Jump to content
Калькуляторы

2kayot

2nuclearcat

ок перепишу правила, а что то еще прописываете ?

как боритесь с syn_flood и udp_flood от абонента, может быть unicast_storm на порту коммутатора ?

или conntrack отключен на accel-ppp ?

У меня стоит собственный кастомный софт для этого(завязан на биллинг и рубит зараженные аккаунты) + netflow.

Share this post


Link to post
Share on other sites

-A FORWARD -p tcp -m multiport --destination-port 21,22,23,25,53,67,69,80,135,136,137,139,161,445,3128,3389,8080 -j DROP

Выстрел себе в ногу?

Share this post


Link to post
Share on other sites

myth

С какого бодуна? В рабочем правиле конечно же есть и направление, и интерфейсы на которых оно применимо, упростил.

Share this post


Link to post
Share on other sites

kayot, я не это имел в виду. Зачем мне как абоненту белый IP, если у меня все равно ничего не работает? Ни ssh, ни rdp, а трах с нестандартными портами - счастье еще то.

 

Имитация белого ip.

Share this post


Link to post
Share on other sites

Зачем мне как абоненту белый IP, если у меня все равно ничего не работает?

Уникальность соурс адреса в просторах глобальной сети. Вот забанит вконтактик или еще кто то крупный ваш реальный ip с NAT на 2к или 10к людей - взвоете.

kayot написал, что за определенную сумму денег снимет ограничения, тем самым избавил своих клиентов от беды со спамом и взломом, пусть даже не на 100%.

По логике, все эти порты среднестатистическим пользователям, которых большинство и даром не нужны.

Edited by Dimka88

Share this post


Link to post
Share on other sites

myth

99% не нужна возможность поднимать сервера дома, а 1% требующий rdp и ssh открытыми в мир - доплатят 1$ к абонке и тоже будут счастливы.

Зато роутеры у тех самых 99% не будут перешиваться удаленно злыми китайскими хакерами.

Share this post


Link to post
Share on other sites

Пусть хоть перешьются. Это проблема абонента. Вот DNS запросы NATить к себе - это да, полезно.

Share this post


Link to post
Share on other sites

99% не нужна возможность поднимать сервера дома, а 1% требующий rdp и ssh открытыми в мир - доплатят 1$ к абонке

До первого юридически грамотного клиента...

Share this post


Link to post
Share on other sites

Пусть хоть перешьются. Это проблема абонента. Вот DNS запросы NATить к себе - это да, полезно.

А почему бы и не вытереть рот своему клиенту после еды за дополнительную копеечку.

 

До первого юридически грамотного клиента...

Вы ошибаетесь, если полагаете что это не решено на уровне договора! В прочем это все оффтоп и к обсуждаемому проекту относится косвенно.

Edited by Dimka88

Share this post


Link to post
Share on other sites

Вопрос связан с реальными правилами ,а не "ну еще чуток допилить" или " все заблокировать а открывать по требованию".

Вопрос больше о реальной системе ddos (aka fastnetmon , suricata, synproxy,syncookied ) или выключенным conntrack ( -t raw prerouting -j NOTRACK)

или правилам аналогичным на cg-nat устройствах от брендов junos и .т.п. работающей у вас .

 

У меня сейчас есть ограничение для tcp iptables connlimit above 32 до 3000 соединений,но что делать с udp ???? (полный текст правила был раньше)

 

Я рассматривал вариант ,выводить conntrack -L -pudp -s(или -d)ipадрес | wc -l и считать кол. и делать alert на email если больше 3000 с болем [uNREPLIED] и без ?!!!

Edited by yazero

Share this post


Link to post
Share on other sites

connlimit в некоторых случаях у меня жутко жрал проц, к сожалению давно не проверял его

Share this post


Link to post
Share on other sites

У меня сейчас есть ограничение для tcp iptables connlimit above 32 до 3000 соединений,но что делать с udp ????

а зачем вы с ним что-то хотите делать?... вас это сильно беспокоит?...

