NiTr0 Опубликовано 21 июня, 2013 · Жалоба Еще вопрос по IPoE, режим выдачи IP через DHCP сервер когда аксель выступает рилеем: 1) agent-circuit-id/agent-remote-id - использование аналогично username (т.е. можно прикрутить LUA и т.п.)? 2) Каков принцип общения с радиусом в такой конфигурации? Клиент получает по дхцп адрес, далее - он идентифицируется у радиуса c username исходя из конфига? В CID что будет? Framed-IP-Address от радиуса при ответе игнорится? Или радиус вообще не используется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 21 июня, 2013 · Жалоба Еще вопрос по IPoE, режим выдачи IP через DHCP сервер когда аксель выступает рилеем: 1) agent-circuit-id/agent-remote-id - использование аналогично username (т.е. можно прикрутить LUA и т.п.)? 2) Каков принцип общения с радиусом в такой конфигурации? Клиент получает по дхцп адрес, далее - он идентифицируется у радиуса c username исходя из конфига? В CID что будет? Framed-IP-Address от радиуса при ответе игнорится? Или радиус вообще не используется? Я пробовал через релей схему.... в итоге отказался и остановился полностью на радиусе. 1) agent-circuit-id/agent-remote-id транслируются на релей без изменений. username нужен только для radius авторизации. 2) сначала идет радиус авторизация (username=lua.....) , если получен access, то только тогда передается relay. вроде в последних билдах авторизацию на радиусе можно отключить для IPoE: [ipoe] noauth=1 Framed-IP-Address от радиуса уже можно использовать. И даже после последних обновлений, можно только им и ограничится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 21 июня, 2013 · Жалоба Еще вопрос по IPoE, режим выдачи IP через DHCP сервер когда аксель выступает рилеем: 1) agent-circuit-id/agent-remote-id - использование аналогично username (т.е. можно прикрутить LUA и т.п.)? 2) Каков принцип общения с радиусом в такой конфигурации? Клиент получает по дхцп адрес, далее - он идентифицируется у радиуса c username исходя из конфига? В CID что будет? Framed-IP-Address от радиуса при ответе игнорится? Или радиус вообще не используется? 1) Используем в виде релея + perl dhcp. Username можно использовать =ifname, а можно любым образом поизвращаться в lua. У себя с помощью LUA из приходящих bond0.999.2000 вырезаю имя интерфейса, клиенты везде фигурируют в виде svlan.cvlan 2) Радиус используется по прямому назначению - разрешить или запретить старт сессии клиенту. Пробовал использовать опцию noauth - но тогда сессия в радиусе вообще не открывается, аккаунтинг не работает. В итоге используем в радиусе заглушку всегда возвращающую "ok". Первоначально при получении discover от клиента(попытке старта сессии) accel запрашивает у radius разрешение. Если radius вернул ок - запрос релеится на dhcp-сервер. Если с сервером договорились и клиенту выдался ip - стартует внутрення сессия в accel. Username везде - то что вы задали в настройках. Если вы задали работу в виде релея, а не через radius-аттрибуты - Framed-IP-Address игнорируется, я его вообще не выдаю что б мусора меньше было. Пробовал работать без dhcp-сервера, выдавая все что нужно радиусом - работает, но гибкость нулевая. Шаг влево, шаг в право - нужны костыли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 21 июня, 2013 · Жалоба Пробовал работать без dhcp-сервера, выдавая все что нужно радиусом - работает, но гибкость нулевая. Шаг влево, шаг в право - нужны костыли. А можете уточнить в чем "гибкость нулевая" для схемы "только радиус"? У меня как-то противоположное мнение сложилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 21 июня, 2013 · Жалоба Используем в виде релея + perl dhcp. Username можно использовать =ifname, а можно любым образом поизвращаться в lua. У себя с помощью LUA из приходящих bond0.999.2000 вырезаю имя интерфейса, клиенты везде фигурируют в виде svlan.cvlan Я имел ввиду agent-circuit-id/agent-remote-id в дхцп запросе, как на них влиять можно (планирую обойтись без использования вендороспецифичных костыликов типа зоопарка парсеров опции82, заодно - без юзания лишних сущностей дабы меньше огребать багов от железа). Если никак - то радиус мне кажется более гибким