xeb Опубликовано 17 июля, 2014 · Жалоба Потому как в текущем варианте не получается открыть доступ к ЛК и другим нужным ресурсам что должны работать всегда. Да и редирект не работает, accel режет все на корню... исправил, пробуй Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 18 июля, 2014 · Жалоба 2. Для ipv6 минимальный сегмент пользователю /64 или можно сделать меньше. Скажем, у меня есть 1 сегмент /64 и я хочу отдавать на каждую сессию /127. commit cddc20689a17a1b30d491cd2021f911a669f6dbc Author: Dmitry Kozlov <xeb@mail.ru> Date: Fri Jul 18 12:13:43 2014 +0400 ipv6: add support for prefixes greater than 64 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 19 июля, 2014 · Жалоба Спасибо, редирект стал отрабатывать как надо. Чтоб не потерялось, тут продублирую: Ситуация такая: Включил новый ПК, что сразу должен быть отброшел, все отработало хорошо, в ipset добавил ИП, редирект отработал. Но вот получается, что пока клиент онлайн (сессия сутки) если его отключить раньше, то клиент все равно остается в работе, пока у клиента не закончится время сессии он будет висеть в интернете... И еще: какой то не понятный косяк, выключил тестовый ПК, через пол часа включаю, интернет работает, Accel не добавляет его в ипсет, даж авторизацию не запрашивает. Такое ощущение что повис... в логе последнее только: в auth-fail.log [2014-07-19 11:51:28]: info: ipoe6: create interface ipoe6 parent eth0[2014-07-19 11:51:28]: info: ipoe6: send [RADIUS(1) Access-Request id=1 <User-Name "172.20.1.5"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.254.31.242> <NAS-Port 69> <NAS-Port-Id "ipoe6"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.5"> <Called-Station-Id "eth0"> <User-Password >] [2014-07-19 11:51:28]: info: ipoe6: recv [RADIUS(1) Access-Reject id=1 <Reply-Message "Authorization failed."><Cisco h323-return-code "h323-return-code=-1">] [2014-07-19 11:51:28]: warn: ipoe6: authentication failed [2014-07-19 11:51:28]: debug: ipoe6: terminate [2014-07-19 11:51:28]: info: ipoe6: ipoe: session finished после, тишина... в accel-ppp.log идут сообщения типо: [2014-07-19 17:03:10]: info: ipoe3: ipoe: session started[2014-07-19 17:03:10]: info: ipoe3: pppd_compat: ip-up started (pid 19752) [2014-07-19 17:03:10]: info: ipoe3: pppd_compat: ip-up finished (1) [2014-07-19 17:03:35]: info: ipoe4: create interface ipoe4 parent eth0 [2014-07-19 17:03:35]: info: ipoe4: send [RADIUS(1) Access-Request id=1 <User-Name "172.20.1.2"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.254.31.242> <NAS-Port 74> <NAS-Port-Id "ipoe4"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.2"> <Called-Station-Id "eth0"> <User-Password >] [2014-07-19 17:03:35]: info: ipoe4: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.6.145> <Framed-IP-Netmask 255.255.255.255> <Framed-Routing None> <Session-Timeout 86400> <Acct-Interim-Interval 63>] [2014-07-19 17:03:35]: info: ipoe4: 172.20.1.2: authentication succeeded [2014-07-19 17:03:35]: info: ipoe4: send [RADIUS(1) Accounting-Request id=1 <User-Name "172.20.1.2"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.254.31.242> <NAS-Port 74> <NAS-Port-Id "ipoe4"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.2"> <Called-Station-Id "eth0"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "15a1ee696d00b1ff"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 172.20.1.2>] [2014-07-19 17:03:35]: info: ipoe4: recv [RADIUS(1) Accounting-Response id=1] [2014-07-19 17:03:35]: info: ipoe4: ipoe: session started [2014-07-19 17:03:35]: info: ipoe4: pppd_compat: ip-up started (pid 19793) [2014-07-19 17:03:35]: info: ipoe4: pppd_compat: ip-up finished (1) дебаг=5 в конфиге Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
emp Опубликовано 20 июля, 2014 · Жалоба вот здесь описание L3 + dhcp реализованный в redback. будет такое работать ? http://shop.nag.ru/article/clips Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 20 июля, 2014 · Жалоба L3 + dhcp пока не реализовано Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 21 июля, 2014 · Жалоба Маленькое предложение (с простым патчем) сделать case в sid (MAC), pppoe конфигурируемым. Ибо pppd по дефолту пишет calling-station/caller-station в uppercase, и если проверка case-sensitive - миграция с pppd становится очень неудобной (особенно если схема гибридная). Патч: https://nuclearcat.com/accel-git-case.patch Задублировал патч по мылу. Если нет возражений, еще хочу запилить множественные service-name в pppoe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
