[nik247]

исправил

Спасибо.

GW нормально стал работать.

Изменено 11 июня, 2013 пользователем nik247

[nik247]

to xeb:

Спасибо за фикс с accel-cmd restart - теперь нормально закрывает и перегружается.

А вот проблема с корректными /etc/init.d/accel-ppp stop или restart остались (Debian7).

По этим командам accel-ppp не всегда закрывает ipoe сессии (удаление интерфейсов и посылка STOP на radius)

Иногда это выглядит только так (нормально):

[2013-06-11 23:08:32]:  info: recv [DHCPv4 Request xid=e355fc5a ciaddr=194.24.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type Request> <Client-ID 0108002787d5
[2013-06-11 23:08:32]:  info: ipoe40.ipoe0: send [DHCPv4 Ack xid=e355fc5a ciaddr=192.168.237.109 yiaddr=192.168.237.109 chaddr=08:00:27:87:d5:a4 <Message-Type
[2013-06-11 23:08:56]:  info: terminate, sig = 15
[2013-06-11 23:08:56]: debug: ipoe40.ipoe0: terminate
[2013-06-11 23:08:56]:  info: ipoe40.ipoe0: send [RADIUS(1) Accounting-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address
[2013-06-11 23:08:56]:  info: ipoe40.ipoe0: recv [RADIUS(1) Accounting-Response id=1]
[2013-06-11 23:08:56]:  info: ipoe40.ipoe0: pppd_compat: ip-down started (pid 13272)
[2013-06-11 23:08:56]:  info: ipoe40.ipoe0: pppd_compat: ip-down finished (0)
[2013-06-11 23:08:56]:  info: ipoe40.ipoe0: ipoe: session finished
[2013-06-11 23:09:44]:  warn: failed to load pptp kernel module
[2013-06-11 23:09:44]:  warn: unable to load l2tp kernel module
[2013-06-11 23:09:44]:  warn: failed to load ifb kernel module
[2013-06-11 23:09:44]:   msg: accel-ppp version 338e86560f0bb991852f977ff5376a2d9fb71b20
[2013-06-11 23:09:44]:  info: net-snmp: NET-SNMP version 5.4.3 AgentX subagent connected

Но чаще это выглядит только так:

[2013-06-11 23:18:36]:  info: ipoe40.ipoe0: send [DHCPv4 Ack xid=60ae1d8b ......
[2013-06-11 23:18:43]:  info: terminate, sig = 15
[2013-06-11 23:18:43]:  warn: failed to load pptp kernel module
[2013-06-11 23:18:43]:  warn: failed to load pppoe kernel module
[2013-06-11 23:18:43]:   msg: accel-ppp version 338e86560f0bb991852f977ff5376a2d9fb71b20
[2013-06-11 23:18:43]:  info: net-snmp: NET-SNMP version 5.4.3 AgentX subagent connected

Ну и дальше отбои от радиуса на авторизации...

Изменено 11 июня, 2013 пользователем nik247

[srg555]

В случае, если accel-pppd завис/упал, то маршруты для IPoE остаются в ядре(что логично, кто же их удалит?). С pppoe такого не наблюдал, даже если accel-pppd падал, то насколько я понимаю, ppp-интерфейсы удаляет ядро в рамках работ по очистке ресурсов, занимаемых процессом.

 

Предлагаю следующий вариант решения проблемы:

 

echo "100	accel/l2-dhcp" >> /etc/iproute2/rt_protos

 

В accel-pppd реализовать возможность указания протокола для маршрутов IPoE:

[ipoe]
proto=100

 

В этом случае, через утилиту ip маршрут заливается так:

ip route add 2.2.2.5 dev eth1.2 proto 100 src 2.2.2.1

 

 

В init.d-скрипт в start добавить:

ip route show | grep accel/l2-dhcp | xargs -n 9 ip route del

(чтобы перед запуском удалять "зависшие" маршруты).

Или же реализовать такую возможность чистки средствами самого accel-pppd(при старте), чтобы не зависеть от наличия ip, grep и xargs в системе. да и вообще init-скрипта может и не быть, от дистрибутива зависит...

[srg555]

В init.d-скрипт в start добавить:

ip route show | grep accel/l2-dhcp | xargs -n 9 ip route del

 

можно даже проще, ip route flush proto accel/l2-dhcp (подсмотрел в скрипте init.d для quagga в debian)

[ALex_hha]

Привет всем, использую данный vpn сервер на 4х серверах, никогда проблем не было. На днях было необходимо срочно поднять на главном роутере в фирме (CentOS-6.4 x64), все делал как обычно. Но на момент запуска у меня были подгружены модули ip_nat_pptp ip_conntrack_pptp ip_conntrack_ftp ip_gre (не обратил внимание, так как они еще перекачевали с CentOS-5.x). Собственно после команды rmmod pptp получил kernel panic. Netconsole к сожалению настроена не была, а записывать с экрана трейс не было времени. Ибо 300 людей ждало :D

 

Собственно сабж, было ли у кого-нибудь подобное или это только мне повезло отхватить KP?