решением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 21 июня, 2013 (изменено) · Жалоба NiTr0 Понял, вино мешает внимательно читать :) Как я понял управлять circuit и remote-id нельзя, remote в конфиге прописывается, circuit - передается ifname. Попытка использовать радиус для выдачи адресов заглохла на припинывании должников/неклиентов и выдаче адресов из разных блоков. Необходимое количество костылей для реализации всех хотелок оказалось значительно больше, чем нужное количество правок в dhcp-сервере. p.s. перепроверил - в agent-circuit-id всегда передает ifname, была мыль что уже обработанный username туда отправляется. Изменено 21 июня, 2013 пользователем kayot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 21 июня, 2013 · Жалоба Вспомнил главную претензию к выдаче адресов радиусом. Оно ж запрашивается однократно, при старте сессии. Дальше 'оборвать' сессию должнику или выдать другой IP клиенту можно только с помощью COA, с dhcp-relay и короткой лизой это куда проще делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 22 июня, 2013 · Жалоба в ipoe добавлена опция proxy-arp, подробности на вике Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 22 июня, 2013 (изменено) · Жалоба в ipoe добавлена опция proxy-arp, подробности на вике Спасибо xeb за реализацию prox-arp. Установил и откатился сразу назад - пошло повально "port change detected" с закрытием сессий. Детально почему не разбирался еще - буду на стенде смотреть. На самом интерфейсе настройка prox-arp не была еще прописана. [2013-06-22 23:28:31]: info: : recv [DHCPv4 Discover xid=ee89b9ae chaddr=00:0c:42:3e:5e:d5 <Message-Type Discover> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>] [2013-06-22 23:28:31]: info: sw008: send [RADIUS(1) Access-Request id=1 <User-Name "sw008:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.118.19> <NAS-Port 12> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:0c:42:3e:5e:d5"> <Called-Station-Id "sw008"> <User-Password >] [2013-06-22 23:28:31]: info: sw008: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Framed-IP-Address 192.168.118.226> <PPPD-Downstream-Speed-Limit 70000> <PPPD-Upstream-Speed-Limit 10000>] [2013-06-22 23:28:31]: info: sw008.ipoe1: send [DHCPv4 Offer xid=ee89b9ae yiaddr=192.168.118.226 siaddr=192.168.118.19 chaddr=00:0c:42:3e:5e:d5 <Message-Type Offer> <Server-ID 192.168.118.19> <Lease-Time 300> <Router 192.168.118.19> <Subnet 255.255.255.0> <DNS 192.168.118.4,8.8.8.8>] [2013-06-22 23:28:31]: info: recv [DHCPv4 Request xid=ee89b9ae chaddr=00:0c:42:3e:5e:d5 <Message-Type Request> <Server-ID 192.168.118.19> <Request-IP 192.168.118.226> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>] [2013-06-22 23:28:31]: warn: sw008.ipoe1: port change detected [2013-06-22 23:28:31]: info: send [DHCPv4 Nak xid=ee89b9ae chaddr=00:0c:42:3e:5e:d5 <Message-Type Nak>] [2013-06-22 23:28:31]: debug: sw008.ipoe1: terminate [2013-06-22 23:28:31]: info: sw008.ipoe1: ipoe: session finished [2013-06-22 23:28:32]: info: : recv [DHCPv4 Discover xid=a8a82116 chaddr=00:0c:42:3e:5e:d5 <Message-Type Discover> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>] [2013-06-22 23:28:32]: info: sw008: send [RADIUS(1) Access-Request id=1 <User-Name "sw008:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.118.19> <NAS-Port 12> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:0c:42:3e:5e:d5"> <Called-Station-Id "sw008"> <User-Password >] [2013-06-22 23:28:32]: info: sw008: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Framed-IP-Address 192.168.118.226> <PPPD-Downstream-Speed-Limit 70000> <PPPD-Upstream-Speed-Limit 10000>] [2013-06-22 23:28:32]: info: sw008.ipoe1: send [DHCPv4 Offer xid=a8a82116 yiaddr=192.168.118.226 siaddr=192.168.118.19 chaddr=00:0c:42:3e:5e:d5 <Message-Type Offer> <Server-ID 192.168.118.19> <Lease-Time 300> <Router 192.168.118.19> <Subnet 255.255.255.0> <DNS 192.168.118.4,8.8.8.8>] [2013-06-22 23:28:32]: info: recv [DHCPv4 Request xid=a8a82116 chaddr=00:0c:42:3e:5e:d5 <Message-Type Request> <Server-ID 192.168.118.19> <Request-IP 192.168.118.226> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>] [2013-06-22 23:28:32]: warn: sw008.ipoe1: port change