[NiTr0]

Еще вопрос по IPoE, режим выдачи IP через DHCP сервер когда аксель выступает рилеем:

1) agent-circuit-id/agent-remote-id - использование аналогично username (т.е. можно прикрутить LUA и т.п.)?

2) Каков принцип общения с радиусом в такой конфигурации? Клиент получает по дхцп адрес, далее - он идентифицируется у радиуса c username исходя из конфига? В CID что будет? Framed-IP-Address от радиуса при ответе игнорится? Или радиус вообще не используется?

[nik247]

Еще вопрос по IPoE, режим выдачи IP через DHCP сервер когда аксель выступает рилеем:

1) agent-circuit-id/agent-remote-id - использование аналогично username (т.е. можно прикрутить LUA и т.п.)?

2) Каков принцип общения с радиусом в такой конфигурации? Клиент получает по дхцп адрес, далее - он идентифицируется у радиуса c username исходя из конфига? В CID что будет? Framed-IP-Address от радиуса при ответе игнорится? Или радиус вообще не используется?

Я пробовал через релей схему.... в итоге отказался и остановился полностью на радиусе.

1) agent-circuit-id/agent-remote-id транслируются на релей без изменений. username нужен только для radius авторизации.

2) сначала идет радиус авторизация (username=lua.....) , если получен access, то только тогда передается relay.

вроде в последних билдах авторизацию на радиусе можно отключить для IPoE:

[ipoe] 
noauth=1

Framed-IP-Address от радиуса уже можно использовать. И даже после последних обновлений, можно только им и ограничится.

[kayot]

Еще вопрос по IPoE, режим выдачи IP через DHCP сервер когда аксель выступает рилеем:

1) agent-circuit-id/agent-remote-id - использование аналогично username (т.е. можно прикрутить LUA и т.п.)?

2) Каков принцип общения с радиусом в такой конфигурации? Клиент получает по дхцп адрес, далее - он идентифицируется у радиуса c username исходя из конфига? В CID что будет? Framed-IP-Address от радиуса при ответе игнорится? Или радиус вообще не используется?

1) Используем в виде релея + perl dhcp. Username можно использовать =ifname, а можно любым образом поизвращаться в lua. У себя с помощью LUA из приходящих bond0.999.2000 вырезаю имя интерфейса, клиенты везде фигурируют в виде svlan.cvlan

2) Радиус используется по прямому назначению - разрешить или запретить старт сессии клиенту. Пробовал использовать опцию noauth - но тогда сессия в радиусе вообще не открывается, аккаунтинг не работает.

В итоге используем в радиусе заглушку всегда возвращающую "ok".

Первоначально при получении discover от клиента(попытке старта сессии) accel запрашивает у radius разрешение.

Если radius вернул ок - запрос релеится на dhcp-сервер. Если с сервером договорились и клиенту выдался ip - стартует внутрення сессия в accel.

Username везде - то что вы задали в настройках.

Если вы задали работу в виде релея, а не через radius-аттрибуты - Framed-IP-Address игнорируется, я его вообще не выдаю что б мусора меньше было.

 

Пробовал работать без dhcp-сервера, выдавая все что нужно радиусом - работает, но гибкость нулевая. Шаг влево, шаг в право - нужны костыли.

[nik247]

Пробовал работать без dhcp-сервера, выдавая все что нужно радиусом - работает, но гибкость нулевая. Шаг влево, шаг в право - нужны костыли.

А можете уточнить в чем "гибкость нулевая" для схемы "только радиус"?

У меня как-то противоположное мнение сложилось.

[NiTr0]

Используем в виде релея + perl dhcp. Username можно использовать =ifname, а можно любым образом поизвращаться в lua. У себя с помощью LUA из приходящих bond0.999.2000 вырезаю имя интерфейса, клиенты везде фигурируют в виде svlan.cvlan

Я имел ввиду agent-circuit-id/agent-remote-id в дхцп запросе, как на них влиять можно (планирую обойтись без использования вендороспецифичных костыликов типа зоопарка парсеров опции82, заодно - без юзания лишних сущностей дабы меньше огребать багов от железа).

