[Cramac]

Всем привет.

Подскажите, где посмотреть как настраивать ИПОЕ?

Или может кто подскажет

Схема проста, дхцп выдает настройки абонентам, в центре свитч шлет весь трафик на сервер с accel

Сейчас стоит ISG, все как бы работает, биллинг(УТМ) отдает скорость в двух атрибутах 230/231

 

Хочу попробовать на accel и сможет ли он менять скорость если в начале месяца изменился тариф?

[Abram]

Cramac,

На wiki была такая бомбейская страничка - IPoE_ru называлась. Wiki, к сожалению, погиб.

Я вроде нашёл копию, выложил:

https://dl.dropboxusercontent.com/u/12495607/accel-ppp-doc/IPoE_ru.txt

Вам нужен режим L3, start=up. Это получится то же, что в lISG.

xeb,

Оттуда же удалось спасти еще один документ:

https://dl.dropboxusercontent.com/u/12495607/accel-ppp-doc/IPoE_dhcp_lua_ru.txt

Может, положить эти доки в дистрибутив?

[xeb]

спасибо

[Cramac]

Abram, спасибо.

Не напомните, как собрать с модулем ipoe и как его подгрузить? modprobe ipoe не сработало у меня.

пробовал собрать так

 

 

П.С. Не подскажите, как быть с скоростью? Или это можно сделать как у меня работает на ппп, создать файл radattr и скриптом if-up задать скорость?

[Dimka88]

У меня пока чудеса начались. Переделал сервер с ifcfg=1 в ifcfg=0. На lo прибил GW ip адреса

[2014-06-30 10:18:18]:  warn: bond0.2030.111: radius:acct_start: no 
[2014-06-30 10:18:20]:  warn: bond0.2011.211: pppd_compat: ip-up is not yet finished, terminating it ...

Второе падение

[2014-07-01 01:13:33]:  warn: bond0.2006.204: pppd_compat: ip-up is not yet finished, terminating it ...

 

Знаю точно радиус был недоступен на биллинге.

 

В emerg.log

radius:BUG: rpd not found
radius:BUG: rpd not found

 

Пока не знаю, что с этим делать. Решил ядро пересобрать, так как 3.12.1 голову делает высером в dmesg и accel-ppp из гита.

Подскажите, на текущем stable kernel 3.15.3 нет проблем в сборке?

Изменено 1 июля, 2014 пользователем Dimka88

[xeb]

П.С. Не подскажите, как быть с скоростью? Или это можно сделать как у меня работает на ппп, создать файл radattr и скриптом if-up задать скорость?

с ипое всё тоже-самое что и с ппп

 

Подскажите, на текущем stable kernel 3.15.3 нет проблем в сборке?

на 3.15 модуль ядра может не собраться, я не проверял ещё его совместимость

[Abram]

Не напомните, как собрать с модулем ipoe и как его подгрузить? modprobe ipoe не сработало у меня.

cmake ... -DBUILD_IPOE_DRIVER=TRUE ...

Я тут дальше не понял, поэтому после сборки просто вручную скопировал ipoe.ko в модули ядра и сделал depmod -a.

Не подскажите, как быть с скоростью? Или это можно сделать как у меня работает на ппп, создать файл radattr и скриптом if-up задать скорость?

Можно включить pppd-compat и по ip-up резать точно так же, как в ppp.

[Cramac]

собрал accel собрал модуль, загрузил его

# lsmod | grep ipoe

ipoe 24844 0

запустил accel с конфигов

 

[modules]

log_file

#log_syslog

#log_tcp

#log_pgsql

 

pptp

l2tp

#pppoe

ipoe

 

auth_mschap_v2

auth_mschap_v1

auth_chap_md5

auth_pap

 

radius

ippool

sigchld

pppd_compat

 

#shaper

shaper_tbf (obsolete)

#chap-secrets

net-snmp

logwtmp

#connlimit

 

#ipv6_nd

#ipv6_dhcp

#ipv6pool

 

[core]

log-error=/var/log/accel-ppp/core.log

thread-count=4

 