emp Опубликовано 21 июля, 2014 · Жалоба программа замечательная. спасибо автору! накопились некоторые вопросы и хотелки. возможно некоторые вещи так и задумывались. 1. accel-ppp не коннектится к радиусу по fdqn. говорит error: ipoe0: radius:connect: Permission denied. 2. у интерфейсов поднятых методом up нет таймаута. тоесть такие всегда онлайн не смотря на трафик. 3. radius-аккаунтинг не имеет периодов. данные сохраняются только при падении сессии. 4. счётчики аккаунтинга насчитывают в несколько раз меньше. 5. хочется чтобы при поднятии сессии ip-адрес заносился в ipset таблицу, а при падении убирался. это нужно чтобы автоматически ограничивать доступ. 6. temporary redirect через COA. при навешивании такой политики первое соединение на 80 порт заворачиваем. остальные напрямую. 7. документация может у кого сохранилась ? пока есть IPoE_dhcp_lua_ru.txt и IPoE_ru.txt. розыскивается дока по шейперу. 8. l3 dhcp. желательно чтобы работало одновременно с неклассифицированным и ip unnumbered. надеюсь я не слишком много хочу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 21 июля, 2014 · Жалоба emp, 1. Не реализовано - такое никто не использует. 2. Т.е. вы ручками интерфейс поднимаете? Зачем? 3. Передавайте Acct-Interium-Update в Access-Accept. 4. Не в восемь ли раз? :) 5. Есть обратное: в ipset таблицу можно заносить IP должников. Посмотрите последние несколько страниц, Cramac этим занимался. 6. См. L4-Redirect. 7. Я выкладывал на предыдущих страницах где-то. 8. См. на два поста назад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 21 июля, 2014 · Жалоба 2. у интерфейсов поднятых методом up нет таймаута. тоесть такие всегда онлайн не смотря на трафик. не совсем понял как это 3. Передавайте Acct-Interium-Update в Access-Accept. Acct-Interim-Interval или в конфиг радиуса acct-interim-interval=xxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 июля, 2014 · Жалоба xeb 2. это такая фишки некоторых брасов. нет трафика Х времени - сессию роняем. irl становится все более бесполезной ввиду того что даже роутеры без лан хостов что-то шлют в инет -нтп, чек апдейтов, сливают статистику в анб Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 21 июля, 2014 · Жалоба Idle-Timeout в таком случае атрибут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 21 июля, 2014 · Жалоба Упал таки сервер. Но после собрал его с дебагом, и потом за 10 минут 5 раз упал, решил с горяча выключить модуль pppd-compat, и оп, не падает. la у сервера был - 14176.34%(Я не написал лишних цифр!). Грузил именно TC. Странности на сервере по поводу корок, не делает гад. ОС Gentoo. Но на стенде гад делает. Как выловить багу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 22 июля, 2014 · Жалоба Хм, ну логично, что он корку не сделал, как такового сигфолта я не увидел даже в GDB, есть идеи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 22 июля, 2014 · Жалоба xeb, примного благодарен. Вроде все работает, ИП должника попадает и висит в ipset, редиректы работают. Остается вопрос, если клиента надо отключить до завершения сессии (сессия сутки) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 22 июля, 2014 · Жалоба Остается вопрос, если клиента надо отключить до завершения сессии через telnet или радиус Disconnect-Message Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 22 июля, 2014 · Жалоба а в случае с PPTP там обрыв туннеля происходит по такому же сообщению? Что то ни разу таким не озадачивался, может такое радиус UTMа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