[srg555]

ALex_hha

http://sourceforge.net/p/accel-ppp/code/ci/master/tree/README

 

Warning !!!

-----------

1. The pptp driver conflicts with ip_gre driver (in kernel), so make sure that ip_gre is not built-in or loaded at run time

(don't matter if you have 2.6.37 or later kernel).

[ALex_hha]

ALex_hha

http://sourceforge.net/p/accel-ppp/code/ci/master/tree/README

 

Warning !!!

-----------

1. The pptp driver conflicts with ip_gre driver (in kernel), so make sure that ip_gre is not built-in or loaded at run time

(don't matter if you have 2.6.37 or later kernel).

странно, а почему именно при попытки удалить модуль возник KP?

[NiTr0]

Подумываю о реализации IPoE, собссно документация прочиталась и вопрос возникся: редирект по Access-Reject - оно как, только для l3-connected?

Хотя, впрочем, для L2-connected правильнее будет изрядно перепилить биллинг (абиллс) для выдачи "невдомым зверушкам" (с новыми для данного ифейса маками) ип с одного серого пула, с редиректом на биллинг (где они будут авторизироваться и, соответственно, несложной логикой привязываться порт/мак к учетке).

Собссно, назрел еще вопрос: DM как IPoE (DHCP, L2-connected) отрабатывает?

[srg555]

что такое DM?

[kayot]

NiTr0

Я редирект реализовал проще. Должникам DHCP отдает IP из отдельного пула(самостоятельно запрашивает у биллинга должник клиент или нет), на терминаторе прописан ip rule отправляющий весь трафик таких клиентов на сервер-заглушку. Итого редирект без НАТа и фаервола, производительность бешеная.

Изменено 16 июня, 2013 пользователем kayot

[xeb]

DM завершает сессию и, соответственно, при получении очередного Discovery/Request осуществляется новая авторизация со всеми вытекающими...

[NiTr0]

kayot

Крутить буду через radius (хочу vlan per user, и соответственно отвязаться от вендороспецифичной опции 82). Заворачивать через ip rule - вполне можно в принципе.

Речь идет не только о должниках, но и о новых маках. Т.е. - реализовать авто-привязку юзера к порту, для возможности оперативно исправлять всякие нештатные ситуевины типа вырезанных кабелей, и попутно - для того, чтобы давать по рукам монтажникам, без спросу перетыкающим клиентов по портам.

 

xeb

DHCP Release клиенту не шлет?

[kayot]

NiTr0

У меня как раз таки vlan-per-user, авторизация по номеру влана + q-in-q. Юзерам выдаются статикой реалные адреса из базы, должникам эти же адреса автоматом преобразуются в серые(банально первый октет меняется принудительно на 10.), неклиентам(запрос пришел от непрописанного влана) - из пула вида 192.168.хх

Должники заворачиваются одним rule на заглушку 'дай денег', неклиенты другим rule на свою, 'введите логин/пароль'.

В тестовом сегменте все работает отлично уже несколько месяцев, все никак не дойдут руки начать массовое внедрение.

Изменено 16 июня, 2013 пользователем kayot

[srg555]

kayot

Он про другое. А именно про использование в качестве логина port(vlan/double vlan)+mac, чтобы в случае вырезки кабеля и восстановления "как попало" не получилось так, что абоненты все перепутались.

[xeb]

DHCP Release насколько мне известно клиент->сервер сообщение

[kayot]

+1, release шлет клиент, когда ему больше не нужна лиза. Для win7 недавно нашли метод как заставить клиента отдавать release при выключении ПК, очень удобно саппорту.

[NiTr0]

DHCP Release насколько мне известно клиент->сервер сообщение

Таки да, попутал немного.

К слову, после DHCPNAK клиент по идее должен терять лизу. Во всяком случае, если в сегменте работает авторитативный дхцп сервер, клиенты не могут получить адрес от других серверов.

[martin74]

kayot, а можно озвучить?

[nik247]

to xeb:

Есть проблемка с CoA.