 

Если никак - то радиус мне кажется более гибким решением.

[kayot]

NiTr0

Понял, вино мешает внимательно читать :)

Как я понял управлять circuit и remote-id нельзя, remote в конфиге прописывается, circuit - передается ifname.

 

Попытка использовать радиус для выдачи адресов заглохла на припинывании должников/неклиентов и выдаче адресов из разных блоков.

Необходимое количество костылей для реализации всех хотелок оказалось значительно больше, чем нужное количество правок в dhcp-сервере.

 

p.s. перепроверил - в agent-circuit-id всегда передает ifname, была мыль что уже обработанный username туда отправляется.

Изменено 21 июня, 2013 пользователем kayot

[kayot]

Вспомнил главную претензию к выдаче адресов радиусом. Оно ж запрашивается однократно, при старте сессии. Дальше 'оборвать' сессию должнику или выдать другой IP клиенту можно только с помощью COA, с dhcp-relay и короткой лизой это куда проще делать.

[xeb]

в ipoe добавлена опция proxy-arp, подробности на вике

[nik247]

в ipoe добавлена опция proxy-arp, подробности на вике

Спасибо xeb за реализацию prox-arp.

Установил и откатился сразу назад - пошло повально "port change detected" с закрытием сессий.

Детально почему не разбирался еще - буду на стенде смотреть.

На самом интерфейсе настройка prox-arp не была еще прописана.

 

