Jump to content
Калькуляторы

В bash выполните

ip netns add default

и будет подниматься, проверил на стенде. Отпишитесь по результатам, а то namespaces еще сам не ковырял.

Как то странно вышло, после удаления netns default собрал снова мастер и vlan_mon заработал без ip netns add default.

Разобрался.

В accel-ppp.conf секция [modules] туда нужно добавить vlan-mon.

example

[modules]
log_file
vlan-mon
ipoe
radius

Share this post


Link to post
Share on other sites

Ну это как бы логично.

Ну не особо логично, так как это не документировано потому что, оно должно передаться статически в код при компоновке, чего не произошло.

Share this post


Link to post
Share on other sites

Да, модуль ipoe загружен.

Там вроде бы появился модуль vlan_mon, его тоже загрузили?

 

Действительно дело было в не загруженном модуле vlan_mon.

С ним все работает.

Share this post


Link to post
Share on other sites

Поделитесь кто как организует авторизацию абонентов IPOE.

 

Навскидку 2 варианта. Без учета мак адреса абонента и с учетом его мака. Оба варианта так себе.

 

Первый хорош с точки зрения своей прозрачности для абонента при замене его оборудования,

но через некоторое время приведет к тому, что техподдержка перепутает абонентов на портах домового свича.

 

Во втором, абоненту при смене мака приходится вводить логин-пароль на странице регистрации.

Для абонента проблемы, зато техподдержка в шоколаде.

 

Может еще какие варианты есть?

Share this post


Link to post
Share on other sites

Ну не особо логично, так как это не документировано потому что, оно должно передаться статически в код при компоновке, чего не произошло.

Было уже, наступали - http://forum.nag.ru/...dpost&p=1276312

Я так понял, xeb выпустил патч и теперь не нужно указывать в секции модулей vlan-mon. https://sourceforge.net/p/accel-ppp/code/ci/618179e8a5ce78adeff358025031f36fac937dd9/

Share this post


Link to post
Share on other sites

Стали появляться клиенты с роутерами, в которых настроено 2 одинаковых PPPoE сессии. Естественно, что accel-ppp в этом случае замещает сессию другой. И так может продолжаться бесконечно. Можно ли ограничить таких клиентов? А то надоедает вручную их блокировать.

Edited by myth

Share this post


Link to post
Share on other sites

Стали появляться клиенты с роутерами, в которых настроено 2 одинаковых PPPoE сессии. Естественно, что accel-ppp в этом случае замещает сессию другой. И так может продолжаться бесконечно. Можно ли ограничить таких клиентов? А то надоедает вручную их блокировать.

 

Секция ppp

single-session=replace|deny

Указывает, следует ли контролировать количество сессии для кадого пользователя.

Если эта опция управления отсутствует контроль количество сессий на пользователя выключен.

Если эта опция replace - accel-ррр прекращает первую сессию, когда вторая выполяет подключение.

Если эта опция deny accel-ррр будет сбрасывать попытки авторизации второй сессии

Share this post


Link to post
Share on other sites

Нет, меня бы интересовало прекращение PADO пакетов такому клиенту.

 

Потому что в ином случае будут страдать другие клиенты.

Share this post


Link to post
Share on other sites

Есть вопрос по IPv6. сейчас фильтры добавляются с protocol ip, и ipv6 трафик не шейпится, возможно ли изменить протокол на all чтобы в шейпер так-же попадали и в6 пакеты?

Share this post


Link to post
Share on other sites

А модуль connlimit чем занимается? А в случае PPPoE?

Share this post


Link to post
Share on other sites

А модуль connlimit чем занимается? А в случае PPPoE?

 

Если не ошибаюсь он ограничивает количество подключений в диапазон времени от одного клиента, в случае с pppoe фактором является MAC адрес.

[connlimit]
      This module limits connection rate from single source.

      limit=count/time
             Specifies acceptable rate of connections, for example limit=1/s or limit=10/m.

      burst=count

      timeout=n
             Specifies timeout in seconds after which module doesn't check rate until burst number of connections will be arrived.

Share this post


Link to post
Share on other sites

Вот и хочется точно узнать актуален ли он для PPPoE?

Share this post


Link to post
Share on other sites

Вот и хочется точно узнать актуален ли он для PPPoE?

Актуален. Регулярно у всяких DIR-300 срывает башню и они начинают флудить попытками поднять сразу пачку pppoe. В параметрах стоит

 

[connlimit]
limit=10/min

и таки да, эти перцы долбятся на брас не чаще одного раза в 5-6 секунд.

Share this post


Link to post
Share on other sites

по reload применяется или надо перезапускать демон?

Share this post


Link to post
Share on other sites

Схема L3, shared=1, start=up.

Версия accel-ppp 1.11.1

Ядро - 4.8.1-1.el6.elrepo.x86_64

 

Непрерывно запускаются сессии и создаются интерфейсы для одного и того же пользователя (IP-192.168.88.100).

К серверу цепляется только один этот пользователь.