На корректные запросы CoA accel-ppp возвращает СоA-NAK без кода ошибки, хотя должен возвращать СоA-AСK:

 

[2013-06-18 19:03:43]: debug: recv [RADIUS CoA-Request id=2 <User-Name "192.168.8.2:9"> <PPPD-Downstream-Speed-Limit 1000> <Framed-IP-Address 10.24.237.109> <PPPD-Upstream-Speed-Limit 1000> <Acct-Session-Id "a0a43ae906732a37">]
[2013-06-18 19:03:43]:  info: eth1.40.ipoe0: recv [RADIUS CoA-Request id=2 <User-Name "192.168.8.2:9"> <PPPD-Downstream-Speed-Limit 1000> <Framed-IP-Address 10.24.237.109> <PPPD-Upstream-Speed-Limit 1000> <Acct-Session-Id "a0a43ae906732a37">]
[2013-06-18 19:03:43]:  info: eth1.40.ipoe0: pppd_compat: ip-change started (pid 23423)
[2013-06-18 19:03:43]:  info: eth1.40.ipoe0: pppd_compat: ip-change finished (1)
[2013-06-18 19:03:43]:  info: eth1.40.ipoe0: shaper: changed shaper 1000/1000 (Kbit)
[2013-06-18 19:03:43]:  info: eth1.40.ipoe0: send [RADIUS CoA-NAK id=2]

 

А при ошибочном запросе CoA, как положено, accel-ppp возвращает СоA-NAK с кодом ошибки:

 

[2013-06-18 21:05:59]: debug: recv [RADIUS CoA-Request id=1 <User-Name "192.168.8.2:9"> <NAS-Identifier "NAS03"> <NAS-IP-Address 192.168.1.106> <NAS-Port 0> <PPPD-Downstream-Speed-Limit 20000> <Framed-IP-Address 10.24.237.109> <PPPD-Upstream-Speed-Limit 20000> <Acct-Session-Id "a0a43ae906732a38">]
[2013-06-18 21:05:59]:  warn: radius:dm_coa: NAS identification failed
[2013-06-18 21:05:59]:  info: send [RADIUS CoA-NAK id=1 <Error-Cause NAS-Identification-Mismatch>]

 

[kayot]

martin74

Что конкретно?

[martin74]

+1, release шлет клиент, когда ему больше не нужна лиза. Для win7 недавно нашли метод как заставить клиента отдавать release при выключении ПК, очень удобно саппорту.

вот это...

[xeb]

На корректные запросы CoA accel-ppp возвращает СоA-NAK без кода ошибки, хотя должен возвращать СоA-AСK:

проблема кроется тут:

[2013-06-18 19:03:43]: info: eth1.40.ipoe0: pppd_compat: ip-change started (pid 23423)

[2013-06-18 19:03:43]: info: eth1.40.ipoe0: pppd_compat: ip-change finished (1)

ip-change вернул не 0

[nik247]

На корректные запросы CoA accel-ppp возвращает СоA-NAK без кода ошибки, хотя должен возвращать СоA-AСK:

проблема кроется тут:

[2013-06-18 19:03:43]: info: eth1.40.ipoe0: pppd_compat: ip-change started (pid 23423)

[2013-06-18 19:03:43]: info: eth1.40.ipoe0: pppd_compat: ip-change finished (1)

ip-change вернул не 0

Спасибо.

Так и есть - сделал пустой ip-change:

#!/bin/bash
exit 0

И CoA заработал корректно:

[2013-06-20 00:09:02]:  info: ipoe40.ipoe0: pppd_compat: ip-change started (pid 13423)
[2013-06-20 00:09:02]:  info: ipoe40.ipoe0: pppd_compat: ip-change finished (0)
[2013-06-20 00:09:02]:  info: ipoe40.ipoe0: shaper: changed shaper 20000/20000 (Kbit)
[2013-06-20 00:09:02]:  info: ipoe40.ipoe0: send [RADIUS CoA-ACK id=15]

[alishkka]

Всем привет.

Есть сервер с ОС OpenSuse 11.2 (linux 2.6.31.5-0.1), на нем работает accel(pppoe). С недавних пор accel стал выключаться.

 

accel-ppp.conf :

[core]

log-error=/var/log/accel-ppp/core.log

thread-count=2

 

core.log :

pthread_create: Resource temporarily unavailable

 

/var/log/messages :

accel-pppd[31096]: segfault at 4 ip b76f6675 sp bdf27f80 error 6 in libtriton.so[b76f3000+6000]

 

Дайте совет пожалуйста.

[srg555]

alishkka

Обновиться до latest stable, в случае повторения проблемы выслать корку разработчику(в некоторых дистрибутивах корки по умолчанию не пишутся)