Jump to content
Калькуляторы

На 291ddba8d9edc811ad202405055decf4f179981a proto=100 отрабатывает.

Share this post


Link to post
Share on other sites

Настроил связку LanBilling (1.9-010hf4) Accel-ppp IPoE влан на пользователя. В лане настроена готевая сеть которая выдается когда пользователь заблокирован. На сервере настроил что бы перенаправлял на страницу о блокировке. Все вроде работает, но после авторизации срабатывает ScriptStop и получается что пользователя вырубает т.к. скрипт посылает terminate и естественно пользователь не работает.Выставил опции что сеть, NAT, гостевая, игнорировать л. трафик. Так же в настройках агента Игнорировать трафик для заблокированных учетных записей. В логах так:

 

14.04.2017 15:20:10 INFO 0x7fea65ffb700 [AuthenticateFromDB] Login 'ipoe-51-1000' blocked (by balance).

14.04.2017 15:20:10 INFO 0x7fea65ffb700 [RunAuthRequest] Blocked user 'ipoe-51-1000' accepted within guest network

14.04.2017 15:20:10 INFO 0x7fea65ffb700 [RunAuthRequest] Access-Accept, <ipoe-51-1000> [9645], {blocked by balance}

14.04.2017 15:20:10 INFO 0x7fea657fa700 [RunAcctRequestInst] Starting ScriptStart for ipoe-51-1000.

14.04.2017 15:20:30 INFO 0x7fea67fff700 [ProcessSessions] Running ScriptStop for 'ipoe-51-1000' session '064d01ed39b92f39', blocked [5]

14.04.2017 15:22:44 INFO 0x7fea65ffb700 [AuthenticateFromDB] Login 'ipoe-51-1000' blocked (by balance).

14.04.2017 15:22:44 INFO 0x7fea65ffb700 [RunAuthRequest] Blocked user 'ipoe-51-1000' accepted within guest network

14.04.2017 15:22:44 INFO 0x7fea65ffb700 [RunAuthRequest] Access-Accept, <ipoe-51-1000> [9645], {blocked by balance}

14.04.2017 15:22:44 INFO 0x7fea657fa700 [RunAcctRequestInst] Starting ScriptStart for ipoe-51-1000.

14.04.2017 15:23:00 INFO 0x7fea67fff700 [ProcessSessions] Running ScriptStop for 'ipoe-51-1000' session '064d01ed39b92f3a', blocked [5]

14.04.2017 15:25:18 INFO 0x7fea65ffb700 [AuthenticateFromDB] Login 'ipoe-51-1000' blocked (by balance).

14.04.2017 15:25:18 INFO 0x7fea65ffb700 [RunAuthRequest] Blocked user 'ipoe-51-1000' accepted within guest network

14.04.2017 15:25:18 INFO 0x7fea65ffb700 [RunAuthRequest] Access-Accept, <ipoe-51-1000> [9645], {blocked by balance}

14.04.2017 15:25:18 INFO 0x7fea657fa700 [RunAcctRequestInst] Starting ScriptStart for ipoe-51-1000.

14.04.2017 15:25:31 INFO 0x7fea67fff700 [ProcessSessions] Running ScriptStop for 'ipoe-51-1000' session '064d01ed39b92f3b', blocked [5]

14.04.2017 15:27:53 INFO 0x7fea65ffb700 [AuthenticateFromDB] Login 'ipoe-51-1000' blocked (by balance).

14.04.2017 15:27:53 INFO 0x7fea65ffb700 [RunAuthRequest] Blocked user 'ipoe-51-1000' accepted within guest network

14.04.2017 15:27:53 INFO 0x7fea65ffb700 [RunAuthRequest] Access-Accept, <ipoe-51-1000> [9645], {blocked by balance}

14.04.2017 15:27:53 INFO 0x7fea657fa700 [RunAcctRequestInst] Starting ScriptStart for ipoe-51-1000.

14.04.2017 15:28:00 INFO 0x7fea67fff700 [ProcessSessions] Running ScriptStop for 'ipoe-51-1000' session '064d01ed39b92f3c', blocked [5]

 

 

Кто нибудь делал такое?

Share this post


Link to post
Share on other sites

я думаю, тут надо пинать поддержку биллинга с вопросом "чозанафиг?"...