[2013-06-22 23:28:31]:  info: : recv [DHCPv4 Discover xid=ee89b9ae chaddr=00:0c:42:3e:5e:d5 <Message-Type Discover> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>]
[2013-06-22 23:28:31]:  info: sw008: send [RADIUS(1) Access-Request id=1 <User-Name "sw008:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.118.19> <NAS-Port 12> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:0c:42:3e:5e:d5"> <Called-Station-Id "sw008"> <User-Password >]
[2013-06-22 23:28:31]:  info: sw008: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Framed-IP-Address 192.168.118.226> <PPPD-Downstream-Speed-Limit 70000> <PPPD-Upstream-Speed-Limit 10000>]
[2013-06-22 23:28:31]:  info: sw008.ipoe1: send [DHCPv4 Offer xid=ee89b9ae yiaddr=192.168.118.226 siaddr=192.168.118.19 chaddr=00:0c:42:3e:5e:d5 <Message-Type Offer> <Server-ID 192.168.118.19> <Lease-Time 300> <Router 192.168.118.19> <Subnet 255.255.255.0> <DNS 192.168.118.4,8.8.8.8>]
[2013-06-22 23:28:31]:  info: recv [DHCPv4 Request xid=ee89b9ae chaddr=00:0c:42:3e:5e:d5 <Message-Type Request> <Server-ID 192.168.118.19> <Request-IP 192.168.118.226> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>]
[2013-06-22 23:28:31]:  warn: sw008.ipoe1: port change detected
[2013-06-22 23:28:31]:  info: send [DHCPv4 Nak xid=ee89b9ae chaddr=00:0c:42:3e:5e:d5 <Message-Type Nak>]
[2013-06-22 23:28:31]: debug: sw008.ipoe1: terminate
[2013-06-22 23:28:31]:  info: sw008.ipoe1: ipoe: session finished
[2013-06-22 23:28:32]:  info: : recv [DHCPv4 Discover xid=a8a82116 chaddr=00:0c:42:3e:5e:d5 <Message-Type Discover> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>]
[2013-06-22 23:28:32]:  info: sw008: send [RADIUS(1) Access-Request id=1 <User-Name "sw008:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.118.19> <NAS-Port 12> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:0c:42:3e:5e:d5"> <Called-Station-Id "sw008"> <User-Password >]
[2013-06-22 23:28:32]:  info: sw008: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Framed-IP-Address 192.168.118.226> <PPPD-Downstream-Speed-Limit 70000> <PPPD-Upstream-Speed-Limit 10000>]
[2013-06-22 23:28:32]:  info: sw008.ipoe1: send [DHCPv4 Offer xid=a8a82116 yiaddr=192.168.118.226 siaddr=192.168.118.19 chaddr=00:0c:42:3e:5e:d5 <Message-Type Offer> <Server-ID 192.168.118.19> <Lease-Time 300> <Router 192.168.118.19> <Subnet 255.255.255.0> <DNS 192.168.118.4,8.8.8.8>]
[2013-06-22 23:28:32]:  info: recv [DHCPv4 Request xid=a8a82116 chaddr=00:0c:42:3e:5e:d5 <Message-Type Request> <Server-ID 192.168.118.19> <Request-IP 192.168.118.226> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>]
[2013-06-22 23:28:32]:  warn: sw008.ipoe1: port change detected
[2013-06-22 23:28:32]:  info: send [DHCPv4 Nak xid=a8a82116 chaddr=00:0c:42:3e:5e:d5 <Message-Type Nak>]
[2013-06-22 23:28:32]: debug: sw008.ipoe1: terminate
[2013-06-22 23:28:32]:  info: sw008.ipoe1: ipoe: session finished
[2013-06-22 23:28:33]:  info: sw008: recv [DHCPv4 Discover xid=3e68fc12 chaddr=00:0c:42:3e:5e:d5 <Message-Type Discover> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>]
[2013-06-22 23:28:33]:  info: sw008: send [RADIUS(1) Access-Request id=1 <User-Name "sw008:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.118.19> <NAS-Port 12> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:0c:42:3e:5e:d5"> <Called-Station-Id "sw008"> <User-Password >]
[2013-06-22 23:28:33]:  info: sw008: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 300> <Framed-IP-Address 192.168.118.226> <PPPD-Downstream-Speed-Limit 70000> <PPPD-Upstream-Speed-Limit 10000>]
[2013-06-22 23:28:33]:  info: sw008.ipoe1: send [DHCPv4 Offer xid=3e68fc12 yiaddr=192.168.118.226 siaddr=192.168.118.19 chaddr=00:0c:42:3e:5e:d5 <Message-Type Offer> <Server-ID 192.168.118.19> <Lease-Time 300> <Router 192.168.118.19> <Subnet 255.255.255.0> <DNS 192.168.118.4,8.8.8.8>]
[2013-06-22 23:28:33]:  info: recv [DHCPv4 Request xid=3e68fc12 chaddr=00:0c:42:3e:5e:d5 <Message-Type Request> <Server-ID 192.168.118.19> <Request-IP 192.168.118.226> <Client-ID 01000c423e5ed5> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name Inters2> <Relay-Agent {Agent-Circuit-ID _000400080009} {Agent-Remote-ID _01057377303038}>]
[2013-06-22 23:28:33]:  warn: sw008.ipoe1: port change detected
[2013-06-22 23:28:33]:  info: send [DHCPv4 Nak xid=3e68fc12 chaddr=00:0c:42:3e:5e:d5 <Message-Type Nak>]
[2013-06-22 23:28:33]: debug: sw008.ipoe1: terminate

 

Update: Проверка на стенде показала, что на первый же "DHCPv4 Request" сессии срабатывает "port change detected".

Изменено 22 июня, 2013 пользователем nik247

[xeb]

исправил

[kayot]

Не понял по хелпу что дает этот хитрый proxy-arp. Можно в 3 словах?