detected [2013-06-22 23:28:32]: info: send [DHCPv4 Nak xid=a8a82116 chaddr=00:0c:42:3e:5e:d5 <Message-Type Nak>] [2013-06-22 23:28:32]: debug: sw008.ipoe1: terminate [2013-06-22 23:28:32]: info: sw008.ipoe1: ipoe: session finished [2013-06-22 23:28:33]: info: sw008: recv [DHCPv4 Discover xid=3e68fc12 chaddr=00:0c:42:3e:5e:d5 <Message-Type Discover> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>] [2013-06-22 23:28:33]: info: sw008: send [RADIUS(1) Access-Request id=1 <User-Name "sw008:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.118.19> <NAS-Port 12> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:0c:42:3e:5e:d5"> <Called-Station-Id "sw008"> <User-Password >] [2013-06-22 23:28:33]: info: sw008: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Framed-IP-Address 192.168.118.226> <PPPD-Downstream-Speed-Limit 70000> <PPPD-Upstream-Speed-Limit 10000>] [2013-06-22 23:28:33]: info: sw008.ipoe1: send [DHCPv4 Offer xid=3e68fc12 yiaddr=192.168.118.226 siaddr=192.168.118.19 chaddr=00:0c:42:3e:5e:d5 <Message-Type Offer> <Server-ID 192.168.118.19> <Lease-Time 300> <Router 192.168.118.19> <Subnet 255.255.255.0> <DNS 192.168.118.4,8.8.8.8>] [2013-06-22 23:28:33]: info: recv [DHCPv4 Request xid=3e68fc12 chaddr=00:0c:42:3e:5e:d5 <Message-Type Request> <Server-ID 192.168.118.19> <Request-IP 192.168.118.226> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>] [2013-06-22 23:28:33]: warn: sw008.ipoe1: port change detected [2013-06-22 23:28:33]: info: send [DHCPv4 Nak xid=3e68fc12 chaddr=00:0c:42:3e:5e:d5 <Message-Type Nak>] [2013-06-22 23:28:33]: debug: sw008.ipoe1: terminate Update: Проверка на стенде показала, что на первый же "DHCPv4 Request" сессии срабатывает "port change detected". Изменено 22 июня, 2013 пользователем nik247 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 23 июня, 2013 · Жалоба исправил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 23 июня, 2013 · Жалоба Не понял по хелпу что дает этот хитрый proxy-arp. Можно в 3 словах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 июня, 2013 · Жалоба Эм... немного не понял суть этого действа: 5. если найдена, то если proxy-arp=1 - accel-ppp не отвечает, если proxy-arp=2, то accel-ppp отвечает мак адресом заргестированной сессии Ну хорошо, есть клиент 1 с маком А, есть клиент 2 с маком В, в разных физических сегментах, есть шлюз с маком С. Итого, при арп запросе клиента 1 адреса клиента 2 - имеем, что аксель радостно рапортует маком В. Вопрос: куда пойдет трафик? И попутно еще один вопрос: допустим, клиент поставил у себя мыльницу. Мыльница подвисла/на ней появился флудящий порт. Итог - пришедший арп запрос (от браса) мыльница отправит обратно же. Предусмотрена защита от такой ситуации (игнор акселем арп запросов от себя любимого)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 23 июня, 2013 (изменено) · Жалоба исправил Обновил - почти тоже самое с "port change detected": [2013-06-23 20:57:10]: info: eth1.40: recv [DHCPv4 Discover xid=bbddf0e2 chaddr=08:00:27:87:d5:a4 <Message-Type Discover> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>] [2013-06-23 20:57:10]: info: eth1.40: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 5> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <User-Password >] [2013-06-23 20:57:10]: info: eth1.40: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 60> <Framed-IP-Address 192.168.237.109> <PPPD-Downstream-Speed-Limit 20000> <PPPD-Upstream-Speed-Limit 20000> <Session-Timeout 604800> <Framed-Compression Van-Jacobson-TCP-IP>] [2013-06-23 20:57:10]: info: eth1.40.ipoe0: send [DHCPv4 Offer xid=bbddf0e2 yiaddr=192.168.237.109 siaddr=192.168.237.1 chaddr=08:00:27:87:d5:a4 <Message-Type Offer> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>] [2013-06-23 20:57:10]: info: eth1.40.ipoe0: recv [DHCPv4 Request xid=bbddf0e2 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Server-ID 192.168.237.1> <Request-IP 192.168.237.109> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>] [2013-06-23 20:57:10]: info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 86> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f3"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109>] [2013-06-23 