 

accel-ppp.conf:

 

[ipoe]

verbose=5

# username=username

password=empty

lease-time=120

renew-time=60

max-lease-time=300

soft-terminate=1

shared=1

ifcfg=1

mode=L3

start=up

proto=100

nat=0

interface=eth1

local-net=192.168.88.0/24

gw-ip-address=192.168.88.254/24

 

 

log:

 

[2016-12-15 04:55:41]: info: ipoe: start interface eth1 ()

[2016-12-15 04:55:41]: debug: libnetlink: RTNETLINK answers: No such file or directory

[2016-12-15 04:55:41]: msg: accel-ppp version 1.11.0

[2016-12-15 04:55:44]: info: ipoe0: create interface ipoe0 parent eth1

[2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_enter 1

[2016-12-15 04:55:44]: info: ipoe0: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 74> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-S

tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >]

[2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_exit 0

[2016-12-15 04:55:44]: info: ipoe0: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.33> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300>

<Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>]

[2016-12-15 04:55:44]: info: ipoe0: 192.168.88.100: authentication succeeded

[2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_enter 1

[2016-12-15 04:55:44]: info: ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 74> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calli

ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193a"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0>

<Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.33>]

[2016-12-15 04:55:44]: debug: ipoe0: radius(1): req_exit 0

[2016-12-15 04:55:44]: info: ipoe0: recv [RADIUS(1) Accounting-Response id=1]

[2016-12-15 04:55:44]: info: ipoe0: ipoe: session started

[2016-12-15 04:55:44]: info: ipoe0: pppd_compat: ip-up started (pid 10756)

[2016-12-15 04:55:44]: info: ipoe0: pppd_compat: ip-up finished (0)

[2016-12-15 04:55:49]: info: ipoe1: create interface ipoe1 parent eth1

[2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_enter 1

[2016-12-15 04:55:49]: info: ipoe1: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 75> <NAS-Port-Id "ipoe1"> <NAS-Port-Type Ethernet> <Calling-S

tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >]

[2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_exit 0

[2016-12-15 04:55:49]: info: ipoe1: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.34> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300>

<Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>]

[2016-12-15 04:55:49]: info: ipoe1: 192.168.88.100: authentication succeeded

[2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_enter 1

[2016-12-15 04:55:49]: info: ipoe1: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 75> <NAS-Port-Id "ipoe1"> <NAS-Port-Type Ethernet> <Calli

ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193b"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0>

<Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.34>]

[2016-12-15 04:55:49]: debug: ipoe1: radius(1): req_exit 0

[2016-12-15 04:55:49]: info: ipoe1: recv [RADIUS(1) Accounting-Response id=1]

[2016-12-15 04:55:49]: info: ipoe1: ipoe: session started

[2016-12-15 04:55:49]: info: ipoe1: pppd_compat: ip-up started (pid 10843)

[2016-12-15 04:55:49]: info: ipoe1: pppd_compat: ip-up finished (0)

[2016-12-15 04:55:54]: info: ipoe2: create interface ipoe2 parent eth1

[2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_enter 1

[2016-12-15 04:55:54]: info: ipoe2: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 76> <NAS-Port-Id "ipoe2"> <NAS-Port-Type Ethernet> <Calling-S

tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >]

[2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_exit 0

[2016-12-15 04:55:54]: info: ipoe2: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.35> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300>

<Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>]

[2016-12-15 04:55:54]: info: ipoe2: 192.168.88.100: authentication succeeded

[2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_enter 1

[2016-12-15 04:55:54]: info: ipoe2: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 76> <NAS-Port-Id "ipoe2"> <NAS-Port-Type Ethernet> <Calli

ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193c"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0>

<Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.35>]

[2016-12-15 04:55:54]: debug: ipoe2: radius(1): req_exit 0

[2016-12-15 04:55:54]: info: ipoe2: recv [RADIUS(1) Accounting-Response id=1]

[2016-12-15 04:55:54]: info: ipoe2: ipoe: session started

[2016-12-15 04:55:54]: info: ipoe2: pppd_compat: ip-up started (pid 10928)

[2016-12-15 04:55:54]: info: ipoe2: pppd_compat: ip-up finished (0)

[2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_enter 1

[2016-12-15 04:55:59]: info: ipoe3: send [RADIUS(1) Access-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 77> <NAS-Port-Id "ipoe3"> <NAS-Port-Type Ethernet> <Calling-S

tation-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Framed-IP-Address 192.168.88.100> <User-Password >]

[2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_exit 0

[2016-12-15 04:55:59]: info: ipoe3: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.115.36> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 2592000> <Idle-Timeout 300>

<Acct-Interim-Interval 120> <DHCP-Router-IP-Address 192.168.111.253>]

[2016-12-15 04:55:59]: info: ipoe3: 192.168.88.100: authentication succeeded

[2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_enter 1

[2016-12-15 04:55:59]: info: ipoe3: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.88.100"> <NAS-Identifier "accel-ppp-60"> <NAS-IP-Address 192.168.140.60> <NAS-Port 77> <NAS-Port-Id "ipoe3"> <NAS-Port-Type Ethernet> <Calli

ng-Station-Id "00:0d:bc:6a:20:49"> <Called-Station-Id "eth1"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "fc7f4bdad980193d"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0>

<Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.115.36>]

[2016-12-15 04:55:59]: debug: ipoe3: radius(1): req_exit 0

[2016-12-15 04:55:59]: info: ipoe3: recv [RADIUS(1) Accounting-Response id=1]

[2016-12-15 04:55:59]: info: ipoe3: ipoe: session started

[2016-12-15 04:55:59]: info: ipoe3: pppd_compat: ip-up started (pid 11013)

[2016-12-15 04:55:59]: info: ipoe3: pppd_compat: ip-up finished (0)

 

Share this post


Link to post
Share on other sites

Попробуйте для эксперимента убрать ifcfg=1, есть подозрения что на ipoeX цепляется приходящий из радиуса атрибут DHCP-Router-IP-Address 192.168.111.253. Я немного не разберусь, зачем вы его передаете?

Share this post


Link to post
Share on other sites

Попробуйте для эксперимента убрать ifcfg=1, есть подозрения что на ipoeX цепляется приходящий из радиуса атрибут DHCP-Router-IP-Address 192.168.111.253. Я немного не разберусь, зачем вы его передаете?

 

Спасибо за совет. Дело было во включенных в конфиге параметрах (в скриншот accel-ppp.conf не попали):

attr-dhcp-client-ip=Framed-IP-Address

attr-dhcp-router-ip=DHCP-Router-IP-Address

attr-dhcp-mask=Framed-IP-Netmask

и передачи этих атрибутов радиусом. Система тестовая и до этого экспериментировал с L2,start=dhcp4. Оттуда и остались хвосты.

 

 

Еще один вопрос:

Если accel получает от радиуса Access-Reject, то следующая попытка авторизоваться происходит через 330 сек. Трафик от клиента идет постоянно.

Этот параметр настраивается?

Share this post


Link to post
Share on other sites

Если accel получает от радиуса Access-Reject, то следующая попытка авторизоваться происходит через 330 сек. Трафик от клиента идет постоянно.

При использовании l4-redirect?

 

из wiki accel-ppp http://accel-ppp.org/wiki/doku.php?id=ru:ipoe#l4-redirect

 

3. Access-Reject от радиуса

Что-бы включить этот режим нужно указать l4-redirect-on-reject= кол-во секунд

 

[ipoe]

l4-redirect-on-reject=300

l4-redirect-table=100

либо

l4-redirect-ipset=l4-redirect

В этом случае если радиус ответит запретом будет создано правило

 

 

Share this post


Link to post
Share on other sites

Всем привет!

 

Обновился и тут вот :

 

2016-12-18 23:07:45]: error: ipoe: nl_add_vlan_mon: error talking to kernel

[2016-12-18 23:07:45]: error: ipoe: nl_add_vlan_mon: error talking to kernel

[2016-12-18 23:07:45]: msg: accel-ppp version 0b3e64e4b056cf6b17c4bdc45100c11bcc116e8d

 

 

Собственно не создаются интерфейсы. У тех, что были ранее - все ок.

 

49 lua-file=/etc/accel-ppp.lua
50 username=lua:username
58 shared=0
59 ifcfg=1
60 mode=L2
61 start=dhcpv4
62 proxy-arp=1
63 nat=0
64 proto=100
77 interface=re:eth2
78 interface=re:eth2\.[1-4][0-9][0-9][0-9]
79 interface=re:eth2\.[1-4][0-9][0-9][0-9]\.(\d+)$
80 vlan-mon=re:eth2\.[1-4][0-9][0-9][0-9],1-4090
81 vlan-timeout=900

 

Подскажите, пожалуйста.

 

UPDATE : Разобрался. Vlan-mon стал отдельным модулем. Собрал и подгрузил - все работает. Спасибо.

Share this post


Link to post
Share on other sites

народ что подскажите по услуге 100 мбит до абонента

вводные

- имею внешний канала 2 gb (средняя 0.9G , пики 1.2G)

- кол. физиков 1,5К

- кол. юриков 0,5К

- коммутаторы с аплинком 1 gb

ограничения

- не должно быть перегруза на сети

- параметры qos должны быть прописаны в одном месте к примеру на bras (или в l3 ядре ) и далее распеределяются по сети (q-in-q пока нет)

как я это вижу :

прописать qos так что бы абонент создающий высоку нагрузку (xx % на cpu , кол. соединений , тарфик xx) помечался как не приоритетный до момента снижения нагрузки менее заданной.понравилась статья

http://www.ripn.net/articles/QoS/ немножко про codel https://habrahabr.ru/post/194274/

нужно ли учитывать

https://habrahabr.ru/post/246791/

 

з.с. пока qos нет ни в каком виде.

Edited by yazero

Share this post


Link to post
Share on other sites

2 гбита на 2к абонов - нормально и без всяких приоритетов будет ИМХО. разве что если сейчас абоны на мегабите сидят - то после получения сотки набросятся качать, пока винты хламом не засрутся. если сейчас массовый тариф 10-20 мбит - особо заметного роста потребления трафла не будет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now