 

хотя если сильно хочется - можно попробовать что-то типа iptables -A FORWARD -m state --state NEW -m limit --limit 10/s -j ACCEPT - т.е. 10 новых коннектов в секунду максимум. или в PREROUTING это правильнее...

Share this post


Link to post
Share on other sites

то есть на bras у вас ни каких ограничений нет ?

 

- connlimit не грузит проц на трафике 800Мб и 1350 клиентах

- limit X/s, не вариант под него и хорошие соединения попадают, тока если если добавить recent может быть можно.

Share this post


Link to post
Share on other sites

зарезаны только порты самбы/рпц, и подрезан днс. все, больше никаких ограничений, все прекрасно работает.

Share this post


Link to post
Share on other sites

hsvt

У меня всем белые адреса выдаются, соотвественно в сторону абонента все потенциально опасное блокируется. За небольшую сумму эти блокировки отключаются, обычно юрикам нужно.

мы не блокируем воообще ничего, у абонента просто труба в интернет

Share this post


Link to post
Share on other sites

Всем привет. Подсобите советом.

Как организовать смену скорости на лету? без разрыва сессий?

Сейчас шейпер работает через внешний скрипт в разделе pppd-compat

биллинг отдает новые параметры для сессии, accel в рад.аттр пишет новые параметры но ничего не меняется.

Share this post


Link to post
Share on other sites

скрипт /etc/ppp/ip-change отвечает за CoA

Что-то типа этого

 

#!/bin/sh
if [ -f /var/run/radattr.$1 ]
then
DOWNSPEED=`/usr/bin/awk '/PPPD-Downstream-Speed-Limit/ {print $2}' /var/run/radattr.$1`
UPSPEED=`/usr/bin/awk '/PPPD-Upstream-Speed-Limit/ {print $2}' /var/run/radattr.$1`
FILTERS=`/usr/bin/awk '/Filter-Id/ {print $2}' /var/run/radattr.$1`
IP=`/usr/bin/awk '/Framed/ {print $2}' /var/run/radattr.$1`

#echo $DOWNSPEED
#echo $UPSPEED
#echo $FILTERS
fi

if [ "$UPSPEED" -ne "0" ] ;
then
##### speed server->client
if [ "$UPSPEED" -ge "6000" ] ;
then
/sbin/tc class replace dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 51k cburst 2k
/sbin/tc class replace dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit burst 51k cburst 2k prio 1
/sbin/tc class replace dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit burst 51k cburst 2k prio 2

#######Мелкие тарифы до 6000Kbit/sec#########################################
else
/sbin/tc class replace dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 10k  cburst 1k
/sbin/tc class replace dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit ceil ${UPSPEED}kbit burst 10k cburst 1k prio 1
/sbin/tc class replace dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit ceil ${UPSPEED}kbit burst 10k cburst 1k prio 2
fi
fi

##### speed client->server
if [ "$DOWNSPEED" != "0" ] ;
then
#/sbin/tc qdisc add dev $1 handle ffff: ingress
/sbin/tc filter replace dev $1 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${DOWNSPEED}kbit burst 1024kb drop flowid :1
fi

Edited by myth

Share this post


Link to post
Share on other sites

Уважаемый Хеб. Прошу помощи, так как мучаюсь с этой проблемой давно.

Абоненты работают по PPPoE + FreeRadius

Абоненты авторизируются нормально, но по истечению определенного времени, сессия абонента завершается. По какой причине мне не понятно.

