myth Опубликовано 24 октября, 2017 · Жалоба Я просто не включаю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 26 октября, 2017 · Жалоба В 25.10.2017 в 00:47, shuu01 сказал: в 9 дебе (ядро 4.9) этот патчик для xt_TCPMSS уже присутствует. Обновился до 9. Патч в ванильном ядре или в рамках дистрибутива? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shuu01 Опубликовано 26 октября, 2017 · Жалоба 2 часа назад, taf_321 сказал: Патч в ванильном ядре или в рамках дистрибутива? в ванильном тоже есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 26 октября, 2017 · Жалоба В 23.10.2017 в 19:16, shuu01 сказал: Вечером снова появились клиенты, у которых не открываются сайты. В 24.10.2017 в 10:55, myth сказал: У нас были такие, но немного. А что за девайсы у клиентов то, не некротики часом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shuu01 Опубликовано 26 октября, 2017 · Жалоба 10 минут назад, Dimka88 сказал: А что за девайсы у клиентов то, не некротики часом? тплинки, длинки, зуксели в основном. Насчет некротиков не в курсе, если есть, то единицы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry76 Опубликовано 26 октября, 2017 · Жалоба Подскажите, как правильно реализовать вот такое бутылочное горлышко... Все просто: есть схема клиент->accel->radius. Надо обграничить количество запросов на авторизацию каким-то определенным значением. Именно средствами акцеля. Я понимаю, многие пользователи не смогут сходу авторизоваться (особенно в случае перезагрузки сервера и массовых переконнектов), но тем не менее на текущий момент нужна такая реализация. Как это правильно сделать? Вижу два варианта: 1) в настройках радиус-авторизации выставить параметр req-limit: req-limit - number of simultaneous requests to server (0 - unlimited). 2) выставить padi-limit в секции pppoe в ненулевое значение. Тогда количество ответов на PADI будет ограничено и,соотвественно меньше будет генерироваться запросов на авторизацию для тех клиентов которые прошли полную Discovery фазу с этим сервером. Интересует поведение акцеля для запросов, которые превышают. Они отбрасываются или ставятся в очередь (вроде, по второму варианту сессия уходит в состояние starting в статистике). Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба [connlimit] limit=1/5min burst=20 timeout=3600 ограничивается количество авторизаций с мак адреса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 27 октября, 2017 · Жалоба В последних версиях некротиков что-то отломали, они перестали получать DNS автоматом по pppoe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry76 Опубликовано 27 октября, 2017 (изменено) · Жалоба myth увы, но это ограничения для одного источника (клиента, мак, не важно). Надо что-бы общее ограничение было. Пока есть какие-то затыки с базой радиус и в случае резкого наплыва (допустим BRAS был перезагружен) возникают блокировки и после этого затыки. Надо, грубо говоря, для 500 клиентов сгенерировать Access-Request'ы не в течение секунды, а скажем, 30-60 сек. Изменено 27 октября, 2017 пользователем Dmitry76 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба Правильнее починить базу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 27 октября, 2017 · Жалоба 4 часа назад, Dmitry76 сказал: myth увы, но это ограничения для одного источника (клиента, мак, не важно). Надо что-бы общее ограничение было. Пока есть какие-то затыки с базой радиус и в случае резкого наплыва (допустим BRAS был перезагружен) возникают блокировки и после этого затыки. Надо, грубо говоря, для 500 клиентов сгенерировать Access-Request'ы не в течение секунды, а скажем, 30-60 сек. [radius] server=127.0.0.1,password,auth-port=1812,acct-port=1813,req-limit=200,fail-time=0 Ставьте limit=10 "и пусть клиенты подождут". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 октября, 2017 · Жалоба Многие роутеры подобное без перезагрузки не переживают К слову, Intel(R) Pentium(R) CPU G3258 @ 3.20GHz вообще не напрягаясь тащит 700 реквестов в секунду Нас утыкается в полку, aaa пофиг, так что легко может больше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arhead Опубликовано 30 октября, 2017 · Жалоба В 13.07.2017 в 20:03, myth сказал: Шейпер с приоритезацией, управление доступом к iptv, и прочие интересные действия в зависимости от Filter Id А можно поподробнее? Просто если IPoE то iptv шейпер будет резать если через стандартные методы делать. Где можно взять примеры скриптов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 30 октября, 2017 · Жалоба Может кто нибудь поделиться конфигом bird под accel-ppp (PPPoE), хочу попробовать на тест после quagga. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 ноября, 2017 · Жалоба В 10/30/2017 в 11:13, hsvt сказал: Может кто нибудь поделиться конфигом bird под accel-ppp (PPPoE) а какое отношение bird имеет к акселю-то? вернее - чем аксель повлияет на его конфиг? в птичке все стандартно в общем-то настраивается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 2 ноября, 2017 · Жалоба 13 часов назад, NiTr0 сказал: а какое отношение bird имеет к акселю-то? вернее - чем аксель повлияет на его конфиг? в птичке все стандартно в общем-то настраивается. Согласен, мало относится к топику, просто хочется пример, как анонсы сделаны и политики именно для ppp, после quagga не совсем доезжаю) хотя опыт по JunOS есть и с бирдом он схож. Примеры которые находил они все больше для eBGP или чего то узко направленного. Как я понимаю мне нужно дефолт в сторону бордера, а обратные динамически по more specific будут возвращаться на брас. Пулы не использую, статика радиусом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 3 ноября, 2017 · Жалоба Конфиг стандартный. Единственное, надо разрешить экспорт в птицу прямые маршруты: ... protocol direct { interface "-lo*", "ppp*"; # Restrict network interfaces it works with } ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 ноября, 2017 · Жалоба В 11/3/2017 в 09:08, taf_321 сказал: Единственное, надо разрешить экспорт в птицу прямые маршруты: лучше - статику и прямые. ну и lo не обязательно игнорить. и да, не экспорт а импорт таки (экспорт - то что уходит из птицы наружу по протоколу, импорт - то что приходит). а в остальном - все стандартно, никаких подводных камней. все что попало в таблицу птички и прошло фильтр экспорта протокола, спокойно уходит соседям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 8 ноября, 2017 · Жалоба Спасибо, подниму стенд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry76 Опубликовано 13 ноября, 2017 · Жалоба Подскажите, пожалуйста, есть ли возможность использовать несколько сетей в одном именованном пуле? Конструкция, типа: 192.168.0.0/24,name=pool1 10.0.0.0/24,name=pool1 прокатит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 15 ноября, 2017 · Жалоба Всем привет. Что то недавно перестали работать сервисы гугла(ютуб) у клиентов по vpn Конфиг [ppp] verbose=1 min-mtu=1280 mtu=1400 mru=1400 check-ip=1 ipv4=require ipv6=deny ipv6-intf-id=0:0:0:1 ipv6-peer-intf-id=0:0:0:2 ipv6-accept-peer-intf-id=1 lcp-echo-interval=20 lcp-echo-timeout=120 unit-cache=1 при этом по ipoe проблем нет. Дело в МТУ, в какую сторону подкрутить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 15 ноября, 2017 · Жалоба Уже не помню когда, но обнаружил проблему с выставлением размера mtu на ppp-соединениях, при подключении клиентов параметры mtu из конфига accel просто игнорировались, и оставались 1500. Пришлось городить в /etc/ppp/ip-up такой костыль: # Set correct MTU /sbin/ip link set dev $1 mtu 1480 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 15 ноября, 2017 · Жалоба вопрос конечно интересный, но смотрю ifconfig и он мне кажет такое: ppp786: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1420 ppp799: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1396 ppp805: flags=81<UP,POINTOPOINT,RUNNING> mtu 1436 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 17 ноября, 2017 · Жалоба еще по теме. Как оказалась, проблема не на всех устройствах. через 1 роутер, два андроида ведут себя по разному, на одном может работать, на другом, нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dmitry76 Опубликовано 17 ноября, 2017 · Жалоба И еще на тему mtu. При включенной опции unit_preallocate (которая нужна для правильного заполнения аттрибута NAS-Port), на все стартующие интерфейсы выставляется дефолтовый MTU 1500 б. При этом согласования LCP игнорируются. Можно исправить такое поведение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...