KaraVan Опубликовано 30 мая, 2014 · Жалоба Коллеги, а кто может во фрилансерском режиме соорудить тестовый NAS на обсуждаемом софте и прикрутить его по RADIUS к UTM5? Авторизация нужна только по статическим IP(MAC). Если есть желание подзаработать, стукните в личку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AccessPoint Опубликовано 30 мая, 2014 (изменено) · Жалоба это значит, что на встроенном шейпере такое сделать невозможно? Тут неоднократно говорилось, что на Си реализовать добавления правил для каждого по вкусу не так так просто да и не имеет смысла, используйте ip-up и ip-change скрипты для установки шейпера. Понял, а возможно ли одновременно использовать и встроенный шейпер и модуль pppd-compat, т.е. помимо основного встроеного шейпера еще накидать правил шейпинга скриптами ip-up? Или же создать какое-то общее правило шейпинга в отдельную подсеть, которое будет перекрывать создаваемые при инициации соединений правила? Изменено 30 мая, 2014 пользователем AccessPoint Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 30 мая, 2014 · Жалоба скрипты ip-up/down/change это хорошо, но но когда на каджый тазик приходится >100 соединений, то нужно иметь в виду, что случае неожиданных ***охеншванцев, когда ~1000 коннектов единомоментно падают и тут же пытаются подняться, можно выхватить весьма интересные эффекты из race condition. Имейте это в виду, когда будете закладываться на [pppd-compat] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 30 мая, 2014 · Жалоба скрипты ip-up/down/change это хорошо, но но когда на каджый тазик приходится >100 соединений, то нужно иметь в виду, что случае неожиданных ***охеншванцев, когда ~1000 коннектов единомоментно падают и тут же пытаются подняться, можно выхватить весьма интересные эффекты из race condition. Имейте это в виду, когда будете закладываться на [pppd-compat] Кстати да. Я тут думаю наваять себе для этого дела демон на питоне - чтобы из ip-up делать просто что-то вроде echo 'vlan1415.1617 1024/1024' | netcat blahblahblah, ну или в локальный сокет. Какие там подводные камни? Откуда race condition? На одновременной правке ifb? Или имеется в виду нагрузка от большого кол-ва одновременно запущенных shell-ов с ip-up? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 мая, 2014 · Жалоба это значит, что на встроенном шейпере такое сделать невозможно? Тут неоднократно говорилось, что на Си реализовать добавления правил для каждого по вкусу не так так просто да и не имеет смысла, используйте ip-up и ip-change скрипты для установки шейпера. Дело не в языке программирования, а в том, что кто-то должен сформулировать чёткое ТЗ, понятное для программиста, без "сделать п***ато или 'дружественный провайдер'" (в терминах tc, из этого уже можно переделать на вызовы API ядра) Проще всего заимствовать идеи у Cisco ISG, там через радиус-аттрибуты передаются шейперы/полисеры с разделением трафика по "направлениям"(acl). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 30 мая, 2014 (изменено) · Жалоба Понял, а возможно ли одновременно использовать и встроенный шейпер и модуль pppd-compat, т.е. помимо основного встроеного шейпера еще накидать правил шейпинга скриптами ip-up? Думаю можно, модули то разные. Мало ли что вам в ip-up/ip-down/ip-change необходимо выполнять. Изменено 30 мая, 2014 пользователем Dimka88 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 30 мая, 2014 · Жалоба Судя по документации LinuxISG в соседней ветке - там реализовано по направлениям, через "листы". Может позаимствовать идеи в реализации. П.С : ответ в стиле : "мальчик разберись в теме и поучи матчасть" - тоже принимаются :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 30 мая, 2014 · Жалоба Судя по документации LinuxISG в соседней ветке - там реализовано по направлениям, через "листы". Может позаимствовать идеи в реализации. П.С : ответ в стиле : "мальчик разберись в теме и поучи матчасть" - тоже принимаются :) Угу, листы, которые хрен поменяешь без перезагрузки демона. Нафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 мая, 2014 · Жалоба Да всё понятно как это делать. Делают же через up/down-скрипты. Нужно это обобщить(чтоб могли многие пользоваться, а не затачивать под чьи-то костыли) и реализовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 мая, 2014 · Жалоба Да всё понятно как это делать. Ну вот у меня отдельное направление - отдельный влан (ибо точка обмена трафиком с эдак 10к префиксов). У кого-то отдельное направление - список подсетей, ибо их мало. Как скрестить ужа с ежом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 30 мая, 2014 · Жалоба Да всё понятно как это делать. Ну вот у меня отдельное направление - отдельный