[ipoe]

verbose=1

username=ifname

lease-time=600

max-lease-time=3600

#unit-cache=1000

l4-redirect-table=4

#l4-redirect-on-reject=300

shared=0

ifcfg=1

mode=L3

start=up

#relay=10.10.10.10

#attr-dhcp-client-ip=DHCP-Client-IP-Address

#attr-dhcp-router-ip=DHCP-Router-IP-Address

#attr-dhcp-mask=DHCP-Mask

#attr-l4-redirect=L4-Redirect

#local-net=192.168.0.0/16

#lua-file=/etc/accel-ppp.lua

interface=eth0

 

 

[ppp]

verbose=1

min-mtu=1280

mtu=1400

mru=1400

#ccp=0

#sid-case=upper

#check-ip=0

#single-session=replace

#mppe=require

ipv4=require

ipv6=deny

ipv6-intf-id=0:0:0:1

ipv6-peer-intf-id=0:0:0:2

ipv6-accept-peer-intf-id=1

lcp-echo-interval=20

#lcp-echo-failure=3

lcp-echo-timeout=120

#unit-cache=1000

 

[auth]

#any-login=0

#noauth=0

 

[pptp]

#echo-interval=30

verbose=1

 

[pppoe]

interface=eth0

#interface=eth1,padi-limit=1000

#ac-name=xxx

#service-name=yyy

#pado-delay=0

#pado-delay=0,100:100,200:200,-1:500

#ifname-in-sid=called-sid

#tr101=1

#padi-limit=0

verbose=1

 

[l2tp]

#dictionary=/usr/local/share/accel-ppp/l2tp/dictionary

hello-interval=60

timeout=60

rtimeout=5

retransmit=5

#host-name=accel-ppp

dir300_quirk=1

#secret=

verbose=1

 

[dns]

dns1=10.10.10.1

#dns2=172.16.1.1

 

[wins]

#wins1=172.16.0.1

#wins2=172.16.1.1

 

[radius]

dictionary=/usr/local/share/accel-ppp/radius/dictionary

nas-identifier=accel-ppp

nas-ip-address=188.хх.хх.242

gw-ip-address=10.255.255.2

#auth-server=127.0.0.1:1812,testing123 (obsolete)

#acct-server=127.0.0.1:1813,testing123 (obsolete)

#server=127.0.0.1,testing123 (obsolete)

server=91.хх.хх.6,secret,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0

dae-server=127.0.0.1:3799,testing123

verbose=1

#timeout=3

#max-try=3

acct-timeout=0

#acct-delay-time=0

 

[client-ip-range]

10.0.0.0/8

172.0.0.0/8

 

[ip-pool]

gw-ip-address=192.168.0.1

#vendor=Cisco

#attr=Cisco-AVPair

attr=Framed-Pool

192.168.0.2-255

192.168.1.1-255,pool1

192.168.2.1-255,pool2

192.168.3.1-255,pool3

192.168.4.0/24

 

[log]

log-file=/var/log/accel-ppp/accel-ppp.log

log-emerg=/var/log/accel-ppp/emerg.log

log-fail-file=/var/log/accel-ppp/auth-fail.log

log-debug=/dev/stdout

#syslog=accel-pppd,daemon

#log-tcp=127.0.0.1:3000

copy=1

#color=1

per-user-dir=per_user

#per-session-dir=per_session

#per-session=1

level=5

 

[log-pgsql]

conninfo=user=log

log-table=log

 

[pppd-compat]

#ip-pre-up=/etc/ppp/ip-pre-up

ip-up=/etc/ppp/ip-up

ip-down=/etc/ppp/ip-down

ip-change=/etc/ppp/ip-change

radattr-prefix=/var/run/radattr

verbose=1

 

[chap-secrets]

gw-ip-address=192.168.100.1

#chap-secrets=/etc/ppp/chap-secrets

#encrypted=0

#username-hash=md5

 

[shaper]

#attr=Filter-Id

#down-burst-factor=0.1

#up-burst-factor=1.0

#latency=50

#mpu=0

#r2q=10

#quantum=1500

#cburst=1534

#ifb=ifb0

up-limiter=police

down-limiter=tbf

#leaf-qdisc=sfq perturb 10

verbose=1

 

[cli]

telnet=127.0.0.1:2000

tcp=127.0.0.1:2001

#password=123

 

[snmp]

master=1

agent-name=accel-ppp

 

[connlimit]

limit=10/min

burst=3

timeout=60

 

[ipv6-pool]

fc00:0:1::/48,64

delegate=fc00:1::/36,48

 

[ipv6-dns]

#fc00:1::1

#fc00:1::2

#fc00:1::3

#dnssl=suffix1.local.net

#dnssl=suffix2.local.net.

