Jump to content
Калькуляторы

Господа, ни как не могу разобраться с выдачей белых адресов на интерфейс. (shared=1).

 

http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=1065425

 

Адреса у меня раздаёт DHCP от LANBilling, радиус от них же отвечает за авторизацию и аккаутинг.

 

 

idle-timeout=180session-timeout=86400calling-sid=ip#soft-terminate=0#interface=eth0

 

 

 

interface=bond0.777,mode=L2,start=up,ifcfg=1,shared=1,proxy-arp=2local-net=100.100.0.254/24local-net=1.1.0.1/24

 

 

Авторизация происходит, сессия поднимается:

 

3829: ipoe0: <POINTOPOINT,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 100   link/ether 00:a0:d1:e3:bb:39 peer ff:ff:ff:ff:ff:ff   inet 1.1.1.34 peer 1.1.1.98/32 scope global ipoe0   inet6 fe80::2a0:d1ff:fee3:bb39/64 scope link      valid_lft forever preferred_lft forever

 

 

На tcpdump вижу только

 

 

 18:54:30.258120 IP 1.1.1.98 > 8.8.4.4: ICMP echo request, id 4, seq 59275, length 40

 

 

 

 ip rdefault via 1.1.1.1 dev bond01.1.1.0/24 dev bond0  proto kernel  scope link  src 1.1.1.341.1.1.98 dev ipoe0  proto kernel  scope link  src 1.1.1.34100.100.0.0/15 dev bond0.777  proto kernel  scope link  src 100.100.0.254

 

 

Как с белыми адресами работать и зачем нужна опция nat = 1\0 ? Мне нужно самому натить в iptables серый->белый?(ip-unnumbered и vlan-per-user qinq пока что не нужно).

Edited by hsvt

Share this post


Link to post
Share on other sites

Хм, поправил шейпер на насах, убрал удаление при убирании интерфейса - сегодня один нас покрашился, но немного по-другому...

 

Что на этот раз???

Share this post


Link to post
Share on other sites

Что-то связанное с прибитием интерфейса (3шт сразу разных), не сохранил трейс :( Жду нового падения, потом запощу сюда.

 

К слову, словил еще окукливание демона по reload под нагрузкой (перестал реагировать на все внешние раздражители)...

Share this post


Link to post
Share on other sites

Подскажите есть ли в accel-ppp опция ограничения общего числа активных соединений, т.е. аналог set link max-children[nnnn]?

Share this post


Link to post
Share on other sites

Прописал sysctl

net.ipv4.conf.bond0.proxy_arp=1

трафик начал ходить за шлюз и во внешку, но в доках указано что:

 

для корректной работы proxy-arp необходимо отлючить ядерный proxy-arp на рабочих интерфейсах

 

Имеется в виду отключать на интерфейсах клиентов ?

Edited by hsvt

Share this post


Link to post
Share on other sites
Подскажите есть ли в accel-ppp опция ограничения общего числа активных соединений, т.е. аналог set link max-children[nnnn]?
нет

 

Имеется в виду отключать на интерфейсах клиентов ?
имеется в виду отключать на интерфейсах указанных опциями interface

Share this post


Link to post
Share on other sites

Хорошо, вроде немного разобрался. Еще вопрос по атрибуту L4-Redirect. В словарь accel прописал

ATTRIBUTE L4-Redirect 243 integer

 

В биллинге так же создал данный атрибут, НО там нужно указывать вендор. 243 я так понимаю это radius_type, а какой вендор у accel ?

 

Указал 0, но тогда прилетает такое:

 

[2015-08-19 12:36:35]:  warn: ipoe0: radius:packet: unknown attribute received (0,243)

 

И если использовать l4-redirect-ipset=blocked то сет нужно создавать вручную самому? И как обстоят дела после ребута сервера с формированием списков ipset и должников ?

Edited by hsvt

Share this post


Link to post
Share on other sites
И если использовать l4-redirect-ipset=blocked то сет нужно создавать вручную самому?
да

 

И как обстоят дела после ребута сервера с формированием списков ipset и должников ?
после ребута естественно всё обнуляется

Share this post


Link to post
Share on other sites

подскажите каким образом можно исключить закольцовывание пакетов, при отсутствии целевого ppp интерфейса, между бордером и насом?

Edited by ViacheslavR

Share this post


Link to post
Share on other sites

подскажите каким образом можно исключить закольцовывание пакетов, при отсутствии целевого ppp интерфейса, между бордером и насом?

Настройте blackhole route на все сети, которые используете для ppp на NAS и бордере или только на бордере.

