Dimka88 Опубликовано 5 декабря, 2016 · Жалоба В bash выполните ip netns add default и будет подниматься, проверил на стенде. Отпишитесь по результатам, а то namespaces еще сам не ковырял. Как то странно вышло, после удаления netns default собрал снова мастер и vlan_mon заработал без ip netns add default. Разобрался. В accel-ppp.conf секция [modules] туда нужно добавить vlan-mon. example [modules] log_file vlan-mon ipoe radius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 5 декабря, 2016 · Жалоба Ну это как бы логично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 5 декабря, 2016 · Жалоба Ну это как бы логично. Ну не особо логично, так как это не документировано потому что, оно должно передаться статически в код при компоновке, чего не произошло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 5 декабря, 2016 · Жалоба Было уже, наступали - http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=1276312 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
list Опубликовано 6 декабря, 2016 · Жалоба Да, модуль ipoe загружен. Там вроде бы появился модуль vlan_mon, его тоже загрузили? Действительно дело было в не загруженном модуле vlan_mon. С ним все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
list Опубликовано 7 декабря, 2016 · Жалоба Поделитесь кто как организует авторизацию абонентов IPOE. Навскидку 2 варианта. Без учета мак адреса абонента и с учетом его мака. Оба варианта так себе. Первый хорош с точки зрения своей прозрачности для абонента при замене его оборудования, но через некоторое время приведет к тому, что техподдержка перепутает абонентов на портах домового свича. Во втором, абоненту при смене мака приходится вводить логин-пароль на странице регистрации. Для абонента проблемы, зато техподдержка в шоколаде. Может еще какие варианты есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 7 декабря, 2016 · Жалоба 1 лучше, имхо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 8 декабря, 2016 · Жалоба Ну не особо логично, так как это не документировано потому что, оно должно передаться статически в код при компоновке, чего не произошло. Было уже, наступали - http://forum.nag.ru/...dpost&p=1276312 Я так понял, xeb выпустил патч и теперь не нужно указывать в секции модулей vlan-mon. https://sourceforge.net/p/accel-ppp/code/ci/618179e8a5ce78adeff358025031f36fac937dd9/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 декабря, 2016 (изменено) · Жалоба Стали появляться клиенты с роутерами, в которых настроено 2 одинаковых PPPoE сессии. Естественно, что accel-ppp в этом случае замещает сессию другой. И так может продолжаться бесконечно. Можно ли ограничить таких клиентов? А то надоедает вручную их блокировать. Изменено 8 декабря, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 8 декабря, 2016 · Жалоба Стали появляться клиенты с роутерами, в которых настроено 2 одинаковых PPPoE сессии. Естественно, что accel-ppp в этом случае замещает сессию другой. И так может продолжаться бесконечно. Можно ли ограничить таких клиентов? А то надоедает вручную их блокировать. Секция ppp single-session=replace|deny Указывает, следует ли контролировать количество сессии для кадого пользователя. Если эта опция управления отсутствует контроль количество сессий на пользователя выключен. Если эта опция replace - accel-ррр прекращает первую сессию, когда вторая выполяет подключение. Если эта опция deny accel-ррр будет сбрасывать попытки авторизации второй сессии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 декабря, 2016 · Жалоба Нет, меня бы интересовало прекращение PADO пакетов такому клиенту. Потому что в ином случае будут страдать другие клиенты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SABRE Опубликовано 12 декабря, 2016 · Жалоба Есть вопрос по IPv6. сейчас фильтры добавляются с protocol ip, и ipv6 трафик не шейпится, возможно ли изменить протокол на all чтобы в шейпер так-же попадали и в6 пакеты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 декабря, 2016 · Жалоба А модуль connlimit чем занимается? А в случае PPPoE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 14 декабря, 2016 · Жалоба А модуль connlimit чем занимается? А в случае PPPoE? Если не ошибаюсь он ограничивает количество подключений в диапазон времени от одного клиента, в случае с pppoe фактором является MAC адрес. [connlimit] This module limits connection rate from single source. limit=count/time Specifies acceptable rate of connections, for example limit=1/s or limit=10/m. burst=count timeout=n Specifies timeout in seconds after which module doesn't check rate until burst number of connections will be arrived. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 декабря, 2016 · Жалоба Вот и хочется точно узнать актуален ли он для PPPoE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 14 декабря, 2016 · Жалоба Вот и хочется точно узнать актуален ли он для PPPoE? Актуален. Регулярно у всяких DIR-300 срывает башню и они начинают флудить попытками поднять сразу пачку pppoe. В параметрах стоит [connlimit] limit=10/min и таки да, эти перцы долбятся на брас не чаще одного раза в 5-6 секунд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 декабря, 2016 · Жалоба по reload применяется или надо перезапускать демон? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 15 декабря, 2016 · Жалоба Надо пробовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
