Jump to content
Калькуляторы
В 25.10.2017 в 00:47, shuu01 сказал:

в 9 дебе (ядро 4.9) этот патчик для xt_TCPMSS уже присутствует. Обновился до 9.

Патч в ванильном ядре или в рамках дистрибутива?

Share this post


Link to post
Share on other sites
2 часа назад, taf_321 сказал:

Патч в ванильном ядре или в рамках дистрибутива?

в ванильном тоже есть

Share this post


Link to post
Share on other sites
В 23.10.2017 в 19:16, shuu01 сказал:

Вечером снова появились клиенты, у которых не открываются сайты.

 

В 24.10.2017 в 10:55, myth сказал:

У нас были такие, но немного.

А что за девайсы у клиентов то, не некротики часом? 

Share this post


Link to post
Share on other sites
10 минут назад, Dimka88 сказал:

А что за девайсы у клиентов то, не некротики часом? 

тплинки, длинки, зуксели в основном. Насчет некротиков не в курсе, если есть, то единицы

Share this post


Link to post
Share on other sites

Подскажите, как правильно реализовать вот такое бутылочное горлышко... Все просто: есть схема клиент->accel->radius.  Надо обграничить количество запросов на авторизацию каким-то определенным значением. Именно средствами акцеля. Я понимаю, многие пользователи не смогут сходу авторизоваться (особенно в случае перезагрузки сервера и массовых переконнектов), но тем не менее на текущий момент нужна такая реализация. Как это правильно сделать?

Вижу два варианта:

1) в настройках радиус-авторизации выставить параметр req-limit:

 req-limit  - number of simultaneous requests to server (0 - unlimited).

2) выставить padi-limit в секции pppoe в ненулевое значение. Тогда количество ответов на PADI будет ограничено и,соотвественно меньше будет генерироваться запросов на авторизацию для тех клиентов которые прошли полную Discovery фазу с этим сервером.

Интересует поведение акцеля для запросов, которые превышают. Они отбрасываются или ставятся в очередь (вроде, по второму варианту сессия уходит в состояние starting в статистике).

Спасибо!

Share this post


Link to post
Share on other sites

[connlimit]
limit=1/5min
burst=20
timeout=3600

 

ограничивается количество авторизаций с мак адреса

Share this post


Link to post
Share on other sites

В последних версиях некротиков что-то отломали, они перестали получать DNS автоматом по pppoe.

Share this post


Link to post
Share on other sites

myth увы, но это ограничения для одного источника (клиента, мак, не важно). Надо что-бы общее ограничение было. Пока есть какие-то затыки с базой радиус и в случае резкого наплыва (допустим BRAS был перезагружен) возникают блокировки и после этого затыки. Надо, грубо говоря, для 500 клиентов сгенерировать Access-Request'ы не в течение секунды, а скажем, 30-60 сек.

Edited by Dmitry76

Share this post


Link to post
Share on other sites
4 часа назад, Dmitry76 сказал:

myth увы, но это ограничения для одного источника (клиента, мак, не важно). Надо что-бы общее ограничение было. Пока есть какие-то затыки с базой радиус и в случае резкого наплыва (допустим BRAS был перезагружен) возникают блокировки и после этого затыки. Надо, грубо говоря, для 500 клиентов сгенерировать Access-Request'ы не в течение секунды, а скажем, 30-60 сек.

[radius]
server=127.0.0.1,password,auth-port=1812,acct-port=1813,req-limit=200,fail-time=0

Ставьте limit=10 "и пусть клиенты подождут".

Share this post


Link to post
Share on other sites

Многие роутеры подобное без перезагрузки не переживают

 

К слову, Intel(R) Pentium(R) CPU G3258 @ 3.20GHz вообще не напрягаясь тащит 700 реквестов в секунду

 

Нас утыкается в полку, aaa пофиг, так что легко может больше

Share this post


Link to post
Share on other sites
В 13.07.2017 в 20:03, myth сказал:

Шейпер с приоритезацией, управление доступом к iptv, и прочие интересные действия в зависимости от Filter Id

А можно поподробнее? Просто если IPoE то iptv шейпер будет резать если через стандартные методы делать. Где можно взять примеры скриптов?