Вот что выдает лог accel-ppp

[2016-10-09 09:44:14]:  info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4bf"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>]
[2016-10-09 09:44:14]:  info: ppp123: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:44:32]:  info: ppp74: send [RADIUS(2) Accounting-Request id=2b <User-Name "uspl8c36"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "b4:b5:2f:7c:80:64"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b3eb"> <Acct-Session-Time 12721> <Acct-Input-Octets 39126504> <Acct-Output-Octets 475842483> <Acct-Input-Packets 486455> <Acct-Output-Packets 420325> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.10.218> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:44:33]:  info: ppp74: disconnected
[2016-10-09 09:44:33]:  info: recv [RADIUS(2) Accounting-Response id=2b]
[2016-10-09 09:46:00]:  info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4bf"> <Acct-Session-Time 105> <Acct-Input-Octets 10663> <Acct-Output-Octets 3836> <Acct-Input-Packets 154> <Acct-Output-Packets 36> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:46:00]:  info: ppp123: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:46:03]:  info: ppp123: disconnected
[2016-10-09 09:46:14]:  info: ppp74: connect: ppp74 <--> pppoe(e8:de:27:d7:0d:17)
[2016-10-09 09:46:17]:  info: ppp74: send [RADIUS(1) Access-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2016-10-09 09:46:17]:  info: ppp74: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.4.102> <Filter-Id "session Framed-IP-Address rate set in 2000 5500 100001 out 1000 5500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>]
[2016-10-09 09:46:17]:  info: ppp74: ptu7bc72: authentication succeeded
[2016-10-09 09:46:17]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c0"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>]
[2016-10-09 09:46:17]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:47:59]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c0"> <Acct-Session-Time 105> <Acct-Input-Octets 6530> <Acct-Output-Octets 2302> <Acct-Input-Packets 92> <Acct-Output-Packets 28> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:47:59]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:48:03]:  info: ppp74: disconnected
[2016-10-09 09:48:14]:  info: ppp74: connect: ppp74 <--> pppoe(e8:de:27:d7:0d:17)
[2016-10-09 09:48:14]:  info: ppp74: send [RADIUS(1) Access-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2016-10-09 09:48:14]:  info: ppp74: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.4.102> <Filter-Id "session Framed-IP-Address rate set in 2000 5500 100001 out 1000 5500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>]
[2016-10-09 09:48:14]:  info: ppp74: ptu7bc72: authentication succeeded
[2016-10-09 09:48:14]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c1"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102>]
[2016-10-09 09:48:14]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:48:19]:  info: ppp123: connect: ppp123 <--> pppoe(1c:6f:65:5c:84:7e)
[2016-10-09 09:48:19]:  info: ppp123: send [RADIUS(1) Access-Request id=1 <User-Name "mochyub5c3"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "1c:6f:65:5c:84:7e"> <Called-Station-Id "78:e7:d1:f5:99:c1"><Microsoft MS-CHAP-Challenge ><Microsoft MS-CHAP2-Response >]
[2016-10-09 09:48:19]:  info: ppp123: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-IP-Address 10.0.10.231> <Filter-Id "session Framed-IP-Address rate set in 3500 8500 100001 out 2000 8500 100001"> <Acct-Interim-Interval 300><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 2><Microsoft MS-MPPE-Encryption-Type 6>]
[2016-10-09 09:48:19]:  info: ppp123: mochyub5c3: authentication succeeded
[2016-10-09 09:48:19]:  warn: ppp123: IPV6CP: discarding packet
[2016-10-09 09:48:19]:  warn: ppp123: CCP: discarding packet
[2016-10-09 09:48:19]:  info: ppp123: send [RADIUS(2) Accounting-Request id=1 <User-Name "mochyub5c3"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 123> <NAS-Port-Id "ppp123"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "1c:6f:65:5c:84:7e"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c2"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.10.231>]
[2016-10-09 09:48:19]:  info: ppp123: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:49:59]:  info: ppp74: send [RADIUS(2) Accounting-Request id=1 <User-Name "ptu7bc72"> <NAS-Identifier "169.254.18.12"> <NAS-IP-Address 169.254.18.12> <NAS-Port 74> <NAS-Port-Id "ppp74"> <NAS-Port-Type Virtual> <Service-Type Framed-User> <Framed-Protocol PPP> <Calling-Station-Id "e8:de:27:d7:0d:17"> <Called-Station-Id "78:e7:d1:f5:99:c1"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "000000000010b4c1"> <Acct-Session-Time 105> <Acct-Input-Octets 6530> <Acct-Output-Octets 2302> <Acct-Input-Packets 92> <Acct-Output-Packets 28> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 10.0.4.102> <Acct-Terminate-Cause User-Request>]
[2016-10-09 09:49:59]:  info: ppp74: recv [RADIUS(2) Accounting-Response id=1]
[2016-10-09 09:50:03]:  info: ppp74: disconnected

 

Такие разрывы и последующие переподключения происходят только с абонентскими роутерами. Если подключение поднимать на ПК, то сессия может висеть хоть сутки.