list Опубликовано 15 декабря, 2016 · Жалоба Схема L3, shared=1, start=up. Версия accel-ppp 1.11.1 Ядро - 4.8.1-1.el6.elrepo.x86_64 Непрерывно запускаются сессии и создаются интерфейсы для одного и того же пользователя (IP-192.168.88.100). К серверу цепляется только один этот пользователь. accel-ppp.conf: [ipoe] verbose=5 # username=username password=empty lease-time=120 renew-time=60 max-lease-time=300 soft-terminate=1 shared=1 ifcfg=1 mode=L3 start=up proto=100 nat=0 interface=eth1 local-net=192.168.88.0/24 gw-ip-address=192.168.88.254/24 log: [2016-12-15 04:55:41]: info: ipoe: start interface eth1 () [2016-12-15 04:55:41]: debug: libnetlink: RTNETLINK answers: No such file or directory [2016-12-15 04:55:41]: msg: accel-ppp version 1.11.0 [2016-12-15 04:55:44]: info: ipoe0: create interface ipoe0 parent eth1 [2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_enter 1 [2016-12-15 04:55:44]: info: ipoe0: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 74> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-S tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >] [2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_exit 0 [2016-12-15 04:55:44]: info: ipoe0: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.33> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300> <Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>] [2016-12-15 04:55:44]: info: ipoe0: 192.168.88.100: authentication succeeded [2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_enter 1 [2016-12-15 04:55:44]: info: ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 74> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calli ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193a"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.33>] [2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_exit 0 [2016-12-15 04:55:44]: info: ipoe0: recv [RADIUS(1) Accounting-Response id=1] [2016-12-15 04:55:44]: info: ipoe0: ipoe: session started [2016-12-15 04:55:44]: info: ipoe0: pppd_compat: ip-up started (pid 10756) [2016-12-15 04:55:44]: info: ipoe0: pppd_compat: ip-up finished (0) [2016-12-15 04:55:49]: info: ipoe1: create interface ipoe1 parent eth1 [2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_enter 1 [2016-12-15 04:55:49]: info: ipoe1: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 75> <NAS-Port-Id "ipoe1"> <NAS-Port-Type Ethernet> <Calling-S tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >] [2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_exit 0 [2016-12-15 04:55:49]: info: ipoe1: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.34> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300> <Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>] [2016-12-15 04:55:49]: info: ipoe1: 192.168.88.100: authentication succeeded [2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_enter 1 [2016-12-15 04:55:49]: info: ipoe1: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 75> <NAS-Port-Id "ipoe1"> <NAS-Port-Type Ethernet> <Calli ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193b"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.34>] [2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_exit 0 [2016-12-15 04:55:49]: info: ipoe1: recv [RADIUS(1) Accounting-Response id=1] [2016-12-15 04:55:49]: info: ipoe1: ipoe: session started [2016-12-15 04:55:49]: info: ipoe1: pppd_compat: ip-up started (pid 10843) [2016-12-15 04:55:49]: info: ipoe1: pppd_compat: ip-up finished (0) [2016-12-15 04:55:54]: info: ipoe2: create interface ipoe2 parent eth1 [2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_enter 1 [2016-12-15 04:55:54]: info: ipoe2: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 76> <NAS-Port-Id "ipoe2"> <NAS-Port-Type Ethernet> <Calling-S tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >] [2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_exit 0 [2016-12-15 04:55:54]: info: ipoe2: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.35> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300> <Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>] [2016-12-15 04:55:54]: info: ipoe2: 192.168.88.100: authentication succeeded [2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_enter 1 [2016-12-15 04:55:54]: info: ipoe2: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 76> <NAS-Port-Id "ipoe2"> <NAS-Port-Type Ethernet> <Calli ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193c"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.35>] [2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_exit 0 [2016-12-15 04:55:54]: info: ipoe2: recv [RADIUS(1) Accounting-Response id=1] [2016-12-15 04:55:54]: info: ipoe2: ipoe: session started [2016-12-15 04:55:54]: info: ipoe2: pppd_compat: ip-up started (pid 10928) [2016-12-15 04:55:54]: info: ipoe2: pppd_compat: ip-up finished (0) [2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_enter 1 [2016-12-15 04:55:59]: info: ipoe3: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 77> <NAS-Port-Id "ipoe3"> <NAS-Port-Type Ethernet> <Calling-S tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >] [2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_exit 0 [2016-12-15 04:55:59]: info: ipoe3: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.36> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300> <Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>] [2016-12-15 04:55:59]: info: ipoe3: 192.168.88.100: authentication succeeded [2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_enter 1 [2016-12-15 04:55:59]: info: ipoe3: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 77> <NAS-Port-Id "ipoe3"> <NAS-Port-Type Ethernet> <Calli ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193d"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.36>] [2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_exit 0 [2016-12-15 04:55:59]: info: ipoe3: recv [RADIUS(1) Accounting-Response id=1] [2016-12-15 04:55:59]: info: ipoe3: ipoe: session started [2016-12-15 04:55:59]: info: ipoe3: pppd_compat: ip-up started (pid 11013) [2016-12-15 04:55:59]: info: ipoe3: pppd_compat: ip-up finished (0) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 15 декабря, 2016 · Жалоба Попробуйте для эксперимента убрать ifcfg=1, есть подозрения что на ipoeX цепляется приходящий из радиуса атрибут DHCP-Router-IP-Address 192.168.111.253. Я немного не разберусь, зачем вы его передаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
list Опубликовано 16 декабря, 2016 · Жалоба Попробуйте для эксперимента убрать ifcfg=1, есть подозрения что на ipoeX цепляется приходящий из радиуса атрибут DHCP-Router-IP-Address 192.168.111.253. Я немного не разберусь, зачем вы его передаете? Спасибо за совет. Дело было во включенных в конфиге параметрах (в скриншот accel-ppp.conf не попали): attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=Framed-IP-Netmask и передачи этих атрибутов радиусом. Система тестовая и до этого экспериментировал с L2,start=dhcp4. Оттуда и остались хвосты. Еще один вопрос: Если accel получает от радиуса Access-Reject, то следующая попытка авторизоваться происходит через 330 сек. Трафик от клиента идет постоянно. Этот параметр настраивается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 16 декабря, 2016 · Жалоба Если accel получает от радиуса Access-Reject, то следующая попытка авторизоваться происходит через 330 сек. Трафик от клиента идет постоянно. При использовании l4-redirect? из wiki accel-ppp http://accel-ppp.org/wiki/doku.php?id=ru:ipoe#l4-redirect 3. Access-Reject от радиуса Что-бы включить этот режим нужно указать l4-redirect-on-reject= кол-во секунд [ipoe] l4-redirect-on-reject=300 l4-redirect-table=100 либо l4-redirect-ipset=l4-redirect В этом случае если радиус ответит запретом будет создано правило Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 18 декабря, 2016 · Жалоба Всем привет! Обновился и тут вот : 2016-12-18 23:07:45]: error: ipoe: nl_add_vlan_mon: error talking to kernel [2016-12-18 23:07:45]: error: ipoe: nl_add_vlan_mon: error talking to kernel [2016-12-18 23:07:45]: msg: accel-ppp version 0b3e64e4b056cf6b17c4bdc45100c11bcc116e8d Собственно не создаются интерфейсы. У тех, что были ранее - все ок. 49 lua-file=/etc/accel-ppp.lua 50 username=lua:username 58 shared=0 59 ifcfg=1 60 mode=L2 61 start=dhcpv4 62 proxy-arp=1 63 nat=0 64 proto=100 77 interface=re:eth2 78 interface=re:eth2\.[1-4][0-9][0-9][0-9] 79 interface=re:eth2\.[1-4][0-9][0-9][0-9]\.(\d+)$ 80 vlan-mon=re:eth2\.[1-4][0-9][0-9][0-9],1-4090 81 vlan-timeout=900 Подскажите, пожалуйста. UPDATE : Разобрался. Vlan-mon стал отдельным модулем. Собрал и подгрузил - все работает. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yazero Опубликовано 20 декабря, 2016 (изменено) · Жалоба народ что подскажите по услуге 100 мбит до абонента вводные - имею внешний канала 2 gb (средняя 0.9G , пики 1.2G) - кол. физиков 1,5К - кол. юриков 0,5К - коммутаторы с аплинком 1 gb ограничения - не должно быть перегруза на сети - параметры qos должны быть прописаны в одном месте к примеру на bras (или в l3 ядре ) и далее распеределяются по сети (q-in-q пока нет) как я это вижу : прописать qos так что бы абонент создающий высоку нагрузку (xx % на cpu , кол. соединений , тарфик xx) помечался как не приоритетный до момента снижения нагрузки менее заданной.понравилась статья http://www.ripn.net/articles/QoS/ немножко про codel https://habrahabr.ru/post/194274/ нужно ли учитывать https://habrahabr.ru/post/246791/ з.с. пока qos нет ни в каком виде. Изменено 20 декабря, 2016 пользователем yazero Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 20 декабря, 2016 · Жалоба 2 гбита на 2к абонов - нормально и без всяких приоритетов будет ИМХО. разве что если сейчас абоны на мегабите сидят - то после получения сотки набросятся качать, пока винты хламом не засрутся. если сейчас массовый тариф 10-20 мбит - особо заметного роста потребления трафла не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...