[xeb]

Потому как в текущем варианте не получается открыть доступ к ЛК и другим нужным ресурсам что должны работать всегда. Да и редирект не работает, accel режет все на корню...

исправил, пробуй

[xeb]

2. Для ipv6 минимальный сегмент пользователю /64 или можно сделать меньше. Скажем, у меня есть 1 сегмент /64 и я хочу отдавать на каждую сессию /127.

commit cddc20689a17a1b30d491cd2021f911a669f6dbc
Author: Dmitry Kozlov <xeb@mail.ru>
Date:   Fri Jul 18 12:13:43 2014 +0400

ipv6: add support for prefixes greater than 64

[Cramac]

Спасибо, редирект стал отрабатывать как надо.

 

Чтоб не потерялось, тут продублирую:

Ситуация такая:

Включил новый ПК, что сразу должен быть отброшел, все отработало хорошо, в ipset добавил ИП, редирект отработал.

Но вот получается, что пока клиент онлайн (сессия сутки) если его отключить раньше, то клиент все равно остается в работе, пока у клиента не закончится время сессии он будет висеть в интернете...

И еще:

какой то не понятный косяк, выключил тестовый ПК, через пол часа включаю, интернет работает, Accel не добавляет его в ипсет, даж авторизацию не запрашивает. Такое ощущение что повис...

в логе последнее только:

в auth-fail.log

[2014-07-19 11:51:28]: info: ipoe6: create interface ipoe6 parent eth0

[2014-07-19 11:51:28]: info: ipoe6: send [RADIUS(1) Access-Request id=1 <User-Name "172.20.1.5"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.254.31.242> <NAS-Port 69> <NAS-Port-Id "ipoe6"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.5"> <Called-Station-Id "eth0"> <User-Password >]

[2014-07-19 11:51:28]: info: ipoe6: recv [RADIUS(1) Access-Reject id=1 <Reply-Message "Authorization failed."><Cisco h323-return-code "h323-return-code=-1">]

[2014-07-19 11:51:28]: warn: ipoe6: authentication failed

[2014-07-19 11:51:28]: debug: ipoe6: terminate

[2014-07-19 11:51:28]: info: ipoe6: ipoe: session finished

после, тишина...

в accel-ppp.log идут сообщения типо:

[2014-07-19 17:03:10]: info: ipoe3: ipoe: session started

[2014-07-19 17:03:10]: info: ipoe3: pppd_compat: ip-up started (pid 19752)

[2014-07-19 17:03:10]: info: ipoe3: pppd_compat: ip-up finished (1)

[2014-07-19 17:03:35]: info: ipoe4: create interface ipoe4 parent eth0

[2014-07-19 17:03:35]: info: ipoe4: send [RADIUS(1) Access-Request id=1 <User-Name "172.20.1.2"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.254.31.242> <NAS-Port 74> <NAS-Port-Id "ipoe4"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.2"> <Called-Station-Id "eth0"> <User-Password >]

[2014-07-19 17:03:35]: info: ipoe4: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.6.145> <Framed-IP-Netmask 255.255.255.255> <Framed-Routing None> <Session-Timeout 86400> <Acct-Interim-Interval 63>]

[2014-07-19 17:03:35]: info: ipoe4: 172.20.1.2: authentication succeeded

[2014-07-19 17:03:35]: info: ipoe4: send [RADIUS(1) Accounting-Request id=1 <User-Name "172.20.1.2"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.254.31.242> <NAS-Port 74> <NAS-Port-Id "ipoe4"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.2"> <Called-Station-Id "eth0"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "15a1ee696d00b1ff"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 172.20.1.2>]

[2014-07-19 17:03:35]: info: ipoe4: recv [RADIUS(1) Accounting-Response id=1]

[2014-07-19 17:03:35]: info: ipoe4: ipoe: session started

[2014-07-19 17:03:35]: info: ipoe4: pppd_compat: ip-up started (pid 19793)

[2014-07-19 17:03:35]: info: ipoe4: pppd_compat: ip-up finished (1)

 

дебаг=5 в конфиге

[emp]

вот здесь описание L3 + dhcp реализованный в redback. будет такое работать ?

http://shop.nag.ru/article/clips

[xeb]

L3 + dhcp пока не реализовано

[nuclearcat]

Маленькое предложение (с простым патчем) сделать case в sid (MAC), pppoe конфигурируемым. Ибо pppd по дефолту пишет calling-station/caller-station в uppercase, и если проверка case-sensitive - миграция с pppd становится очень неудобной (особенно если схема гибридная).

Патч: https://nuclearcat.com/accel-git-case.patch

Задублировал патч по мылу.

 

Если нет возражений, еще хочу запилить множественные service-name в pppoe.

[emp]

программа замечательная. спасибо автору!

 

накопились некоторые вопросы и хотелки. возможно некоторые вещи так и задумывались.

 

1. accel-ppp не коннектится к радиусу по fdqn. говорит error: ipoe0: radius:connect: Permission denied.

2. у интерфейсов поднятых методом up нет таймаута. тоесть такие всегда онлайн не смотря на трафик.