влан (ибо точка обмена трафиком с эдак 10к префиксов). У кого-то отдельное направление - список подсетей, ибо их мало. Как скрестить ужа с ежом? Если думать вот таким вот глобальным образом - то в шейпере нужно учитывать только маркировки пакетов (какие, кстати, умеет tc? edit: умеет, google fw flowid). А маркирует пусть каждый себе сам как хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 мая, 2014 · Жалоба NiTr0 по хедерам и метаданным. вариантов не много в самом деле. главное чётко это сформулировать. я, зная нюансы шедулеров, фильтров и прочего добра оцениваю составление тз где-то в пару рабочих дней чистого времени, но ради just for fun их нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 30 мая, 2014 · Жалоба Xeb, вопрос по IPoE , accel работает в режиме L2, клиенту отдаю /30 сеть, на брасе создается vlan с маской /32, возмонжо это как то исправить, чтобы маска была таже что у клиента. Или так задуманно? ну все таки а почему не использовать аннамберед ? зачем городить огород с /30? люди наоборот рады что есть возможность аннамберед использовать у меня схема следующая: на лупбеке висит адрес - который является шлюзом для клиентов.... настроено автосоздание вланов но без автоконфигурации - т.е. влан на клиента создается голый без адреса в этот голый влан аццел крутит адрес по аннамберед /32 ... клиенту отдаю маску большую ... для примера /24 чтобы клиенты могли между собой обмениваться трафиком включен проксиарп.... все работает отлично. а ну и запущен оспф... так как брасов всяких разных есть много .... эта схема работает для одного блока IP или для нескольких? для сколько угодно у меня 5 блоков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 31 мая, 2014 · Жалоба Lynx10, А как же MX80? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 31 мая, 2014 · Жалоба Lynx10, А как же MX80? :) все работает и трудится МХ80 уже не один у него появился брат-близнец:) К слову к МХ - работает хорошо, хлопот не доставляет, особенно на последних прошивках. а accel-ю мы тоже работу нашли и пристроили, тоже работает и не кашляет :) Схема "влан на юзера" которуя я описал выше у нас вертелась на тесте некоторое время - но в продакшен не запустили,хотя и нареканий не было, а вот с шареным вланом + аннамберед на одном из узлов сейчас тестируем в бою, пока проблем не замечал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 31 мая, 2014 (изменено) · Жалоба Xeb, вопрос по IPoE , accel работает в режиме L2, клиенту отдаю /30 сеть, на брасе создается vlan с маской /32, возмонжо это как то исправить, чтобы маска была таже что у клиента. Или так задуманно? ну все таки а почему не использовать аннамберед ? зачем городить огород с /30? люди наоборот рады что есть возможность аннамберед использовать у меня схема следующая: на лупбеке висит адрес - который является шлюзом для клиентов.... настроено автосоздание вланов но без автоконфигурации - т.е. влан на клиента создается голый без адреса в этот голый влан аццел крутит адрес по аннамберед /32 ... клиенту отдаю маску большую ... для примера /24 чтобы клиенты могли между собой обмениваться трафиком включен проксиарп.... все работает отлично. а ну и запущен оспф... так как брасов всяких разных есть много .... эта схема работает для одного блока IP или для нескольких? для сколько угодно у меня 5 блоков Спасибо за идею, попробую. Использовал аннамберед, у меня конфигурилcя IP на vlan, поэтому ospf хавал /32 ip из vlan. pppoe pppoe У меня схема такая, border--172.31.0.0/27--ipoe ------ . Белые IP висят на бордоре. NAT 1:1 и раздаю белые. Клиенты в 172.30.0.0/16, Как ospf добавит маршрут, если он не видит ip на интерфейсе? Изменено 31 мая, 2014 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 31 мая, 2014 · Жалоба Заводил на днях второй IPOE-сервер, немного пересмотрел при этом логику. Вместо выделенного SQL DHCP-сервера на каждом BRASе будет стоять свой сервер с локальной копией базы. В связи с чем появилась неожиданная хотелка. Если уж accel умеет быть полноценным DHCP-сервером, возможно ли немного расширить этот функционал? Сейчас можно работать или релеем, используя внешний DHCP-сервер, или сервером, получая данные от радиуса. Предложение - добавить в DHCP-режим возможность указывать в качестве источника данных SQL таблицу, или вообще внешний скрипт(тот же lua). При работе с базой - банальная табличка вида "username - IP/mask"(для совместимости с существующим radius-mode). Для скрипта - передаем тот же "username", получаем IP/mask. Особого смысла в наличии скрипта нет, но вдруг кому пригодится. Плюс, параметр "кеширования данных" - запрашивать данные только при старте сесси и в дальнейшем отдавать их(как сейчас работает