[NiTr0]

Эм... немного не понял суть этого действа:

5. если найдена, то если proxy-arp=1 - accel-ppp не отвечает, если proxy-arp=2, то accel-ppp отвечает мак адресом заргестированной сессии

Ну хорошо, есть клиент 1 с маком А, есть клиент 2 с маком В, в разных физических сегментах, есть шлюз с маком С.

Итого, при арп запросе клиента 1 адреса клиента 2 - имеем, что аксель радостно рапортует маком В.

Вопрос: куда пойдет трафик?

 

И попутно еще один вопрос: допустим, клиент поставил у себя мыльницу. Мыльница подвисла/на ней появился флудящий порт. Итог - пришедший арп запрос (от браса) мыльница отправит обратно же. Предусмотрена защита от такой ситуации (игнор акселем арп запросов от себя любимого)?

[nik247]

исправил

Обновил - почти тоже самое с "port change detected":

 

[2013-06-23 20:57:10]:  info: eth1.40: recv [DHCPv4 Discover xid=bbddf0e2 chaddr=08:00:27:87:d5:a4 <Message-Type Discover> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>]
[2013-06-23 20:57:10]:  info: eth1.40: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 5> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <User-Password >]
[2013-06-23 20:57:10]:  info: eth1.40: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 60> <Framed-IP-Address 192.168.237.109> <PPPD-Downstream-Speed-Limit 20000> <PPPD-Upstream-Speed-Limit 20000> <Session-Timeout 604800> <Framed-Compression Van-Jacobson-TCP-IP>]
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: send [DHCPv4 Offer xid=bbddf0e2 yiaddr=192.168.237.109 siaddr=192.168.237.1 chaddr=08:00:27:87:d5:a4 <Message-Type Offer> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>]
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: recv [DHCPv4 Request xid=bbddf0e2 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Server-ID 192.168.237.1> <Request-IP 192.168.237.109> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>]
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 86> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f3"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109>]
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1]
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: shaper: installed shaper 20000/20000 (Kbit)
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: ipoe: session started
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: pppd_compat: ip-up started (pid 7950)
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: send [DHCPv4 Ack xid=bbddf0e2 yiaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Ack> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>]
[2013-06-23 20:57:10]:  info: eth1.40.ipoe0: pppd_compat: ip-up finished (0)
[2013-06-23 20:57:40]:  info: recv [DHCPv4 Request xid=bbddf0e2 ciaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>]
[2013-06-23 20:57:40]:  info: eth1.40.ipoe0: port change detected
[2013-06-23 20:57:40]:  info: send [DHCPv4 Nak xid=bbddf0e2 chaddr=08:00:27:87:d5:a4 <Message-Type Nak>]
[2013-06-23 20:57:40]: debug: eth1.40.ipoe0: terminate
[2013-06-23 20:57:40]:  info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 86> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f3"> <Acct-Session-Time 30> <Acct-Input-Octets 328> <Acct-Output-Octets 272> <Acct-Input-Packets 1> <Acct-Output-Packets 1> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109> <Acct-Terminate-Cause User-Request>]
[2013-06-23 20:57:40]:  info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1]
[2013-06-23 20:57:40]:  info: eth1.40.ipoe0: pppd_compat: ip-down started (pid 8032)
