Перейти к содержимому
Калькуляторы
В 25.10.2017 в 00:47, shuu01 сказал:

в 9 дебе (ядро 4.9) этот патчик для xt_TCPMSS уже присутствует. Обновился до 9.

Патч в ванильном ядре или в рамках дистрибутива?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, taf_321 сказал:

Патч в ванильном ядре или в рамках дистрибутива?

в ванильном тоже есть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 23.10.2017 в 19:16, shuu01 сказал:

Вечером снова появились клиенты, у которых не открываются сайты.

 

В 24.10.2017 в 10:55, myth сказал:

У нас были такие, но немного.

А что за девайсы у клиентов то, не некротики часом? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, Dimka88 сказал:

А что за девайсы у клиентов то, не некротики часом? 

тплинки, длинки, зуксели в основном. Насчет некротиков не в курсе, если есть, то единицы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, как правильно реализовать вот такое бутылочное горлышко... Все просто: есть схема клиент->accel->radius.  Надо обграничить количество запросов на авторизацию каким-то определенным значением. Именно средствами акцеля. Я понимаю, многие пользователи не смогут сходу авторизоваться (особенно в случае перезагрузки сервера и массовых переконнектов), но тем не менее на текущий момент нужна такая реализация. Как это правильно сделать?

Вижу два варианта:

1) в настройках радиус-авторизации выставить параметр req-limit:

 req-limit  - number of simultaneous requests to server (0 - unlimited).

2) выставить padi-limit в секции pppoe в ненулевое значение. Тогда количество ответов на PADI будет ограничено и,соотвественно меньше будет генерироваться запросов на авторизацию для тех клиентов которые прошли полную Discovery фазу с этим сервером.

Интересует поведение акцеля для запросов, которые превышают. Они отбрасываются или ставятся в очередь (вроде, по второму варианту сессия уходит в состояние starting в статистике).

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[connlimit]
limit=1/5min
burst=20
timeout=3600

 

ограничивается количество авторизаций с мак адреса

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В последних версиях некротиков что-то отломали, они перестали получать DNS автоматом по pppoe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myth увы, но это ограничения для одного источника (клиента, мак, не важно). Надо что-бы общее ограничение было. Пока есть какие-то затыки с базой радиус и в случае резкого наплыва (допустим BRAS был перезагружен) возникают блокировки и после этого затыки. Надо, грубо говоря, для 500 клиентов сгенерировать Access-Request'ы не в течение секунды, а скажем, 30-60 сек.

Изменено пользователем Dmitry76

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, Dmitry76 сказал:

myth увы, но это ограничения для одного источника (клиента, мак, не важно). Надо что-бы общее ограничение было. Пока есть какие-то затыки с базой радиус и в случае резкого наплыва (допустим BRAS был перезагружен) возникают блокировки и после этого затыки. Надо, грубо говоря, для 500 клиентов сгенерировать Access-Request'ы не в течение секунды, а скажем, 30-60 сек.

[radius]
server=127.0.0.1,password,auth-port=1812,acct-port=1813,req-limit=200,fail-time=0

Ставьте limit=10 "и пусть клиенты подождут".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Многие роутеры подобное без перезагрузки не переживают

 

К слову, Intel(R) Pentium(R) CPU G3258 @ 3.20GHz вообще не напрягаясь тащит 700 реквестов в секунду

 

Нас утыкается в полку, aaa пофиг, так что легко может больше

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 13.07.2017 в 20:03, myth сказал:

Шейпер с приоритезацией, управление доступом к iptv, и прочие интересные действия в зависимости от Filter Id

А можно поподробнее? Просто если IPoE то iptv шейпер будет резать если через стандартные методы делать. Где можно взять примеры скриптов?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто нибудь поделиться конфигом bird под accel-ppp (PPPoE), хочу попробовать на тест после quagga. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 10/30/2017 в 11:13, hsvt сказал:

Может кто нибудь поделиться конфигом bird под accel-ppp (PPPoE)

а какое отношение bird имеет к акселю-то? вернее - чем аксель повлияет на его конфиг?

 

в птичке все стандартно в общем-то настраивается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, NiTr0 сказал:

а какое отношение bird имеет к акселю-то? вернее - чем аксель повлияет на его конфиг?

 

в птичке все стандартно в общем-то настраивается.

Согласен, мало относится к топику, просто хочется пример, как анонсы сделаны и политики именно для ppp, после quagga не совсем доезжаю) хотя опыт по JunOS есть и с бирдом он схож. Примеры которые находил они все больше для eBGP или чего то узко направленного.

 

Как я понимаю мне нужно дефолт в сторону бордера, а обратные динамически по more specific будут возвращаться на брас. Пулы не использую, статика радиусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиг стандартный. Единственное, надо разрешить экспорт в птицу прямые маршруты:


 

...

protocol direct {
        interface "-lo*", "ppp*";        # Restrict network interfaces it works with
}

...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 11/3/2017 в 09:08, taf_321 сказал:

Единственное, надо разрешить экспорт в птицу прямые маршруты:

лучше - статику и прямые. ну и lo не обязательно игнорить. и да, не экспорт а импорт таки (экспорт - то что уходит из птицы наружу по протоколу, импорт - то что приходит).

 

а в остальном - все стандартно, никаких подводных камней. все что попало в таблицу птички и прошло фильтр экспорта протокола, спокойно уходит соседям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, подниму стенд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, пожалуйста, есть ли возможность использовать несколько сетей в одном именованном пуле? Конструкция, типа:

192.168.0.0/24,name=pool1

10.0.0.0/24,name=pool1

прокатит?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет. Что то недавно перестали работать сервисы гугла(ютуб) у клиентов по vpn

Конфиг

[ppp]
verbose=1
min-mtu=1280
mtu=1400
mru=1400
check-ip=1
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=20
lcp-echo-timeout=120
unit-cache=1

при этом по ipoe проблем нет. Дело в МТУ, в какую сторону подкрутить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже не помню когда, но обнаружил проблему с выставлением размера mtu на ppp-соединениях, при подключении клиентов параметры mtu из конфига accel просто игнорировались, и оставались 1500. Пришлось городить в /etc/ppp/ip-up такой костыль:

 

# Set correct MTU
/sbin/ip link set dev $1 mtu 1480

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопрос конечно интересный, но смотрю ifconfig и он мне кажет такое:

ppp786: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1420

ppp799: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1396

ppp805: flags=81<UP,POINTOPOINT,RUNNING>  mtu 1436

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще по теме. Как оказалась, проблема не на  всех устройствах. через 1 роутер, два андроида ведут себя по разному, на одном может работать, на другом, нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И еще на тему mtu. При включенной опции unit_preallocate  (которая нужна для правильного заполнения аттрибута NAS-Port), на все стартующие интерфейсы выставляется дефолтовый MTU 1500 б. При этом согласования LCP игнорируются.

Можно исправить такое поведение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.