 

Share this post


Link to post
Share on other sites

Может кто нибудь поделиться конфигом bird под accel-ppp (PPPoE), хочу попробовать на тест после quagga. 

Share this post


Link to post
Share on other sites
В 10/30/2017 в 11:13, hsvt сказал:

Может кто нибудь поделиться конфигом bird под accel-ppp (PPPoE)

а какое отношение bird имеет к акселю-то? вернее - чем аксель повлияет на его конфиг?

 

в птичке все стандартно в общем-то настраивается.

Share this post


Link to post
Share on other sites
13 часов назад, NiTr0 сказал:

а какое отношение bird имеет к акселю-то? вернее - чем аксель повлияет на его конфиг?

 

в птичке все стандартно в общем-то настраивается.

Согласен, мало относится к топику, просто хочется пример, как анонсы сделаны и политики именно для ppp, после quagga не совсем доезжаю) хотя опыт по JunOS есть и с бирдом он схож. Примеры которые находил они все больше для eBGP или чего то узко направленного.

 

Как я понимаю мне нужно дефолт в сторону бордера, а обратные динамически по more specific будут возвращаться на брас. Пулы не использую, статика радиусом.

Share this post


Link to post
Share on other sites

Конфиг стандартный. Единственное, надо разрешить экспорт в птицу прямые маршруты:


 

...

protocol direct {
        interface "-lo*", "ppp*";        # Restrict network interfaces it works with
}

...

 

Share this post


Link to post
Share on other sites
В 11/3/2017 в 09:08, taf_321 сказал:

Единственное, надо разрешить экспорт в птицу прямые маршруты:

лучше - статику и прямые. ну и lo не обязательно игнорить. и да, не экспорт а импорт таки (экспорт - то что уходит из птицы наружу по протоколу, импорт - то что приходит).

 

а в остальном - все стандартно, никаких подводных камней. все что попало в таблицу птички и прошло фильтр экспорта протокола, спокойно уходит соседям.

Share this post


Link to post
Share on other sites

Подскажите, пожалуйста, есть ли возможность использовать несколько сетей в одном именованном пуле? Конструкция, типа:

192.168.0.0/24,name=pool1

10.0.0.0/24,name=pool1

прокатит?

 

 

Share this post


Link to post
Share on other sites

Всем привет. Что то недавно перестали работать сервисы гугла(ютуб) у клиентов по vpn

Конфиг

[ppp]
verbose=1
min-mtu=1280
mtu=1400
mru=1400
check-ip=1
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=20
lcp-echo-timeout=120
unit-cache=1

при этом по ipoe проблем нет. Дело в МТУ, в какую сторону подкрутить

Share this post


Link to post
Share on other sites

Уже не помню когда, но обнаружил проблему с выставлением размера mtu на ppp-соединениях, при подключении клиентов параметры mtu из конфига accel просто игнорировались, и оставались 1500. Пришлось городить в /etc/ppp/ip-up такой костыль:

 

# Set correct MTU
/sbin/ip link set dev $1 mtu 1480

 

Share this post


Link to post
Share on other sites

вопрос конечно интересный, но смотрю ifconfig и он мне кажет такое:

ppp786: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1420

ppp799: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1396

ppp805: flags=81<UP,POINTOPOINT,RUNNING>  mtu 1436

Share this post


Link to post
Share on other sites

еще по теме. Как оказалась, проблема не на  всех устройствах. через 1 роутер, два андроида ведут себя по разному, на одном может работать, на другом, нет.

Share this post


Link to post
Share on other sites

И еще на тему mtu. При включенной опции unit_preallocate  (которая нужна для правильного заполнения аттрибута NAS-Port), на все стартующие интерфейсы выставляется дефолтовый MTU 1500 б. При этом согласования LCP игнорируются.

Можно исправить такое поведение?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now