Share this post


Link to post
Share on other sites

arhead

Судя по приведенному логу

14.04.2017 15:25:31 INFO 0x7fea67fff700 [ProcessSessions]	Running ScriptStop for 'ipoe-51-1000' session '064d01ed39b92f3b', blocked [5]
14.04.2017 15:28:00 INFO 0x7fea67fff700 [ProcessSessions]	Running ScriptStop for 'ipoe-51-1000' session '064d01ed39b92f3c', blocked [5]

скрипт Stop запускается по причине 5 блокировки - это блокировка по превышению учетной записью лимита трафика

Share this post


Link to post
Share on other sites

скрипт Stop запускается по причине 5 блокировки - это блокировка по превышению учетной записью лимита трафика

...для свежеподнявшейся гостевой сессии. офигеть, чо.

Share this post


Link to post
Share on other sites

скрипт Stop запускается по причине 5 блокировки - это блокировка по превышению учетной записью лимита трафика

 

А где выставить лимит я как понимаю в свойствах тарифа? Или где то еще?

Share this post


Link to post
Share on other sites

А где выставить лимит я как понимаю в свойствах тарифа? Или где то еще?

у вас пакеты с лимитом трафика?

 

тут не факт что выставление лимита как-либо поможет.

Share this post


Link to post
Share on other sites

у вас пакеты с лимитом трафика?

 

тут не факт что выставление лимита как-либо поможет.

 

Безлимитный.

 

Не помогло. Думаю скорее это глюк именно этой версии.

Share this post


Link to post
Share on other sites

у вас пакеты с лимитом трафика?

 

тут не факт что выставление лимита как-либо поможет.

 

Безлимитный.

 

Не помогло. Думаю скорее это глюк именно этой версии.

 

Извиняюсь что ввел в заблуждение с лимитом трафика. Он тут действительно не важен. В скобках указывается не ID типа блокировки, а ID причины блокировки вот из этого списка

1-административный,2-по трафику,3-timeout,4-УЗ изменена,5-блокировка,6-timeout-eap

В данном случае причина в том что учетка просто в блокировке. И видимо действительно это ошибка в конкретной старой сборке АСР

Share this post


Link to post
Share on other sites

И видимо действительно это ошибка в конкретной старой сборке АСР

само собой. обрыв свежеустановившейся сессии сам по себе - ошибка (потому что проверка в одном месте происходит так, а в другом - эдак, совсем по-другому).

Share this post


Link to post
Share on other sites

Коллеги поделитесь пожалуйста файлом accel-ppp.lua, для радиуса UTM5 в схеме IPOE Options 82.

 

Или просто accel-ppp.lua где идет авторизация ип(login) + ип(pass)

Share this post


Link to post
Share on other sites

[2017-05-03 23:07:14]:  info: ipoe4: send [RADIUS(1) Access-Request id=1 <User-Name "e4:8d:8c:96:4d:47"> <NAS-IP-Address x.x.x.x> <NAS-Port 148> <NAS-Port-Id "ipoe
4"> <NAS-Port-Type Ethernet> <Calling-Station-Id "e4:8d:8c:96:4d:47"> <Called-Station-Id "bond1.20"> <NAS-Identifier "ipoe"> <User-Password >]
[2017-05-03 23:07:14]:  info: ipoe4: recv [RADIUS(1) Access-Accept id=1 <Framed-IP-Netmask 255.255.255.255> <Framed-IP-Address x.x.x.x> <Session-Octets-Limit 0> <P
PPD-Downstream-Speed-Limit 5120> <Session-Timeout 2422239> <Acct-Interim-Interval 60> <PPPD-Upstream-Speed-Limit 5120>]
[2017-05-03 23:07:14]:  info: ipoe4: e4:8d:8c:96:4d:47: authentication succeeded
[2017-05-03 23:07:14]: error: ipoe4: can't determine Server-ID
[2017-05-03 23:07:14]:  info: ipoe4: ipoe: session finished

 

вот такую бяку выхватил, причем лупит только у абонентов у которых нет роутеров, инет приходит напрямую в кампы.

через какое-то время абонент все же получает адрес но не надолго...

error: ipoe4: can't determine Server-ID

кто-то уже наступал на эти грабли?