[2013-06-23 20:57:40]:  info: eth1.40.ipoe0: pppd_compat: ip-down finished (0)
[2013-06-23 20:57:40]:  info: eth1.40.ipoe0: ipoe: session finished
[2013-06-23 20:57:41]:  info: eth1.40: recv [DHCPv4 Discover xid=86b694ed chaddr=08:00:27:87:d5:a4 <Message-Type Discover> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>]
[2013-06-23 20:57:41]:  info: eth1.40: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 5> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <User-Password >]
[2013-06-23 20:57:41]:  info: eth1.40: recv [RADIUS(1) Access-Accept id=1 <Acct-Interim-Interval 60> <Framed-IP-Address 192.168.237.109> <PPPD-Downstream-Speed-Limit 20000> <PPPD-Upstream-Speed-Limit 20000> <Session-Timeout 604800> <Framed-Compression Van-Jacobson-TCP-IP>]
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: send [DHCPv4 Offer xid=86b694ed yiaddr=192.168.237.109 siaddr=192.168.237.1 chaddr=08:00:27:87:d5:a4 <Message-Type Offer> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>]
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: recv [DHCPv4 Request xid=86b694ed chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Server-ID 192.168.237.1> <Request-IP 192.168.237.109> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>]
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 87> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f4"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109>]
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1]
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: shaper: installed shaper 20000/20000 (Kbit)
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: ipoe: session started
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: pppd_compat: ip-up started (pid 8052)
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: send [DHCPv4 Ack xid=86b694ed yiaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Ack> <Server-ID 192.168.237.1> <Lease-Time 60> <Router 192.168.237.1> <Subnet 255.255.255.0> <DNS 192.168.237.17,8.8.8.8>]
[2013-06-23 20:57:41]:  info: eth1.40.ipoe0: pppd_compat: ip-up finished (0)
[2013-06-23 20:58:11]:  info: recv [DHCPv4 Request xid=86b694ed ciaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Client-ID 0108002787d5a4> <Request-List Subnet,Classless-Route,Router,Route,DNS,NTP> <Host-Name cpe-109-mt> <Relay-Agent {Agent-Circuit-ID _000400280009} {Agent-Remote-ID _010b3139322e3136382e382e32}>]
[2013-06-23 20:58:11]:  info: eth1.40.ipoe0: port change detected
[2013-06-23 20:58:11]:  info: send [DHCPv4 Nak xid=86b694ed chaddr=08:00:27:87:d5:a4 <Message-Type Nak>]
[2013-06-23 20:58:11]: debug: eth1.40.ipoe0: terminate
[2013-06-23 20:58:11]:  info: eth1.40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.1.106> <NAS-Port 87> <NAS-Port-Type Ethernet> <Calling-Station-Id "08:00:27:87:d5:a4"> <Called-Station-Id "eth1.40"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "a0a43ae9067370f4"> <Acct-Session-Time 30> <Acct-Input-Octets 328> <Acct-Output-Octets 272> <Acct-Input-Packets 1> <Acct-Output-Packets 1> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.237.109> <Acct-Terminate-Cause User-Request>]
[2013-06-23 20:58:11]:  info: eth1.40.ipoe0: recv [RADIUS(1) Accounting-Response id=1]
[2013-06-23 20:58:11]:  info: eth1.40.ipoe0: pppd_compat: ip-down started (pid 8101)
[2013-06-23 20:58:11]:  info: eth1.40.ipoe0: pppd_compat: ip-down finished (0)
[2013-06-23 20:58:11]:  info: eth1.40.ipoe0: ipoe: session finished