через радиус), или обновлять их при каждом продлении лизы. Мне такой функционал очень облегчил бы жизнь, нынче приходится держать отдельный sql DHCP сервер, который как бы лишняя сущность и точка отказа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 31 мая, 2014 (изменено) · Жалоба Коллеги, такая проблемка , версия 1.8 . Куда исчез шейпер. Хотя радиус отдает. Вот лог ifname | username | calling-sid | ip | rate-limit | type | comp | state | uptime --------+-------------+-------------------+---------------+------------+-------+------+--------+---------- ppp0 | varava_see2 | 74:d0:2b:2d:73:38 | 172.30.29.218 | | pppoe | | active | 00:03:10 accel-ppp.log [2014-05-31 18:45:44]: info: ppp0: recv [RADIUS(1) Access-Accept id=1 <Framed-Protocol PPP> <Framed-Compression Van-Jacobson-TCP-IP> <Framed-IP-Address 172.30.29.218> <Framed-IP-Netmask 255.255.255.255> <Acct-Interim-Interval 0> <PPPD-Upstream-Speed-Limit 20480> <PPPD-Downstream-Speed-Limit 20480> <PPPD-Redirect-Attribute 0><Microsoft MS-CHAP2-Success ><Microsoft MS-MPPE-Recv-Key ><Microsoft MS-MPPE-Send-Key ><Microsoft MS-MPPE-Encryption-Policy 1><Microsoft MS-MPPE-Encryption-Type 6>] root@pppoe1:/run# cat radattr.ppp0 Framed-Protocol PPP Framed-Compression Van-Jacobson-TCP-IP Framed-IP-Address 172.30.29.218 Framed-IP-Netmask 255.255.255.255 Acct-Interim-Interval 0 PPPD-Upstream-Speed-Limit 20480 PPPD-Downstream-Speed-Limit 20480 PPPD-Redirect-Attribute 0 MS-CHAP2-Success 01533D31304330434646303432354333363044373235364132453943303233313945364638384444314445 MS-MPPE-Recv-Key A4C7100243B2EC5D4B58C82D129D02CBE9C7FB0A3711D1EFE4A6A5A239259C8807E6 MS-MPPE-Send-Key ABE05AAEFDAB725B056998FE3F1CE6CB919D25863BA4D9050E20DE1DEFAE4B1F51A8 MS-MPPE-Encryption-Policy 1 MS-MPPE-Encryption-Type 6 Изменено 31 мая, 2014 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 31 мая, 2014 · Жалоба roysbike, man accel-ppp.conf [shaper] This module controls shaper. attr=name Specifies which radius attribute contains rate information. Default - Filter-ID. attr-up=name attr-down=name Specifies which radius attributes contains rate information for upstream and downstream respectively. Т.е. так: [shaper] attr-up=PPPD-Upstream-Speed-Limit attr-down=PPPD-Downstream-Speed-Limit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 1 июня, 2014 · Жалоба roysbike, man accel-ppp.conf [shaper] This module controls shaper. attr=name Specifies which radius attribute contains rate information. Default - Filter-ID. attr-up=name attr-down=name Specifies which radius attributes contains rate information for upstream and downstream respectively. Т.е. так: [shaper] attr-up=PPPD-Upstream-Speed-Limit attr-down=PPPD-Downstream-Speed-Limit Спасибо , забыл добавить после обновления в конфиге PPPoE возмоно ли указать диапазон vlan? ЧТобы не катать 300 строк Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 1 июня, 2014 · Жалоба в конфиге PPPoE возмоно ли указать диапазон vlan? ЧТобы не катать 300 строк можно, в виде регулярного выраженияinterface=re:xxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 1 июня, 2014 · Жалоба можно, в виде регулярного выражения Эх, если бы еще и пул можно было... ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 1 июня, 2014 · Жалоба в смысле ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 1 июня, 2014 · Жалоба в смысле ? В смысле - в РРРоЕ на каждый VLAN интерфейс по пулу. Я так понимаю, что в принципе, это реализуемо через радиус, да и провайдерам, наверное, такая наивная имплементация не интересна, но просто строчка pool в конфиге так и напрашивается рядом с interface=vlan2 ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 2 июня, 2014 (изменено) · Жалоба Пытают настроить ip-unnumbered , настроил для теста vlan2000. Дотянул его до клиента. На lo повесил ip 172.30.0.1/32. Клиенту отдаю IP 172.30.0.230 шлюз 172.30.0.1 маску /24. В логах ругается. info: vlan2000: recv [RADIUS(1) Access-Accept id=1 <Vendor-Specific > <DHCP-Router-IP-Address 172.30.0.1> <DHCP-Mask 24> <Framed-IP-Address 172.30.0.1> <PPPD-Downstream-Speed-Limit 6000> <PPPD-Upstream-Speed-Limit 6000>] [2014-06-02 11:05:02]: info: vlan2000: vlan2000: authentication succeeded [2014-06-02 11:05:02]: error: vlan2000: can't determine Server-ID [2014-06-02 11:05:02]: info: vlan2000: ipoe: session finished ipoe] #ip-unnumbered=1 verbose=5 username=ifname lease-time=300 max-lease-time=300 shared=0 ifcfg=0 mode=L2 #start=dhcpv4 proxy-arp=0 proto=100 attr-dhcp-client-ip=DHCP-Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=DHCP-Mask attr-l4-redirect=L4-Redirect interface=vlan2000 Изменено 2 июня, 2014 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...