 

accel-ppp version 1.10.1

стоит обновится?

Edited by zulu_radist

Share this post


Link to post
Share on other sites

обновился на последнюю с git

 

root@ipoe-nas1:~# accel-cmd -V

accel-cmd 928aefd7779593961beca41376dd829c26d58de

 

проблема осталась (((

кто-нибудь может подсказать куда копнуть?

Share this post


Link to post
Share on other sites

отвечаю

сам дурак :)

радиус выдавал адрес который в конфиге акцела был как gw-ip-address

Share this post


Link to post
Share on other sites

Я снова всех приветствую :)

 

root@ipoe-nas1:~# cat /var/log/accel-ppp/accel-ppp.log | grep kernel
[2017-05-30 21:27:41]: error: ipoe330: ipoe: nl_create: error talking to kernel
[2017-06-03 14:00:52]: error: ipoe268: ipoe: nl_create: error talking to kernel
[2017-06-06 06:19:30]: error: ipoe87: ipoe: nl_create: error talking to kernel

 

а это как-то лечится? :)

Share this post


Link to post
Share on other sites

Добрый день, подскажите в чем грабли:

Скорости назначаю радиусом через аттрибут Filter-Id, отсылаю в Access-Accept:

Filter-Id=3000
Filter-Id=1,3000
Filter-Id=2,100000

Конфиг accel-ppp:

[shaper]
attr=Filter-Id
time-range=1,08:00-23:59
time-range=2,00:00-07:59
#attr-down=PPPD-Downstream-Speed-Limit
#attr-up=PPPD-Upstream-Speed-Limit
#down-burst-factor=0.1
#up-burst-factor=1.0
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#cburst=1375000
#ifb=ifb0
up-limiter=police
down-limiter=tbf
#leaf-qdisc=sfq perturb 10
#rate-multiplier=1
verbose=1

Вроде как все чудесно:

 ppp475 | shegera           | a0:f3:c1:73:b0:1f | 10.128.220.232 | 3000/3000             | pppoe |      | active | 00:00:02

И сразу же скорость меняется:

 ppp475 | shegera           | a0:f3:c1:73:b0:1f | 10.128.220.232 | 32694/1             | pppoe |      | active | 00:00:05

В логи сыпет такое:

[12405.654865] sch_tbf: burst 63 is lower than device ppp631 mtu (1514) !
[12740.674309] sch_tbf: burst 3 is lower than device ppp458 mtu (1502) !
[13240.451399] sch_tbf: burst 125 is lower than device ppp659 mtu (1502) !
[13372.975747] sch_tbf: burst 3 is lower than device ppp475 mtu (1502) !
[13896.028032] sch_tbf: burst 0 is lower than device ppp655 mtu (1514) !

При таком поведении естественно неправильно режется скорость, а бывает вообще трафик не ходит. Пробовал на версии 1.8.0, а также собирал сегодня из гита последнюю сборку.

 

Сегодня было тоже самое, но немного другие настройки.

 

[1197339.475647] sch_tbf: burst 640 is lower than device ppp793 mtu (1514) !

 

attr=Filter-Id

# down-burst-factor=0.1

down-burst-factor=0.512

up-burst-factor=0.256

# latency=50

# mpu=0

# mtu=0

# mtu=1400

# r2q=10

# quantum=1500

# moderate-quantum=1

# cburst=1534

# ifb=ifb0

up-limiter=police

down-limiter=tbf

# leaf-qdisc=sfq perturb 10

# leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn]

# rate-multiplier=1

# fwmark=1

verbose=1

# ifb=ifb0

# r2q=10

# quantum=1500

# verbose=5

 

tc -s filter show dev ppp793 parent ffff:
filter protocol all pref 100 u32
filter protocol all pref 100 u32 fh 800: ht divisor 1
filter protocol all pref 100 u32 fh 800::1 order 1 key ht 800 bkt 0 flowid :1  (rule hit 2382065 success 2382065)
 match 00000000/00000000 at 0 (success 2382065 )
       action order 1:  police 0x21d1 rate 56320Kbit burst 1760Kb mtu 2Kb action drop overhead 0b
ref 1 bind 1
       Action statistics:
       Sent 760731747 bytes 2382065 pkt (dropped 0, overlimits 0 requeues 0)
       backlog 0b 0p requeues 0

 

Как это лечится?