Вот конфиг acell

[modules]
log_file
#log_syslog
#log_tcp
#log_pgsql

pptp
l2tp
pppoe
#ipoe

auth_mschap_v2
auth_mschap_v1
auth_chap_md5
auth_pap

radius
ippool
sigchld
pppd_compat

#shaper
#chap-secrets
#net-snmp
#logwtmp
connlimit

#ipv6_nd
#ipv6_dhcp
#ipv6pool

[core]
log-error=/var/log/accel-ppp/core.log
# thread-count=4
thread-count=1

[common]
single-session=replace
#sid-case=upper
#sid-source=seq

[ppp]
verbose=1
min-mtu=300
mtu=1492
mru=1492
# carbon: ccp=0 allow connect from linux devices
ccp=0
#это сделает радиус и скрипт событий иначе никак не переподключиться будет check-ip=1
check-ip=1
#mppe=require
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=1
lcp-echo-failure=1
#lcp-echo-timeout=10
#unit-cache=2000
#max-configure=30

[auth]
#any-login=0
#noauth=0

[pptp]
verbose=1
#echo-interval=30

[pppoe]
verbose=1
#ac-name=xxx
#service-name=yyy
#pado-delay=0
pado-delay=0,100:100,200:200,-1:500
#ifname-in-sid=called-sid
#tr101=1
padi-limit=10
#ip-pool=pppoe
#interface=eth1,padi-limit=1000
ac-name=xge_NetLink
service-name=xge_NetLink
interface=eth1,padi-limit=1000

[l2tp]
verbose=1
#dictionary=/usr/local/share/accel-ppp/l2tp/dictionary
dictionary=/etc/accel-ppp/l2tp/dictionary
#hello-interval=60
#timeout=60
#rtimeout=5
#retransmit=5
#host-name=accel-ppp
#dir300_quirk=0
#secret=
#dataseq=allow
#reorder-timeout=0
#ip-pool=l2tp
avp_permissive=1


[ipoe]
verbose=1
username=ifname
#password=username
lease-time=600
max-lease-time=3600
#unit-cache=1000
#l4-redirect-table=4
#l4-redirect-ipset=l4
#l4-redirect-on-reject=300
shared=0
ifcfg=1
mode=L2
start=dhcpv4
#proxy-arp=0
#nat=0
#proto=100
#relay=10.10.10.10
#attr-dhcp-client-ip=DHCP-Client-IP-Address
#attr-dhcp-router-ip=DHCP-Router-IP-Address
#attr-dhcp-mask=DHCP-Mask
#attr-l4-redirect=L4-Redirect
#local-net=192.168.0.0/16
#lua-file=/etc/accel-ppp.lua
#offer-delay=0,100:100,200:200,-1:1000
#vlan-mon=eth0,10-200
#vlan-timeout=60
#vlan-name=%I.%N
#ip-pool=ipoe
interface=eth0


[dns]
dns1=10.128.0.1
dns2=8.8.8.8

[wins]
#wins1=172.16.0.1
#wins2=172.16.1.1

[radius]
#dictionary=/usr/local/share/accel-ppp/radius/dictionary
dictionary=/etc/accel-ppp/radius/dictionary
nas-identifier=169.254.18.12
nas-ip-address=169.254.18.12
gw-ip-address=10.128.0.1
# auth-server=@@@authserver%%%,@@@secret%%% (obsolete)
# acct-server=@@@acctserver%%%,,@@@secret%%% (obsolete)
#server=127.0.0.1,testing123 (obsolete)
server=169.254.18.12,pass,auth-port=1812,acct-port=0,req-limit=0,fail-time=0
server=169.254.18.13,pass,auth-port=0,acct-port=1813,req-limit=0,fail-time=0
# dae-server=127.0.0.1:3799,testing123
verbose=1
#timeout=50
#max-try=5
acct-timeout=0
#acct-delay-time=1
#acct-on=0

