Cramac Опубликовано 1 июля, 2014 · Жалоба Всем привет. Подскажите, где посмотреть как настраивать ИПОЕ? Или может кто подскажет Схема проста, дхцп выдает настройки абонентам, в центре свитч шлет весь трафик на сервер с accel Сейчас стоит ISG, все как бы работает, биллинг(УТМ) отдает скорость в двух атрибутах 230/231 Хочу попробовать на accel и сможет ли он менять скорость если в начале месяца изменился тариф? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 1 июля, 2014 · Жалоба Cramac, На wiki была такая бомбейская страничка - IPoE_ru называлась. Wiki, к сожалению, погиб. Я вроде нашёл копию, выложил: https://dl.dropboxusercontent.com/u/12495607/accel-ppp-doc/IPoE_ru.txt Вам нужен режим L3, start=up. Это получится то же, что в lISG. xeb, Оттуда же удалось спасти еще один документ: https://dl.dropboxusercontent.com/u/12495607/accel-ppp-doc/IPoE_dhcp_lua_ru.txt Может, положить эти доки в дистрибутив? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 1 июля, 2014 · Жалоба спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба Abram, спасибо. Не напомните, как собрать с модулем ipoe и как его подгрузить? modprobe ipoe не сработало у меня. пробовал собрать так П.С. Не подскажите, как быть с скоростью? Или это можно сделать как у меня работает на ппп, создать файл radattr и скриптом if-up задать скорость? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 1 июля, 2014 (изменено) · Жалоба У меня пока чудеса начались. Переделал сервер с ifcfg=1 в ifcfg=0. На lo прибил GW ip адреса [2014-06-30 10:18:18]: warn: bond0.2030.111: radius:acct_start: no [2014-06-30 10:18:20]: warn: bond0.2011.211: pppd_compat: ip-up is not yet finished, terminating it ... Второе падение [2014-07-01 01:13:33]: warn: bond0.2006.204: pppd_compat: ip-up is not yet finished, terminating it ... Знаю точно радиус был недоступен на биллинге. В emerg.log radius:BUG: rpd not found radius:BUG: rpd not found Пока не знаю, что с этим делать. Решил ядро пересобрать, так как 3.12.1 голову делает высером в dmesg и accel-ppp из гита. Подскажите, на текущем stable kernel 3.15.3 нет проблем в сборке? Изменено 1 июля, 2014 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 1 июля, 2014 · Жалоба П.С. Не подскажите, как быть с скоростью? Или это можно сделать как у меня работает на ппп, создать файл radattr и скриптом if-up задать скорость? с ипое всё тоже-самое что и с ппп Подскажите, на текущем stable kernel 3.15.3 нет проблем в сборке? на 3.15 модуль ядра может не собраться, я не проверял ещё его совместимость Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 1 июля, 2014 · Жалоба Не напомните, как собрать с модулем ipoe и как его подгрузить? modprobe ipoe не сработало у меня. cmake ... -DBUILD_IPOE_DRIVER=TRUE ... Я тут дальше не понял, поэтому после сборки просто вручную скопировал ipoe.ko в модули ядра и сделал depmod -a. Не подскажите, как быть с скоростью? Или это можно сделать как у меня работает на ппп, создать файл radattr и скриптом if-up задать скорость? Можно включить pppd-compat и по ip-up резать точно так же, как в ppp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба собрал accel собрал модуль, загрузил его # lsmod | grep ipoe ipoe 24844 0 запустил accel с конфигов [modules]log_file #log_syslog #log_tcp #log_pgsql pptp l2tp #pppoe ipoe auth_mschap_v2 auth_mschap_v1 auth_chap_md5 auth_pap radius ippool sigchld pppd_compat #shaper shaper_tbf (obsolete) #chap-secrets net-snmp logwtmp #connlimit #ipv6_nd #ipv6_dhcp #ipv6pool [core] log-error=/var/log/accel-ppp/core.log thread-count=4 [ipoe] verbose=1 username=ifname