Share this post


Link to post
Share on other sites

А зачем mtu такой? укажите явно в секции ppp 1500 или повышайте квантум.

Share this post


Link to post
Share on other sites

А зачем mtu такой? укажите явно в секции ppp 1500 или повышайте квантум.

 

В секции ppp указано явно 1492 для PPPoE

 

[ppp]
verbose=1
# timeout=1
min-mtu=1280
mtu=1492
mru=1492
# mss=1440
# accomp=deny
# pcomp=deny
# ccp=0
check-ip=1

Share this post


Link to post
Share on other sites

В секции ppp указано явно 1492 для PPPoE

А нет на сервере l2tp или pptp? Что то такое вспоминается было уже.

Share this post


Link to post
Share on other sites

В секции ppp указано явно 1492 для PPPoE

А нет на сервере l2tp или pptp? Что то такое вспоминается было уже.

 

Неа, чистый PPPoE.

 

Было такое же еще разок:

 

Jun 27 12:44:11 bras1 kernel: sch_tbf: burst 640 is lower than device ppp377 mtu (1502) !

 

ip a s ppp377

6279: ppp377: <POINTOPOINT,UP,LOWER_UP> mtu 1480 qdisc tbf state UNKNOWN qlen 3
   link/ppp
   inet 172.16.31.1 peer 10.25.34.20/32 scope global ppp377
      valid_lft forever preferred_lft forever

 

 tc -s filter show dev ppp377 parent ffff:
filter protocol all pref 100 u32
filter protocol all pref 100 u32 fh 800: ht divisor 1
filter protocol all pref 100 u32 fh 800::1 order 1 key ht 800 bkt 0 flowid :1  (rule hit 195073 success 195073)
 match 00000000/00000000 at 0 (success 195073 )
       action order 1:  police 0xb8e7 rate 40960Kbit burst 1280Kb mtu 2Kb action drop overhead 0b
ref 1 bind 1
       Action statistics:
       Sent 19504555 bytes 195073 pkt (dropped 0, overlimits 0 requeues 0)
       backlog 0b 0p requeues 0

 

Правда уже сейчас на ppp377 другой клиент скорей всего, т.к. unit cache.

Share this post


Link to post
Share on other sites

Заметил досадный момент.

Имеется (accel-ppp version e8dda21218a0bcb5363490a35e2cfed798421f2c)

испольуемые модули:

[modules]
log_file
log_syslog
ipoe
radius
shaper
net-snmp

используемая схема (из основного):

[ipoe] 
l4-redirect-ipset=redirect_list
shared=1
ifcfg=0
mode=L2
interface=re:eth9.[0-9][0-9] 
vlan-mon=eth9,9-200

 

загружены модули ядра:

ipoe

vlan_mon

 

Всё работает, на первый взгляд.

Но заметил момент.

Иногда при включении/отключении L4-redirect по средствам COA (несколько раз пробовал включить/отключить на учётку), на интерфейсе пропадают занчения шейпера (в итогде учётка может оказаться без значений шейпера). Вернуть их можно только передав по COA или остановкой сессии и поднятия новой.

При поднятии сессии, передаётся следующая информация:

       Framed-IP-Address = 172.16.0.10
       Framed-IP-Netmask = 255.255.255.255
       Filter-Id = "2048/1024"
       L4-Redirect = 1 или 0 (в зависимости от потребности)

COA включения/отключения:

echo "Framed-IP-Address=172.16.0.10,L4-Redirect="0"" | radclient -x 192.168.50.15:3799 coa testing123

 

так всё корректно:

echo "Framed-IP-Address=172.16.0.10,L4-Redirect="0",Filter-Id="1024/2048"" | radclient -x 192.168.50.15:3799 coa testing123

 

Иногда и первый вариант работает исправно. Но через некоторое количество раз его выполнения, скорость на интерфейсе может "слететь". или стать не корректной, вида - 0/32669 или 1078558720/1024. При этом отсутствует ping даже на интерфейс самого БРАС-а, который шлюз по умолчанию у клиента. Выполнив COA с установкой нужной скорости, всё возвращяется на круги своя. Какой то закономерности в количестве или последовательности выполнения замечено небыло. (иногда через 3 выполнения проявлялось, иногда больше). Не корректная скорость оказалась единожды, а вот пропадала чаще.