20:57:10]: info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1] [2013-06-23 20:57:10]: info: eth1.40.ipoe0: shaper: installed shaper 20000/20000 (Kbit) [2013-06-23 20:57:10]: info: eth1.40.ipoe0: ipoe: session started [2013-06-23 20:57:10]: info: eth1.40.ipoe0: pppd_compat: ip-up started (pid 7950) [2013-06-23 20:57:10]: info: eth1.40.ipoe0: send [DHCPv4 Ack xid=bbddf0e2 yiaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Ack> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>] [2013-06-23 20:57:10]: info: eth1.40.ipoe0: pppd_compat: ip-up finished (0) [2013-06-23 20:57:40]: info: recv [DHCPv4 Request xid=bbddf0e2 ciaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>] [2013-06-23 20:57:40]: info: eth1.40.ipoe0: port change detected [2013-06-23 20:57:40]: info: send [DHCPv4 Nak xid=bbddf0e2 chaddr=08:00:27:87:d5:a4 <Message-Type Nak>] [2013-06-23 20:57:40]: debug: eth1.40.ipoe0: terminate [2013-06-23 20:57:40]: info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 86> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f3"> <Acct-Session-Time 30> <Acct-Input-Octets 328> <Acct-Output-Octets 272> <Acct-Input-Packets 1> <Acct-Output-Packets 1> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109> <Acct-Terminate-Cause User-Request>] [2013-06-23 20:57:40]: info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1] [2013-06-23 20:57:40]: info: eth1.40.ipoe0: pppd_compat: ip-down started (pid 8032) [2013-06-23 20:57:40]: info: eth1.40.ipoe0: pppd_compat: ip-down finished (0) [2013-06-23 20:57:40]: info: eth1.40.ipoe0: ipoe: session finished [2013-06-23 20:57:41]: info: eth1.40: recv [DHCPv4 Discover xid=86b694ed chaddr=08:00:27:87:d5:a4 <Message-Type Discover> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>] [2013-06-23 20:57:41]: info: eth1.40: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 5> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <User-Password >] [2013-06-23 20:57:41]: info: eth1.40: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 60> <Framed-IP-Address 192.168.237.109> <PPPD-Downstream-Speed-Limit 20000> <PPPD-Upstream-Speed-Limit 20000> <Session-Timeout 604800> <Framed-Compression Van-Jacobson-TCP-IP>] [2013-06-23 20:57:41]: info: eth1.40.ipoe0: send [DHCPv4 Offer xid=86b694ed yiaddr=192.168.237.109 siaddr=192.168.237.1 chaddr=08:00:27:87:d5:a4 <Message-Type Offer> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>] [2013-06-23 20:57:41]: info: eth1.40.ipoe0: recv [DHCPv4 Request xid=86b694ed chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Server-ID 192.168.237.1> <Request-IP 192.168.237.109> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>] [2013-06-23 20:57:41]: info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 87> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f4"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109>] [2013-06-23 20:57:41]: info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1] [2013-06-23 20:57:41]: info: eth1.40.ipoe0: shaper: installed shaper 20000/20000 (Kbit) [2013-06-23 20:57:41]: info: eth1.40.ipoe0: ipoe: session started [2013-06-23 20:57:41]: info: eth1.40.ipoe0: pppd_compat: ip-up started (pid 8052) [2013-06-23 20:57:41]: info: eth1.40.ipoe0: send [DHCPv4 Ack xid=86b694ed yiaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Ack> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>] [2013-06-23 20:57:41]: info: eth1.40.ipoe0: pppd_compat: ip-up finished (0) [2013-06-23 20:58:11]: info: recv [DHCPv4 Request xid=86b694ed ciaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>] [2013-06-23 20:58:11]: info: eth1.40.ipoe0: port change detected [2013-06-23 20:58:11]: info: send [DHCPv4 Nak xid=86b694ed chaddr=08:00:27:87:d5:a4 <Message-Type Nak>] [2013-06-23 20:58:11]: debug: eth1.40.ipoe0: terminate [2013-06-23 20:58:11]: info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 87> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f4"> <Acct-Session-Time 30> <Acct-Input-Octets 328> <Acct-Output-Octets 272> <Acct-Input-Packets 1> <Acct-Output-Packets 1> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109> <Acct-Terminate-Cause