 

[ipv6-dhcp]

verbose=1

pref-lifetime=604800

valid-lifetime=2592000

route-via-gw=1

 

в ответ тишина

# accel-pppd -c /etc/accel-ppp.conf

[2014-07-01 13:46:55.880] ipoe: start interface eth0 ()

[2014-07-01 13:46:55.887] accel-ppp version 1.8.0

[2014-07-01 13:46:55.925] net-snmp: Warning: no access control information configured.

It's unlikely this agent can serve any useful purpose in this state.

Run "snmpconf -g basic_setup" to help you configure the accel-ppp.conf file for this agent.

 

в iptables что то надо добавлять? Сейчас у меня осталось 1 правило ната

[nik247]

ps aux | grep accel-ppp ?

accel-cmd show stat ?

 

отключить пока snmp:

[modules]

#net_snmp

 

включить дебаг и уровень лога 5:

[log]

level=5

verbose=1

[Cramac]

accel запустил в консоли, НЕ демоном и смотрю вывод

л2тп работает, запрос обрабатывает к радиусу запрашивает, а вот ИПОЕ нет.

# accel-cmd show stat

uptime: 0.00:07:28

cpu: 0%

mem(rss/virt): 7684/547276 kB

core:

mempool_allocated: 257140

mempool_available: 254100

thread_count: 4

thread_active: 1

context_count: 10

context_sleeping: 0

context_pending: 0

md_handler_count: 7

md_handler_pending: 0

timer_count: 1

timer_pending: 0

sessions:

starting: 0

active: 0

finishing: 0

pptp:

starting: 0

active: 0

l2tp:

tunnels:

starting: 0

active: 0

finishing: 0

sessions (control channels):

starting: 0

active: 0

finishing: 0

sessions (data channels):

starting: 0

active: 0

finishing: 0

ipoe:

starting: 0

active: 0

delayed: 0

radius(1, 91.хх.хх.6):

request count: 0

queue length: 0

auth sent: 1

auth lost(total/5m/1m): 0/0/0

auth avg query time(5m/1m): 57/0 ms

acct sent: 0

acct lost(total/5m/1m): 0/0/0

acct avg query time(5m/1m): 0/0 ms

interim sent: 0

interim lost(total/5m/1m): 0/0/0

interim avg query time(5m/1m): 0/0 ms

 

после старта только:

]# accel-pppd -c /etc/accel-ppp.conf

[2014-07-01 14:02:23.860] ipoe: start interface eth0 ()

[2014-07-01 14:02:23.867] accel-ppp version 1.8.0

 

может модуль не тот взял?

/home/inst/accel-ppp-1.8.0/build/drivers/ipoe/driver/ipoe.ko

положил в

/lib/modules/2.6.32-431.20.3.el6.x86_64/extra

[nik247]

to Cramac

dhcpdump -i eth0

или

tcpdump -nni eth0 -p port 67 or port 68

[Cramac]

дхцп у меня обрабатывает другой сервер. мне надо чтоб accel выпустил клиента, который уже с настройками ломится в интернет.

Маршрутизатор у меня все дхцп запросы релеит на другой сервер.

[nik247]

дхцп у меня обрабатывает другой сервер. мне надо чтоб accel выпустил клиента, который уже с настройками ломится в интернет.

Маршрутизатор у меня все дхцп запросы релеит на другой сервер.

Так все равно - трафик идет ли?

tcpdump -nni eth0

И что в логах?

/var/log/accel-ppp/accel-debug.log

/var/log/accel-ppp/accel-ppp.log

[Cramac]

дело было в

#local-net=192.168.0.0/16

 

раскоментировал, прописал свою сеть абонентскую, и accel начал за ними наблюдать

 

только и доступ к серверу пропадает после этого...

# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

188.хх.хх.240 0.0.0.0 255.255.255.252 U 0 0 0 eth1

10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

10.10.0.0 10.10.10.254 255.255.0.0 UG 0 0 0 eth0

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0

169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1

0.0.0.0 188.хх.хх.241 0.0.0.0 UG 0 0 0 eth1

к серверу пока не подключался на прямую чтоб посмотреть почему пропадает коннект...

