

 

в конфиге PPPoE возмоно ли указать диапазон vlan? ЧТобы не катать 300 строк

[xeb]

в конфиге PPPoE возмоно ли указать диапазон vlan? ЧТобы не катать 300 строк

можно, в виде регулярного выражения

interface=re:xxx

[-Ars-]

можно, в виде регулярного выражения

Эх, если бы еще и пул можно было... ;)

[xeb]

в смысле ?

[-Ars-]

в смысле ?

В смысле - в РРРоЕ на каждый VLAN интерфейс по пулу.

Я так понимаю, что в принципе, это реализуемо через радиус, да и провайдерам, наверное, такая наивная имплементация не интересна, но просто строчка pool в конфиге так и напрашивается рядом с interface=vlan2 ;)

[roysbike]

Пытают настроить ip-unnumbered , настроил для теста vlan2000. Дотянул его до клиента. На lo повесил ip 172.30.0.1/32. Клиенту отдаю IP 172.30.0.230 шлюз 172.30.0.1 маску /24. В логах ругается.

 

 

 

info: vlan2000: recv [RADIUS(1) Access-Accept id=1 <Vendor-Specific > <DHCP-Router-IP-Address 172.30.0.1> <DHCP-Mask 24> <Framed-IP-Address 172.30.0.1> <PPPD-Downstream-Speed-Limit 6000> <PPPD-Upstream-Speed-Limit 6000>]
[2014-06-02 11:05:02]:  info: vlan2000: vlan2000: authentication succeeded
[2014-06-02 11:05:02]: error: vlan2000: can't determine Server-ID
[2014-06-02 11:05:02]:  info: vlan2000: ipoe: session finished

 

 

ipoe]
#ip-unnumbered=1
verbose=5
username=ifname
lease-time=300
max-lease-time=300
shared=0
ifcfg=0
mode=L2
#start=dhcpv4

proxy-arp=0
proto=100

attr-dhcp-client-ip=DHCP-Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-l4-redirect=L4-Redirect
interface=vlan2000

Изменено 2 июня, 2014 пользователем roysbike