lease-time=600 max-lease-time=3600 #unit-cache=1000 l4-redirect-table=4 #l4-redirect-on-reject=300 shared=0 ifcfg=1 mode=L3 start=up #relay=10.10.10.10 #attr-dhcp-client-ip=DHCP-Client-IP-Address #attr-dhcp-router-ip=DHCP-Router-IP-Address #attr-dhcp-mask=DHCP-Mask #attr-l4-redirect=L4-Redirect #local-net=192.168.0.0/16 #lua-file=/etc/accel-ppp.lua interface=eth0 [ppp] verbose=1 min-mtu=1280 mtu=1400 mru=1400 #ccp=0 #sid-case=upper #check-ip=0 #single-session=replace #mppe=require ipv4=require ipv6=deny ipv6-intf-id=0:0:0:1 ipv6-peer-intf-id=0:0:0:2 ipv6-accept-peer-intf-id=1 lcp-echo-interval=20 #lcp-echo-failure=3 lcp-echo-timeout=120 #unit-cache=1000 [auth] #any-login=0 #noauth=0 [pptp] #echo-interval=30 verbose=1 [pppoe] interface=eth0 #interface=eth1,padi-limit=1000 #ac-name=xxx #service-name=yyy #pado-delay=0 #pado-delay=0,100:100,200:200,-1:500 #ifname-in-sid=called-sid #tr101=1 #padi-limit=0 verbose=1 [l2tp] #dictionary=/usr/local/share/accel-ppp/l2tp/dictionary hello-interval=60 timeout=60 rtimeout=5 retransmit=5 #host-name=accel-ppp dir300_quirk=1 #secret= verbose=1 [dns] dns1=10.10.10.1 #dns2=172.16.1.1 [wins] #wins1=172.16.0.1 #wins2=172.16.1.1 [radius] dictionary=/usr/local/share/accel-ppp/radius/dictionary nas-identifier=accel-ppp nas-ip-address=188.хх.хх.242 gw-ip-address=10.255.255.2 #auth-server=127.0.0.1:1812,testing123 (obsolete) #acct-server=127.0.0.1:1813,testing123 (obsolete) #server=127.0.0.1,testing123 (obsolete) server=91.хх.хх.6,secret,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0 dae-server=127.0.0.1:3799,testing123 verbose=1 #timeout=3 #max-try=3 acct-timeout=0 #acct-delay-time=0 [client-ip-range] 10.0.0.0/8 172.0.0.0/8 [ip-pool] gw-ip-address=192.168.0.1 #vendor=Cisco #attr=Cisco-AVPair attr=Framed-Pool 192.168.0.2-255 192.168.1.1-255,pool1 192.168.2.1-255,pool2 192.168.3.1-255,pool3 192.168.4.0/24 [log] log-file=/var/log/accel-ppp/accel-ppp.log log-emerg=/var/log/accel-ppp/emerg.log log-fail-file=/var/log/accel-ppp/auth-fail.log log-debug=/dev/stdout #syslog=accel-pppd,daemon #log-tcp=127.0.0.1:3000 copy=1 #color=1 per-user-dir=per_user #per-session-dir=per_session #per-session=1 level=5 [log-pgsql] conninfo=user=log log-table=log [pppd-compat] #ip-pre-up=/etc/ppp/ip-pre-up ip-up=/etc/ppp/ip-up ip-down=/etc/ppp/ip-down ip-change=/etc/ppp/ip-change radattr-prefix=/var/run/radattr verbose=1 [chap-secrets] gw-ip-address=192.168.100.1 #chap-secrets=/etc/ppp/chap-secrets #encrypted=0 #username-hash=md5 [shaper] #attr=Filter-Id #down-burst-factor=0.1 #up-burst-factor=1.0 #latency=50 #mpu=0 #r2q=10 #quantum=1500 #cburst=1534 #ifb=ifb0 up-limiter=police down-limiter=tbf #leaf-qdisc=sfq perturb 10 verbose=1 [cli] telnet=127.0.0.1:2000 tcp=127.0.0.1:2001 #password=123 [snmp] master=1 agent-name=accel-ppp [connlimit] limit=10/min burst=3 timeout=60 [ipv6-pool] fc00:0:1::/48,64 delegate=fc00:1::/36,48 [ipv6-dns] #fc00:1::1 #fc00:1::2 #fc00:1::3 #dnssl=suffix1.local.net #dnssl=suffix2.local.net. [ipv6-dhcp] verbose=1 pref-lifetime=604800 valid-lifetime=2592000 route-via-gw=1 в ответ тишина # accel-pppd -c /etc/accel-ppp.conf[2014-07-01 13:46:55.880] ipoe: start interface eth0 () [2014-07-01 13:46:55.887] accel-ppp version 1.8.0 [2014-07-01 13:46:55.925] net-snmp: Warning: no access control information configured. It's unlikely this agent can serve any useful purpose in this state. Run "snmpconf -g basic_setup" to help you configure the accel-ppp.conf file for this agent. в iptables что то надо добавлять? Сейчас у меня осталось 1 правило ната Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 