 

Сталкивался ли кто с таким поведением? Или быть может я не корректно выполняю COA ?

Edited by bomberman

Share this post


Link to post
Share on other sites

Ребят а не у кого проблем с IPoE и PPPoE роутерами Asus RT-N***. Уже 3 абона с такой проблемой. На PPPoE постоянные переподключения а на IPoE вообще не хочет работать хотя мак адрес я вижу.

Share this post


Link to post
Share on other sites

Заметил досадный момент.

Имеется (accel-ppp version e8dda21218a0bcb5363490a35e2cfed798421f2c)

испольуемые модули:

[modules]
log_file
log_syslog
ipoe
radius
shaper
net-snmp

используемая схема (из основного):

[ipoe] 
l4-redirect-ipset=redirect_list
shared=1
ifcfg=0
mode=L2
interface=re:eth9.[0-9][0-9] 
vlan-mon=eth9,9-200

 

загружены модули ядра:

ipoe

vlan_mon

 

Всё работает, на первый взгляд.

Но заметил момент.

Иногда при включении/отключении L4-redirect по средствам COA (несколько раз пробовал включить/отключить на учётку), на интерфейсе пропадают занчения шейпера (в итогде учётка может оказаться без значений шейпера). Вернуть их можно только передав по COA или остановкой сессии и поднятия новой.

При поднятии сессии, передаётся следующая информация:

       Framed-IP-Address = 172.16.0.10
       Framed-IP-Netmask = 255.255.255.255
       Filter-Id = "2048/1024"
       L4-Redirect = 1 или 0 (в зависимости от потребности)

COA включения/отключения:

echo "Framed-IP-Address=172.16.0.10,L4-Redirect="0"" | radclient -x 192.168.50.15:3799 coa testing123

 

так всё корректно:

echo "Framed-IP-Address=172.16.0.10,L4-Redirect="0",Filter-Id="1024/2048"" | radclient -x 192.168.50.15:3799 coa testing123

 

Иногда и первый вариант работает исправно. Но через некоторое количество раз его выполнения, скорость на интерфейсе может "слететь". или стать не корректной, вида - 0/32669 или 1078558720/1024. При этом отсутствует ping даже на интерфейс самого БРАС-а, который шлюз по умолчанию у клиента. Выполнив COA с установкой нужной скорости, всё возвращяется на круги своя. Какой то закономерности в количестве или последовательности выполнения замечено небыло. (иногда через 3 выполнения проявлялось, иногда больше). Не корректная скорость оказалась единожды, а вот пропадала чаще.

 

Сталкивался ли кто с таким поведением? Или быть может я не корректно выполняю COA ?

 

У вас LB используется? Я не сталкивался, оно пока не запущено до конца, но собирался делать так же: при выходе из блокировки отправлять L4-Redirect=0 и повторно Filter-Id. Но пока не тестировал на живом)

Share this post


Link to post
Share on other sites

У вас LB используется?

LB это что? если Вы о LanBilling? - нет :)

Я тоже пологал, что достаточно только L4-Redirect отправить. В принципе так и есть, только вот как то не совсем адекватно работатет при многократной отправке.

К тому же заметил не совсем пока понятное для меня поведение, шейпера.

настройки были следующие:

при использовании police

 

[shaper]
attr=Filter-Id
up-limiter=police
down-limiter=tbf

скорость upload (на стороне подписчика), правильно "режется" только в пределах до 1Мб. При указании скорости upload свыше 1Мб, по факту остаётся в пределах 1,2Мб. При 100Мб ~ 2-4 Мб.

 

Собрал ядро с поддержкой ifb, написал слудующую конструкцию в конфиге для использования шейпинга.

[shaper]
attr=Filter-Id
ifb=ifb0
up-limiter=htb
down-limiter=tbf

 

Всё работает корректно. ifb accel создаёт, скорость "режется" согласно переданным данным из radius. Всё работает.

 

Пока детально не разбирался с причиной, но если кто подскажет причину такого поведения, или направления "копания", буду признателен.

Edited by bomberman

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now