Лучше в blackhole отправить все ваши сети (белые) с максимальным префиксом, а также все сети класса "С":

dst-address=10.0.0.0/8 (distance=254)

dst-address=91.223.122.0/24 (distance=254)

dst-address=172.16.0.0/12 (distance=254)

dst-address=192.168.0.0/16 (distance=254)

Share this post


Link to post
Share on other sites

[shaper]
attr=Filter-Id
#attr-up=
#attr-down=
#burst-factor=
#down-burst-factor=0.1
#up-burst-factor=0.3
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#moderate-quantum=1
#cburst=1534
#ifb=ifb0
up-limiter=police
down-limiter=tbf
leaf-qdisc=sfq perturb 10
#leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn]
#rate-multiplier=1
#fwmark=1
verbose=1

 

При использовании таких параметров очень сильно разниться и завышается upload на тестируемом клиенте.

 

tc qdisc show
qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
qdisc pfifo_fast 0: dev eth1 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
qdisc htb 1: dev ifb0 root refcnt 2 r2q 10 default 0 direct_packets_stat 2
qdisc tbf 1: dev ipoe0 root refcnt 2 rate 12288Kbit burst 150Kb lat 50.0ms
qdisc ingress ffff: dev ipoe0 parent ffff:fff1 ----------------

 

Пробовал играться с up-burst-factor, но что-то ничего не подобрал. Что еще можно покрутить ?

Share this post


Link to post
Share on other sites

ingress qdisc покажите. ну и да, скорость с полисером лучше тестировать торрентом к примеру. одиночный поток с полисером не совсем дружит - скорость может как занижаться, так и завышаться.

 

 

либо, как вариант - вообще забить на исход, которого и так в 2-3 раза меньше входящего...

Share this post


Link to post
Share on other sites

ingress qdisc покажите. ну и да, скорость с полисером лучше тестировать торрентом к примеру. одиночный поток с полисером не совсем дружит - скорость может как занижаться, так и завышаться.

 

 

либо, как вариант - вообще забить на исход, которого и так в 2-3 раза меньше входящего...

 

 

tc -s qdisc
qdisc pfifo_fast 0: dev eth0 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 2850159121 bytes 9958747 pkt (dropped 0, overlimits 0 requeues 36)
backlog 0b 0p requeues 36
qdisc pfifo_fast 0: dev eth1 root refcnt 2 bands 3 priomap  1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 4090935990 bytes 10864146 pkt (dropped 0, overlimits 0 requeues 266)
backlog 0b 0p requeues 266
qdisc htb 1: dev ifb0 root refcnt 2 r2q 10 default 0 direct_packets_stat 2
Sent 71326257 bytes 61040 pkt (dropped 185, overlimits 96280 requeues 0)
backlog 0b 0p requeues 0
qdisc tbf 1: dev ipoe0 root refcnt 2 rate 24576Kbit burst 300Kb lat 50.0ms
Sent 39913366 bytes 35749 pkt (dropped 0, overlimits 50469 requeues 0)
backlog 0b 0p requeues 0
qdisc ingress ffff: dev ipoe0 parent ffff:fff1 ----------------
Sent 35991895 bytes 35021 pkt (dropped 305, overlimits 0 requeues 0)
backlog 0b 0p requeues 0

 

tc -s qdisc show dev ipoe0
qdisc tbf 1: root refcnt 2 rate 24576Kbit burst 300Kb lat 50.0ms
Sent 39911649 bytes 35723 pkt (dropped 0, overlimits 50469 requeues 0)
backlog 0b 0p requeues 0
qdisc ingress ffff: parent ffff:fff1 ----------------
Sent 35989413 bytes 34980 pkt (dropped 305, overlimits 0 requeues 0)
backlog 0b 0p requeues 0

 

tc -s filter show dev ipoe0 parent ffff:
filter protocol ip pref 100 u32
filter protocol ip pref 100 u32 fh 800: ht divisor 1
filter protocol ip pref 100 u32 fh 800::1 order 1 key ht 800 bkt 0 flowid :1  (rule hit 34982 success 34982)
 match 00000000/00000000 at 12 (success 34982 )
       action order 1:  police 0x67 rate 24576Kbit burst 3000Kb mtu 2Kb action drop overhead 0b
ref 1 bind 1
       Action statistics:
       Sent 35989495 bytes 34982 pkt (dropped 305, overlimits 305 requeues 0)
       backlog 0b 0p requeues 0

 

 

 

Проверю торрентом еще до кучи. Может так же и iperf или netperf ?

Edited by hsvt

Share this post


Link to post
Share on other sites

Burst 3 МБ - потому и спидтест показывает невесть что (ам всего на аплоад несколько МБ засылается). Попробуйте его урезать где-то до 1 МБ или 512к. Хотя все равно полисиер есть полисиер, красивый ровный график не получить.

Share this post


Link to post
Share on other sites

Burst 3 МБ - потому и спидтест показывает невесть что (ам всего на аплоад несколько МБ засылается). Попробуйте его урезать где-то до 1 МБ или 512к. Хотя все равно полисиер есть полисиер, красивый ровный график не получить.