1 июля, 2014 · Жалоба ps aux | grep accel-ppp ? accel-cmd show stat ? отключить пока snmp: [modules] #net_snmp включить дебаг и уровень лога 5: [log] level=5 verbose=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба accel запустил в консоли, НЕ демоном и смотрю вывод л2тп работает, запрос обрабатывает к радиусу запрашивает, а вот ИПОЕ нет. # accel-cmd show statuptime: 0.00:07:28 cpu: 0% mem(rss/virt): 7684/547276 kB core: mempool_allocated: 257140 mempool_available: 254100 thread_count: 4 thread_active: 1 context_count: 10 context_sleeping: 0 context_pending: 0 md_handler_count: 7 md_handler_pending: 0 timer_count: 1 timer_pending: 0 sessions: starting: 0 active: 0 finishing: 0 pptp: starting: 0 active: 0 l2tp: tunnels: starting: 0 active: 0 finishing: 0 sessions (control channels): starting: 0 active: 0 finishing: 0 sessions (data channels): starting: 0 active: 0 finishing: 0 ipoe: starting: 0 active: 0 delayed: 0 radius(1, 91.хх.хх.6): request count: 0 queue length: 0 auth sent: 1 auth lost(total/5m/1m): 0/0/0 auth avg query time(5m/1m): 57/0 ms acct sent: 0 acct lost(total/5m/1m): 0/0/0 acct avg query time(5m/1m): 0/0 ms interim sent: 0 interim lost(total/5m/1m): 0/0/0 interim avg query time(5m/1m): 0/0 ms после старта только: ]# accel-pppd -c /etc/accel-ppp.conf [2014-07-01 14:02:23.860] ipoe: start interface eth0 () [2014-07-01 14:02:23.867] accel-ppp version 1.8.0 может модуль не тот взял? /home/inst/accel-ppp-1.8.0/build/drivers/ipoe/driver/ipoe.ko положил в /lib/modules/2.6.32-431.20.3.el6.x86_64/extra Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 1 июля, 2014 · Жалоба to Cramac dhcpdump -i eth0 или tcpdump -nni eth0 -p port 67 or port 68 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба дхцп у меня обрабатывает другой сервер. мне надо чтоб accel выпустил клиента, который уже с настройками ломится в интернет. Маршрутизатор у меня все дхцп запросы релеит на другой сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nik247 Опубликовано 1 июля, 2014 · Жалоба дхцп у меня обрабатывает другой сервер. мне надо чтоб accel выпустил клиента, который уже с настройками ломится в интернет. Маршрутизатор у меня все дхцп запросы релеит на другой сервер. Так все равно - трафик идет ли? tcpdump -nni eth0 И что в логах? /var/log/accel-ppp/accel-debug.log /var/log/accel-ppp/accel-ppp.log Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба дело было в #local-net=192.168.0.0/16 раскоментировал, прописал свою сеть абонентскую, и accel начал за ними наблюдать только и доступ к серверу пропадает после этого... # route -nKernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 188.хх.хх.240 0.0.0.0 255.255.255.252 U 0 0 0 eth1 10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.10.0.0 10.10.10.254 255.255.0.0 UG 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1 0.0.0.0 188.хх.хх.241 0.0.0.0 UG 0 0 0 eth1 к серверу пока не подключался на прямую чтоб посмотреть почему пропадает коннект... у клиента ип 10.10.11.3 у сервера 10.10.10.1 прописал local-net=10.10.11.0/24 и как сделать чтоб в качестве логина и пароля был ИП адрес абонента? по мануалу в моем случае username=ifname должен слать ИП адрес клиента... [2014-07-01 14:25:38]: info: ipoe0: send [RADIUS(1) Access-Request id=1 <User-Name "eth0"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.хх.