User-Request>] [2013-06-23 20:58:11]: info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1] [2013-06-23 20:58:11]: info: eth1.40.ipoe0: pppd_compat: ip-down started (pid 8101) [2013-06-23 20:58:11]: info: eth1.40.ipoe0: pppd_compat: ip-down finished (0) [2013-06-23 20:58:11]: info: eth1.40.ipoe0: ipoe: session finished По поводу proxy-arp: proxy-arp=0 - работает, как раньше - нет обработки arp запросов. proxy-arp=1 и proxy-arp=2 - работают одинаково - arp-replay MAC gateway. с arp-gratuitous еще пока не проверял. Изменено 23 июня, 2013 пользователем nik247 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 23 июня, 2013 · Жалоба Не понял по хелпу что дает этот хитрый proxy-arp. Можно в 3 словах? В некоторых случаях для нормальной работы IPoE надо включать proxy-arp на интерфейсах. И вот здесь возникает проблема с arp-gratuitous запросами (после получения IP некоторые клиенты посылают arp запрос вида: "какой MAC у моего IP?" и соответственно получают MAC шлюза (proxy-arp) и вываливаются после этого с ошибкой, что такой IP занят - и так по кругу.... Вот xeb и взялся за решение этого вопроса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 июня, 2013 · Жалоба А, это arp-gratuitous только касается... Тогда понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 23 июня, 2013 · Жалоба Понял. Встречал такую проблему у себя. Некоторые винды не могут серые адреса получить(для белых арп-проверки нет в принципе, для серых - есть), решили 1 правилом в arp_tables вида whohas 10.хх/192.хх - deny. В принципе если будет рабочая опция для accel - будет хорошо, если не будет - тоже не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 23 июня, 2013 · Жалоба Понял. Встречал такую проблему у себя. Некоторые винды не могут серые адреса получить(для белых арп-проверки нет в принципе, для серых - есть) У меня винды слали arp-gratuitous на любые IP (и серые и белые)..... решили 1 правилом в arp_tables вида whohas 10.хх/192.хх - deny.В принципе если будет рабочая опция для accel - будет хорошо, если не будет - тоже не проблема. А можно поподробнее о решении с arp_tables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 23 июня, 2013 · Жалоба А можно поподробнее о решении с arp_tables? [0:0] -A IN -d 10.12.0.0/16 -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP [0:0] -A IN -d 172.16.0.0/12 -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP Тупой запрет для arp на всех клиентских интерфейсах от должников(10.хх) и неклиентов(172.хх). Клиентам выдаются белые адреса, с ними у тех же машин чудес нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 23 июня, 2013 · Жалоба А можно поподробнее о решении с arp_tables? [0:0] -A IN -d 10.12.0.0/16 -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP [0:0] -A IN -d 172.16.0.0/12 -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP Тупой запрет для arp на всех клиентских интерфейсах от должников(10.хх) и неклиентов(172.хх). Клиентам выдаются белые адреса, с ними у тех же машин чудес нет. Спасибо - попробую еще и так. А вот реальный запрос arp-gratuitous с тестов с белым IP с включенным proxy-arp: 00:19:23.432276 ARP, Request who-has 193.24.217.112 tell 193.24.217.112, length 46 00:19:23.591913 ARP, Reply 193.24.217.112 is-at 00:04:23:ba:07:99, length 28 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KSS_DIGGER Опубликовано 24 июня, 2013 (изменено) · Жалоба Был вопрос про "Release DHCP lease on Windows shutdown" К ответу DHCP сервера добавляем: DHO_VENDOR_ENCAPSULATED_OPTIONS со значением: "\x01\x04\x00\x00\x00\x02\x02\x04\x00\x00\x00\x01\xff" Подробнее: http://msdn.microsoft.com/en-us/library/cc227278.aspx http://technet.microsoft.com/en-us/library/cc977398.aspx P.S. на WindowsXP SP3 не смог заставить работать. (приеду с отпуска и продолжу подчитывать инфу) Изменено 24 июня, 2013 пользователем KSS_DIGGER Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Safronov Опубликовано 2 июля, 2013 · Жалоба А есть ещё здесь такие же центософилы как я? Есть ощущение, что в каком-то из относительно недавних ядер появились проблемы с tbf. Позавчера ребутнули наконец сервер и загрузилось новое ядро, теперь