 

Сделал так, вроде получше. Исключений по адресам в штатном функционале сейчас еще нету (ignore networks) ? Ну чтобы локалка и другие необходимые адреса не шейпилась и отдавалось 100\1000 мбит внутри сети юзеру... Тему прочитал, но везде ссылают на внешний скрипты post up\down...

 

[shaper]
attr=Filter-Id
#attr-up=
#attr-down=
#burst-factor=2
down-burst-factor=0.512
#up-burst-factor=1.0
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#moderate-quantum=1
#cburst=1534
ifb=ifb0
up-limiter=htb
down-limiter=tbf
#leaf-qdisc=sfq perturb 10
#leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn]
#rate-multiplier=1
#fwmark=1
verbose=1

Edited by hsvt

Share this post


Link to post
Share on other sites

Коллеги, подскажите как работает accel-ppp в режиме комбинирования.

 

Т.е на одном интерфейсе и пптп, и пппое. Интересует стабильность, и подводные камни. Все планируется использовать на Ubuntu. Около 700 клиентов онлайн.

Share this post


Link to post
Share on other sites

А чего ему не работать...

 

тогда такой вопрос, а почему на пптп мне приходится использовать правило

 

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu иначе некоторые ресурсы не работают.....

Share this post


Link to post
Share on other sites

Некорректное значение MTU на разных концах туннеля (или вообще некорректное в конфиге). Я уже спрашивал по этому поводу автора.

Share this post


Link to post
Share on other sites

Добрый день всем!

 

Используем IPoE на accel-ppp, часть клиентов авторизируется по dhcp opt82, также есть клиенты, которые авторизуются по неклассифицированному пакету (start=up а конфиге accel). Заметили, что у клиентов, которые работают через модуль ядра ipoe есть периодические потери пакетов, у остальных клиентов, которые работают в выделенном влане таких проблем нет. Проверяли, заводя к себе на стенд отдельный влан с accel с авторизацией по opt82 и действительно наблюдали потери пакетов, количество клиентов в влане не имеет значения. Подскажите, пожалуйста, куда смотреть? Может кто-нибудь с таким сталкивался?

Share this post


Link to post
Share on other sites

_longhorn_

версию акселя + версию ядра бы сообщили, и какой шейпер юзается...

Share this post


Link to post
Share on other sites

Дошли таки руки серьезно покрутить IPoE (в последний раз крутил больше года назад на стенде) - что-то не сильно срастается при выдаче адресов через радиус.

Пытаюсь реализовать ip unnumbered. Повешал адрес gw на lo, добавил пул в ippools, включил ipoe модуль - и не работает:

Sep  6 00:30:25 test-26 accel-pppd: ipoe0:: send [RADIUS(1) Access-Request id=1 <User-Name "test-E18.1234"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 192.168.хх.хх> <NAS-Port 14> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:хх:хх:хх:00:da"> <Called-Station-Id "eth0.1234"> <User-Password >]
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:: recv [RADIUS(1) Access-Accept id=1 <Reply-Message ""> <Acct-Interim-Interval 90> <Session-Timeout 600> <User-Name "test-E18.1234"> <Framed-IP-Address 10.250.141.55> <Framed-IP-Netmask 0.0.0.0>]
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: test-E18.1234: authentication succeeded
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: can't determine router address
Sep  6 00:30:25 test-26 accel-pppd: ipoe0:test-E18.1234: ipoe: session finished

секции конфига (выборочно):

[modules]
path=/usr/lib/accel-ppp
log_syslog
ipoe
auth_mschap_v1
auth_chap_md5
auth_pap
radius
ippool
pppd_compat

[ipoe]
verbose=1
username=lua:username
lease-time=600
max-lease-time=3600
shared=1
ifcfg=0
mode=L2
start=dhcpv4
ip-unnumbered=1
proxy-arp=1
lua-file=/etc/accel-ppp.lua
soft-terminate=0
check-mac-change=1
interface=re:eth0\.[1-9][0-9][0-9]+

[ip-pool]
gw-ip-address=10.250.128.1
attr=Framed-Pool
192.168.0.2-255
192.168.1.1-255,name=pool1
192.168.2.1-255,name=pool2
192.168.3.1-255,name=pool3
192.168.4.0/24
10.250.128.1/20

 

Без Framed-IP-Netmask - то же самое.

 

Вопрос: как заставить аксель выдавать адрес/шлюз из пула по голому Framed-IP-Address?

Share this post


Link to post
Share on other sites

to NiTr0:

Для каждой сетки ipoe, куда попадает Framed-IP-Address, указать какой выдавать GW и NET:

[ipoe]
gw-ip-address=192.168.0.1/24
gw-ip-address=192.168.1.1/24
gw-ip-address=192.168.2.1/24

Share this post


Link to post
Share on other sites

О, таки заработало, спасибо.

P.S. Неплохо было бы чтобы аксель мог слать дополнительные опции (типа static routes/ms static routes)...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now