 

у клиента ип 10.10.11.3 у сервера 10.10.10.1

 

прописал

local-net=10.10.11.0/24

 

и как сделать чтоб в качестве логина и пароля был ИП адрес абонента?

по мануалу в моем случае

username=ifname

должен слать ИП адрес клиента...

[2014-07-01 14:25:38]: info: ipoe0: send [RADIUS(1) Access-Request id=1 <User-Name "eth0"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.хх.хх.242> <NAS-Port 5> <NAS-Port-Type Ethernet> <Calling-Station-Id "10.10.11.3"> <Called-Station-Id "eth0"> <User-Password >]

[Abram]

Cramac,

Дайте угадаю - управление сервером тоже через eth0? :) Тогда он, получается, сам себя аккаунтить пытается? ;)

 

Попробуйте username вообще убрать.

[Cramac]

Abram, да, Вы правы, управление через этот же интерфейс. Но по логам, сам на себя запросы не шлет.

Да и доступ пропадает с клиентского ПК, сам сервер пингует маршрутизатор (который имеет адрес 10.10.10.254)

 

П.С. Убрав username авторизация прошла как надо, т.е. логин и пасс это ИП клиента.

Создались интерфейсы

# ifconfig ipoe0

ipoe0 Link encap:Ethernet HWaddr 00:00:00:00:00:00

inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

RX packets:144 errors:0 dropped:0 overruns:0 frame:0

TX packets:131 errors:0 dropped:3 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:12737 (12.4 KiB) TX bytes:20684 (20.1 KiB)

[Abram]

Abram, да, Вы правы, управление через этот же интерфейс. Но по логам, сам на себя запросы не шлет

Проще вынести и не париться.

 

Хм, прошёлся быстро по исходникам - чего-то не вижу, чтобы была возможность вернуть IP-адрес.

У вас, кстати, еще нужно сделать shared=1, по-моему.

[Cramac]

У вас, кстати, еще нужно сделать shared=1, по-моему

и в этом Вы правы, изменил в конфиге сразу как выложил выше конфиг...

 

П.С. может многоуважаемый xeb подскажет, что происходит если ipoe клиент не прошел авторизацию? может его блокирует accel ? Иначе как запретить доступ? Или все так же как с ppp через ipset?

И еще вопрос, стоит длительность сессии сутки, через сутки будет дисконект и переподключение? На ipoe это происходит незаметно?

Это я к тому все, о смене тарифов на первое число.

 

П.С.С. И как решить проблему [2014-07-01 14:50:42.689]loader: 'shaper_tbf' not found

П.С.С.С. А как можно редиректить всех кто не прошел авторизацию на спец страницу "что то пошло не так?!"?

[Abram]

Cramac,

см. l4-redirect.

[Cramac]

А не подскажите еще как все что добавилось в таблицу ip rule перекинуть на нужное?

я так полагаю надо правило в iptables

[xeb]

А не подскажите еще как все что добавилось в таблицу ip rule перекинуть на нужное?

ip route add default via куда_перенаправить table таблица_л4

а на том сервере куда перекидывается:

iptables -t nat -A PREROUTING -s 10.10.11.0/24 -j REDIRECT --to-port 80

или

iptables -t nat -A PREROUTING -s 10.10.11.0/24 -j DNAT --to-destination ип:порт хттп сервера

 

либо делать через ipset и нат на хттп сервер осуществлять здесь-же на сервере accel-ppp

[DMiTRONiK]

делать через ipset

А можно подробней, если нам нат не нужен, клиентам приезжают белые адреса.

[Cramac]

примного благодарен.

настраиваю чтоб в ipset добавлялось по ответу о reject

l4-redirect-ipset=l4-redirect

l4-redirect-on-reject=300

 

что то типо

-t nat -A PREROUTING -p tcp -m tcp --dport 80 -m set --match-set l4-redirect -j REDIRECT --to-ports 8000

хотя нашел описание тут от Abram

http://forum.nag.ru/forum/index.php?showtopic=45266&view=findpost&p=971005

[Abram]

делать через ipset

А можно подробней, если нам нат не нужен, клиентам приезжают белые адреса.

А при чем тут NAT?

[xeb]

если делать перенаправление хттп через ipset, то это нат