шейпер режет как попало. Если менять на htb, то всё нормально, но он как-то дольше раскачивается, чем tbf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gibbon Опубликовано 2 июля, 2013 · Жалоба Стоит centos с последним ядром, используется как htb так и tbf. Вроде никто не жаловался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Safronov Опубликовано 11 июля, 2013 · Жалоба Помогите, пожалуйста, решить внезапную проблему. За последнюю неделю сервер внезапно зависал уже три раза. В разное время, не в ЧНН. Раньше похожие проблемы были из-за ситуаций. когда абонент подключается с адреса, маршрут до которого должен идти через туннель (мы не можем использовать опцию указания диапазона клиентских адресов, чтобы избежать этого, но закрыли на файрволе и с тех пор именно эта ситуация больше не повторялась). Я пытался проанализировать логи акцела, чтобы провести аналогии, может быть найти "клиента-убийцу", но каждый раз ничего общего. Ещё я заметил, что судя по логам, акцел виснет раньше всей системы секунд на 15-20. Это хорошо видно, если сравнивать логи акцела с логами других демонов, типа оспфд или дхцп, которые тоже пишут очень часто. Перед тем как начались проблемы, мы сделали ряд изменений: поставили другой процессор, новую сетевую на 82576-м чипе, перевели старых pptp-пользователей, висевших на цысках, на акцел, сменили шейпер с tbf на htb и поменяли acct-timeout у радиуса на 0. Вроде всё. С учётом летнего спада активности получилось, что сейчас на сервере примерно столько же сессий. сколько было до изменений, то есть в пределах 400-500. Ума не приложу, с чего начать разматывать этот клубок, как понять что весит сервер и как этого избежать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 11 июля, 2013 · Жалоба Для начала попробуйте откатиться на старый конфиг железа. Дабы исключить проблемы с железом или несовместимостью (типа проц более другого степпинга или на другом ядре не совсем корректно инициализируется зашитым в мать биосом). И да логи перед висом в студию какбы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergioB Опубликовано 11 июля, 2013 · Жалоба Есть ли какое-то ограничение на количество пользователей в режиме ipoe? После 700 пользователей начинаются проблемы, виртуальные интерфейсы перестают создаваться, в логах такая ошибка: [2013-07-11 17:51:08]: error: libnetlink: RTNETLINK answers: Cannot allocate memory [2013-07-11 17:51:08]: error: : ipoe: nl_create: error talking to kernel [2013-07-11 17:51:08]: error: : ipoe: missing IPOE_ATTR_IFINDEX attribute [2013-07-11 17:51:08]: error: : ipoe: failed to create interface Конфиг: [modules] log_file ipoe radius ippool shaper [core] log-error=/var/log/accel-ppp/core.log thread-count=4 [ipoe] verbose=5 username=ifname interface=eth0 shared=1 mode=L3 start=up ifcfg=0 local-net=192.168.0.0/16 [radius] dictionary=/usr/local/share/accel-ppp/radius/dictionary nas-identifier=accel-ppp nas-ip-address=127.0.0.1 server=127.0.0.1,testing123,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0 verbose=5 [client-ip-range] 192.168.0.0/16 [ip-pool] gw-ip-address=10.0.0.1 10.0.0.3-255 10.0.1.0-255 10.0.2.0-255 10.0.3.0-255 10.0.4.0-255 10.0.5.0-255 10.0.6.0-255 10.0.7.0-255 10.0.8.0-255 10.0.9.0-255 10.0.10.0-255 10.0.11.0-255 10.0.12.0-255 10.0.13.0-255 10.0.14.0-255 10.0.15.0-255 10.0.16.0-255 10.0.17.0-255 10.0.18.0-255 10.0.19.0-255 10.0.20.0-255 10.0.21.0-255 10.0.22.0-255 10.0.23.0-255 10.0.24.0-255 10.0.25.0-255 10.0.26.0-255 10.0.27.0-255 10.0.28.0-255 10.0.29.0-255 10.0.30.0-255 10.0.31.0-255 10.0.32.0-255 10.0.33.0-255 10.0.34.0-255 10.0.35.0-255 10.0.36.0-255 10.0.37.0-255 10.0.38.0-255 10.0.39.0-18 [log] log-file=/var/log/accel-ppp/accel-ppp.log log-emerg=/var/log/accel-ppp/emerg.log log-fail-file=/var/log/accel-ppp/auth-fail.log copy=1 level=3 [pppd-compat] #ip-pre-up=/etc/ppp/ip-pre-up ip-up=/etc/ppp/ip-up ip-down=/etc/ppp/ip-down ip-change=/etc/ppp/ip-change radattr-prefix=/var/run/radattr verbose=1 [shaper] vendor=Cisco attr=Cisco-AVPair verbose=5 [cli] telnet=127.0.0.1:2000 tcp=127.0.0.1:2001 #password=123 [snmp] master=0 agent-name=accel-ppp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...