 

По поводу proxy-arp:

proxy-arp=0 - работает, как раньше - нет обработки arp запросов.

proxy-arp=1 и proxy-arp=2 - работают одинаково - arp-replay MAC gateway.

с arp-gratuitous еще пока не проверял.

Изменено 23 июня, 2013 пользователем nik247

[nik247]

Не понял по хелпу что дает этот хитрый proxy-arp. Можно в 3 словах?

В некоторых случаях для нормальной работы IPoE надо включать proxy-arp на интерфейсах.

И вот здесь возникает проблема с arp-gratuitous запросами (после получения IP некоторые клиенты

посылают arp запрос вида: "какой MAC у моего IP?" и соответственно получают MAC шлюза (proxy-arp)

и вываливаются после этого с ошибкой, что такой IP занят - и так по кругу....

Вот xeb и взялся за решение этого вопроса.

[NiTr0]

А, это arp-gratuitous только касается... Тогда понятно.

[kayot]

Понял. Встречал такую проблему у себя.

Некоторые винды не могут серые адреса получить(для белых арп-проверки нет в принципе, для серых - есть), решили 1 правилом в arp_tables вида whohas 10.хх/192.хх - deny.

В принципе если будет рабочая опция для accel - будет хорошо, если не будет - тоже не проблема.

[nik247]

Понял. Встречал такую проблему у себя.

Некоторые винды не могут серые адреса получить(для белых арп-проверки нет в принципе, для серых - есть)

У меня винды слали arp-gratuitous на любые IP (и серые и белые).....

 

решили 1 правилом в arp_tables вида whohas 10.хх/192.хх - deny.

В принципе если будет рабочая опция для accel - будет хорошо, если не будет - тоже не проблема.

А можно поподробнее о решении с arp_tables?

[kayot]

А можно поподробнее о решении с arp_tables?

[0:0] -A IN -d 10.12.0.0/16     -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP
[0:0] -A IN -d 172.16.0.0/12    -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP

Тупой запрет для arp на всех клиентских интерфейсах от должников(10.хх) и неклиентов(172.хх). Клиентам выдаются белые адреса, с ними у тех же машин чудес нет.

[nik247]

А можно поподробнее о решении с arp_tables?

[0:0] -A IN -d 10.12.0.0/16     -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP
[0:0] -A IN -d 172.16.0.0/12    -y 00:00:00:00:00:00 -i eth2.999.+ -j DROP

Тупой запрет для arp на всех клиентских интерфейсах от должников(10.хх) и неклиентов(172.хх). Клиентам выдаются белые адреса, с ними у тех же машин чудес нет.

Спасибо - попробую еще и так.

А вот реальный запрос arp-gratuitous с тестов с белым IP с включенным proxy-arp:

00:19:23.432276 ARP, Request who-has 193.24.217.112 tell 193.24.217.112, length 46
00:19:23.591913 ARP, Reply 193.24.217.112 is-at 00:04:23:ba:07:99, length 28

[KSS_DIGGER]

Был вопрос про "Release DHCP lease on Windows shutdown"

К ответу DHCP сервера добавляем: DHO_VENDOR_ENCAPSULATED_OPTIONS со значением: "\x01\x04\x00\x00\x00\x02\x02\x04\x00\x00\x00\x01\xff"

 

Подробнее:

http://msdn.microsoft.com/en-us/library/cc227278.aspx

http://technet.microsoft.com/en-us/library/cc977398.aspx

 

P.S. на WindowsXP SP3 не смог заставить работать. (приеду с отпуска и продолжу подчитывать инфу)

Изменено 24 июня, 2013 пользователем KSS_DIGGER

[Victor Safronov]

А есть ещё здесь такие же центософилы как я?

Есть ощущение, что в каком-то из относительно недавних ядер появились проблемы с tbf.

Позавчера ребутнули наконец сервер и загрузилось новое ядро, теперь шейпер режет как попало. Если менять на htb, то всё нормально, но он как-то дольше раскачивается, чем tbf

[gibbon]

Стоит centos с последним ядром, используется как htb так и tbf. Вроде никто не жаловался.

[Victor Safronov]

Помогите, пожалуйста, решить внезапную проблему. За последнюю неделю сервер внезапно зависал уже три раза. В разное время, не в ЧНН. Раньше похожие проблемы были из-за ситуаций. когда абонент подключается с адреса, маршрут до которого должен идти через туннель (мы не можем использовать опцию указания диапазона клиентских адресов, чтобы избежать этого, но закрыли на файрволе и с тех пор именно эта ситуация больше не повторялась).

Я пытался проанализировать логи акцела, чтобы провести аналогии, может быть найти "клиента-убийцу", но каждый раз ничего общего.

Ещё я заметил, что судя по логам, акцел виснет раньше всей системы секунд на 15-20. Это хорошо видно, если сравнивать логи акцела с логами других демонов, типа оспфд или дхцп, которые тоже пишут очень часто.