[client-ip-range]
disable

[ip-pool]
gw-ip-address=10.128.0.1
#vendor=Cisco
#attr=Cisco-AVPair
attr=Framed-Pool
192.168.0.2-255
192.168.1.1-255,name=pool1
192.168.2.1-255,name=pool2
192.168.3.1-255,name=pool3
192.168.4.0/24

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
log-debug=/var/log/accel-ppp/debug.log
#log-debug=/dev/stdout
#syslog=accel-pppd,daemon
#log-tcp=127.0.0.1:3000
copy=1
#color=1
#per-user-dir=per_user
#per-session-dir=per_session
#per-session=1
level=3

#[log-pgsql]
#conninfo=user=log
#log-table=log

[pppd-compat]
#ip-pre-up=/etc/ppp/ip-pre-up
ip-up=/usr/local/bin/ip-up
ip-down=/usr/local/bin/ip-down
ip-change=/usr/local/bin/ip-change
radattr-prefix=/var/run/radattr
verbose=1

[chap-secrets]
gw-ip-address=192.168.100.1
#chap-secrets=/etc/ppp/chap-secrets
#encrypted=0
#username-hash=md5

[shaper]
#attr=Filter-Id
#down-burst-factor=0.1
#up-burst-factor=1.0
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#cburst=1534
#ifb=ifb0
up-limiter=police
down-limiter=tbf
#leaf-qdisc=sfq perturb 10
#rate-multiplier=1
verbose=1

[cli]
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
#password=123

[snmp]
master=0
agent-name=accel-ppp

[connlimit]
limit=10/min
burst=20
timeout=3000

[ipv6-pool]
fc00:0:1::/48,64
delegate=fc00:1::/36,48

[ipv6-dns]
#fc00:1::1
#fc00:1::2
#fc00:1::3
#dnssl=suffix1.local.net
#dnssl=suffix2.local.net.

[ipv6-dhcp]
verbose=1
pref-lifetime=604800
valid-lifetime=2592000
route-via-gw=1

Share this post


Link to post
Share on other sites

Alhlmlk, как не крутите, но гадалок тут нет, в секции [log] уровень level=5 сделайте и покажите еще раз.

Share this post


Link to post
Share on other sites

lcp-echo-interval=1

lcp-echo-failure=1

странные настройки...

Share this post


Link to post
Share on other sites

Acct-Terminate-Cause User-Request -- разрыв соединеия по запросу клиента

 

И да, поставьте параметры lpc-echo хотя бы такими:

 

lcp-echo-interval=30

lcp-echo-failure=3

lcp-echo-timeout=120

Share this post


Link to post
Share on other sites

lcp-echo-failure=3

lcp-echo-timeout=120

вроде как взаимоисключающие опции же...

 

у меня interval=5, timeout=30 (т.е. failure аксель выбирает 6)

Share this post


Link to post
Share on other sites

вроде как взаимоисключающие опции же...

Нет. Пинговать соединение каждые 30 секунд, ждать ответ до 120 секунд (есть линки в жопе мира, куда пакеты голубями доставляются), и рубить соединение после трех неудачных попыток. Такой подбор параметров сложился когда на этапе внедрения логи активно просматривались глазами в режиме debug.

Share this post


Link to post
Share on other sites

почему же? Я это понимаю как 3*120

да потому:

Specifies timeout in seconds to wait for any peer activity. If this option specified it turns on adaptive lcp echo functionality and "lcp-echo-failure" is not used.

 

Нет.

таки ж да. иногда полезно в маны заглядывать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now