хх.242> <NAS-Port 5> <NAS-Port-Type Ethernet> <Calling-Station-Id "10.10.11.3"> <Called-Station-Id "eth0"> <User-Password >] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 1 июля, 2014 · Жалоба Cramac, Дайте угадаю - управление сервером тоже через eth0? :) Тогда он, получается, сам себя аккаунтить пытается? ;) Попробуйте username вообще убрать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба Abram, да, Вы правы, управление через этот же интерфейс. Но по логам, сам на себя запросы не шлет. Да и доступ пропадает с клиентского ПК, сам сервер пингует маршрутизатор (который имеет адрес 10.10.10.254) П.С. Убрав username авторизация прошла как надо, т.е. логин и пасс это ИП клиента. Создались интерфейсы # ifconfig ipoe0ipoe0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:144 errors:0 dropped:0 overruns:0 frame:0 TX packets:131 errors:0 dropped:3 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:12737 (12.4 KiB) TX bytes:20684 (20.1 KiB) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 1 июля, 2014 · Жалоба Abram, да, Вы правы, управление через этот же интерфейс. Но по логам, сам на себя запросы не шлет Проще вынести и не париться. Хм, прошёлся быстро по исходникам - чего-то не вижу, чтобы была возможность вернуть IP-адрес. У вас, кстати, еще нужно сделать shared=1, по-моему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба У вас, кстати, еще нужно сделать shared=1, по-моему и в этом Вы правы, изменил в конфиге сразу как выложил выше конфиг... П.С. может многоуважаемый xeb подскажет, что происходит если ipoe клиент не прошел авторизацию? может его блокирует accel ? Иначе как запретить доступ? Или все так же как с ppp через ipset? И еще вопрос, стоит длительность сессии сутки, через сутки будет дисконект и переподключение? На ipoe это происходит незаметно? Это я к тому все, о смене тарифов на первое число. П.С.С. И как решить проблему [2014-07-01 14:50:42.689]loader: 'shaper_tbf' not found П.С.С.С. А как можно редиректить всех кто не прошел авторизацию на спец страницу "что то пошло не так?!"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 1 июля, 2014 · Жалоба Cramac, см. l4-redirect. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба А не подскажите еще как все что добавилось в таблицу ip rule перекинуть на нужное? я так полагаю надо правило в iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 1 июля, 2014 · Жалоба А не подскажите еще как все что добавилось в таблицу ip rule перекинуть на нужное? ip route add default via куда_перенаправить table таблица_л4а на том сервере куда перекидывается: iptables -t nat -A PREROUTING -s 10.10.11.0/24 -j REDIRECT --to-port 80 или iptables -t nat -A PREROUTING -s 10.10.11.0/24 -j DNAT --to-destination ип:порт хттп сервера либо делать через ipset и нат на хттп сервер осуществлять здесь-же на сервере accel-ppp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DMiTRONiK Опубликовано 1 июля, 2014 · Жалоба делать через ipset А можно подробней, если нам нат не нужен, клиентам приезжают белые адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 1 июля, 2014 · Жалоба примного благодарен. настраиваю чтоб в ipset добавлялось по ответу о reject l4-redirect-ipset=l4-redirectl4-redirect-on-reject=300 что то типо -t nat -A PREROUTING -p tcp -m tcp --dport 80 -m set --match-set l4-redirect -j REDIRECT --to-ports 8000 хотя нашел описание тут от Abram http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=971005 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 1 июля, 2014 · Жалоба делать через ipset А можно подробней, если нам нат не нужен, клиентам приезжают белые адреса. А при чем тут NAT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 1 июля, 2014 · Жалоба если делать перенаправление хттп через ipset, то это нат Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...