Перед тем как начались проблемы, мы сделали ряд изменений: поставили другой процессор, новую сетевую на 82576-м чипе, перевели старых pptp-пользователей, висевших на цысках, на акцел, сменили шейпер с tbf на htb и поменяли acct-timeout у радиуса на 0. Вроде всё. С учётом летнего спада активности получилось, что сейчас на сервере примерно столько же сессий. сколько было до изменений, то есть в пределах 400-500.

Ума не приложу, с чего начать разматывать этот клубок, как понять что весит сервер и как этого избежать.

[NiTr0]

Для начала попробуйте откатиться на старый конфиг железа. Дабы исключить проблемы с железом или несовместимостью (типа проц более другого степпинга или на другом ядре не совсем корректно инициализируется зашитым в мать биосом).

И да логи перед висом в студию какбы.

[SergioB]

Есть ли какое-то ограничение на количество пользователей в режиме ipoe?

После 700 пользователей начинаются проблемы, виртуальные интерфейсы перестают создаваться, в логах такая ошибка:

 

[2013-07-11 17:51:08]: error: libnetlink: RTNETLINK answers: Cannot allocate memory

[2013-07-11 17:51:08]: error: : ipoe: nl_create: error talking to kernel

[2013-07-11 17:51:08]: error: : ipoe: missing IPOE_ATTR_IFINDEX attribute

[2013-07-11 17:51:08]: error: : ipoe: failed to create interface

 

Конфиг:

 

[modules]

log_file

 

ipoe

 

radius

ippool

 

shaper

 

[core]

log-error=/var/log/accel-ppp/core.log

thread-count=4

 

[ipoe]

verbose=5

username=ifname

interface=eth0

shared=1

mode=L3

start=up

ifcfg=0

local-net=192.168.0.0/16

 

[radius]

dictionary=/usr/local/share/accel-ppp/radius/dictionary

nas-identifier=accel-ppp

nas-ip-address=127.0.0.1

server=127.0.0.1,testing123,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0

verbose=5

 

[client-ip-range]

192.168.0.0/16

 

[ip-pool]

gw-ip-address=10.0.0.1

10.0.0.3-255

10.0.1.0-255

10.0.2.0-255

10.0.3.0-255

10.0.4.0-255

10.0.5.0-255

10.0.6.0-255

10.0.7.0-255

10.0.8.0-255

10.0.9.0-255

10.0.10.0-255

10.0.11.0-255

10.0.12.0-255

10.0.13.0-255

10.0.14.0-255

10.0.15.0-255

10.0.16.0-255

10.0.17.0-255

10.0.18.0-255

10.0.19.0-255

10.0.20.0-255

10.0.21.0-255

10.0.22.0-255

10.0.23.0-255

10.0.24.0-255

10.0.25.0-255

10.0.26.0-255

10.0.27.0-255

10.0.28.0-255

10.0.29.0-255

10.0.30.0-255

10.0.31.0-255

10.0.32.0-255

10.0.33.0-255

10.0.34.0-255

10.0.35.0-255

10.0.36.0-255

10.0.37.0-255

10.0.38.0-255

10.0.39.0-18

 

[log]

log-file=/var/log/accel-ppp/accel-ppp.log

log-emerg=/var/log/accel-ppp/emerg.log

log-fail-file=/var/log/accel-ppp/auth-fail.log

copy=1

level=3

 

[pppd-compat]

#ip-pre-up=/etc/ppp/ip-pre-up

ip-up=/etc/ppp/ip-up

ip-down=/etc/ppp/ip-down

ip-change=/etc/ppp/ip-change

radattr-prefix=/var/run/radattr

verbose=1

 

[shaper]

vendor=Cisco

attr=Cisco-AVPair

verbose=5

 

[cli]

telnet=127.0.0.1:2000

tcp=127.0.0.1:2001

#password=123

 

[snmp]

master=0

agent-name=accel-ppp