emp Опубликовано 22 июля, 2014 · Жалоба Abram 2. его поднимает accel-ppp. хочется чтобы сессия уничтожалась например минут через 5 если не было трафика. 4. нет. и каждый раз разное значение. 5. хотелось бы иметь именно такую возможность. иначе изза ошибки в биллинге неучтённые ip-адреса могут поиметь халяву. ибо даже если абонент не авторизовался его трафик спокойно пройдёт по роутингу. 6. как его сделать временным ? буквально на одно соединение. 7. если не ошибаюсь там только IPoE_dhcp_lua_ru.txt и IPoE_ru.txt. хотелось бы остальные. или хотябы по шейперу. потому и спрашиваю. может у кого завалялось. 8. я понял что не реализовано. это была хотелка, а не вопрос и уже тем более не требование :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xeb Опубликовано 22 июля, 2014 · Жалоба ибо даже если абонент не авторизовался его трафик спокойно пройдёт по роутингу. мимо accel не проскочит 6. как его сделать временным ? буквально на одно соединение. передать атрибут L4-Redirect=1 в Access-Accept Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 22 июля, 2014 · Жалоба emp, 2. По-моему, за это отвечает аттрибут Idle-Timeout. Но могу ошибаться, xeb точнее скажет. 4. Странное какое-то. 7. Всё остальное в man accel-ppp.conf вроде бы есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июля, 2014 · Жалоба Cramac Utm5 умеет pod - packet of disconnect Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 24 июля, 2014 · Жалоба вопрос по L2-connected: нужно ли шаманить с mtu на qinq интерфейсах, например, собран bond1 - mtu 1500, сабинтерфейс bond1.500 - mtu 1500, сабсабинтерфейс bond1.500.1000 - mtu 1500, может нужно 1508, 1504, 1500 соотвественно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 24 июля, 2014 · Жалоба Ну как бы увеличивать mtu нужно. bond1 mtu 1508 bond1.500 mtu 1504 bond1.500.1000 mtu 1500 Хотя у себя заметил, что так. bond1 mtu 1508 bond1.500 mtu 1500 bond1.500.1000 mtu 1500 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 24 июля, 2014 · Жалоба Делал так, и не парился : #QinQ CVLAN Interface for Customer's auto eth2 iface eth2 inet manual pre-up ifconfig $IFACE up; ifconfig $IFACE mtu 9000 post-up ethtool -K $IFACE tso off gro off post-down ifconfig $IFACE down auto eth2.1500 iface eth2.1500 inet manual vlan-raw-device eth2 pre-up ifconfig $IFACE up post-down ifconfig $IFACE down auto eth2.3000 iface eth2.3000 inet manual vlan-raw-device eth2 pre-up ifconfig $IFACE up post-down ifconfig $IFACE down auto eth2.3001 iface eth2.3001 inet manual vlan-raw-device eth2 pre-up ifconfig $IFACE up post-down ifconfig $IFACE down ==========CUT======== root@brs-acl:/home/gang# ifconfig eth2 eth2 Link encap:Ethernet HWaddr 00:1b:21:39:be:65 UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 RX packets:52869359 errors:0 dropped:0 overruns:431 frame:0 TX packets:87856141 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:8899518713 (8.2 GiB) TX bytes:120453308102 (112.1 GiB) Memory:f7c00000-f7c20000 root@brs-acl:/home/gang# ifconfig eth2.3001 eth2.3001 Link encap:Ethernet HWaddr 00:1b:21:39:be:65 UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 RX packets:36299227 errors:0 dropped:0 overruns:0 frame:0 TX packets:64849448 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:6829579957 (6.3 GiB) TX bytes:88272508201 (82.2 GiB) root@brs-acl:/home/gang# ifconfig eth2.3001.3001 eth2.3001.3001 Link encap:Ethernet HWaddr 00:1b:21:39:be:65 inet addr:192.168.11.250 Bcast:0.0.0.0 Mask:255.255.255.255 UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 RX packets:210279 errors:0 dropped:0 overruns:0 frame:0 TX packets:341009 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:17206316 (16.4 MiB) TX bytes:468578223 (446.8 MiB) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 24 июля, 2014 (изменено) · Жалоба вопрос по L2-connected: нужно ли шаманить с mtu на qinq интерфейсах, например, собран bond1 - mtu 1500, сабинтерфейс bond1.500 - mtu 1500, сабсабинтерфейс bond1.500.1000 - mtu 1500, может нужно 1508, 1504, 1500 соотвественно? Поднимать MTU нужно, только на qinq интерфейсе(bond и входящие в него eth). Ибо лишний тег. На сабах с одной меткой можно не поднимать, т.к. поле vlan id и так во фрейме есть и он за счет тега не растет. Изменено 24 июля, 2014 пользователем kayot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimka88 Опубликовано 25 июля, 2014 · Жалоба Есть желающие помочь проекту accel-pppd, документацией в wiki? Сайт accel-pppd.net Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...