3. radius-аккаунтинг не имеет периодов. данные сохраняются только при падении сессии.

4. счётчики аккаунтинга насчитывают в несколько раз меньше.

5. хочется чтобы при поднятии сессии ip-адрес заносился в ipset таблицу, а при падении убирался. это нужно чтобы автоматически ограничивать доступ.

6. temporary redirect через COA. при навешивании такой политики первое соединение на 80 порт заворачиваем. остальные напрямую.

7. документация может у кого сохранилась ? пока есть IPoE_dhcp_lua_ru.txt и IPoE_ru.txt. розыскивается дока по шейперу.

8. l3 dhcp. желательно чтобы работало одновременно с неклассифицированным и ip unnumbered.

 

надеюсь я не слишком много хочу :)

[Abram]

emp,

1. Не реализовано - такое никто не использует.

2. Т.е. вы ручками интерфейс поднимаете? Зачем?

3. Передавайте Acct-Interium-Update в Access-Accept.

4. Не в восемь ли раз? :)

5. Есть обратное: в ipset таблицу можно заносить IP должников. Посмотрите последние несколько страниц, Cramac этим занимался.

6. См. L4-Redirect.

7. Я выкладывал на предыдущих страницах где-то.

8. См. на два поста назад.

[xeb]

2. у интерфейсов поднятых методом up нет таймаута. тоесть такие всегда онлайн не смотря на трафик.

не совсем понял как это

 

3. Передавайте Acct-Interium-Update в Access-Accept.

Acct-Interim-Interval или в конфиг радиуса acct-interim-interval=xxx

[s.lobanov]

xeb

2. это такая фишки некоторых брасов. нет трафика Х времени - сессию роняем. irl становится все более бесполезной ввиду того что даже роутеры без лан хостов что-то шлют в инет -нтп, чек апдейтов, сливают статистику в анб

[xeb]

Idle-Timeout в таком случае атрибут

[Dimka88]

Упал таки сервер. Но после собрал его с дебагом, и потом за 10 минут 5 раз упал, решил с горяча выключить модуль pppd-compat, и оп, не падает. la у сервера был - 14176.34%(Я не написал лишних цифр!). Грузил именно TC. Странности на сервере по поводу корок, не делает гад. ОС Gentoo. Но на стенде гад делает. Как выловить багу?

[Dimka88]

Хм, ну логично, что он корку не сделал, как такового сигфолта я не увидел даже в GDB, есть идеи?

[Cramac]

xeb, примного благодарен.

Вроде все работает, ИП должника попадает и висит в ipset, редиректы работают.

 

Остается вопрос, если клиента надо отключить до завершения сессии (сессия сутки)

[xeb]

Остается вопрос, если клиента надо отключить до завершения сессии

через telnet или радиус Disconnect-Message

[Cramac]

а в случае с PPTP там обрыв туннеля происходит по такому же сообщению?

Что то ни разу таким не озадачивался, может такое радиус UTMа

[emp]

Abram

 

2. его поднимает accel-ppp. хочется чтобы сессия уничтожалась например минут через 5 если не было трафика.

4. нет. и каждый раз разное значение.

5. хотелось бы иметь именно такую возможность. иначе изза ошибки в биллинге неучтённые ip-адреса могут поиметь халяву. ибо даже если абонент не авторизовался его трафик спокойно пройдёт по роутингу.

6. как его сделать временным ? буквально на одно соединение.

7. если не ошибаюсь там только IPoE_dhcp_lua_ru.txt и IPoE_ru.txt. хотелось бы остальные. или хотябы по шейперу. потому и спрашиваю. может у кого завалялось.

8. я понял что не реализовано. это была хотелка, а не вопрос и уже тем более не требование :)

[xeb]

ибо даже если абонент не авторизовался его трафик спокойно пройдёт по роутингу.

мимо accel не проскочит

 

6. как его сделать временным ? буквально на одно соединение.

передать атрибут L4-Redirect=1 в Access-Accept

[Abram]

emp,

2. По-моему, за это отвечает аттрибут Idle-Timeout. Но могу ошибаться, xeb точнее скажет.

4. Странное какое-то.

7. Всё остальное в man accel-ppp.conf вроде бы есть.

[s.lobanov]

Cramac

Utm5 умеет pod - packet of disconnect

[ichthyandr]

вопрос по L2-connected: нужно ли шаманить с mtu на qinq интерфейсах, например,

собран bond1 - mtu 1500, сабинтерфейс bond1.500 - mtu 1500, сабсабинтерфейс bond1.500.1000 - mtu 1500,

может нужно 1508, 1504, 1500 соотвественно?

[Dimka88]

Ну как бы увеличивать mtu нужно.

bond1 mtu 1508

bond1.500 mtu 1504

bond1.500.1000 mtu 1500

 

Хотя у себя заметил, что так.

bond1 mtu 1508

bond1.500 mtu 1500

bond1.500.1000 mtu 1500

[h1vs2]

Делал так, и не парился :

 

#QinQ CVLAN Interface for Customer's
auto eth2
iface eth2 inet manual
       pre-up ifconfig $IFACE up; ifconfig $IFACE mtu 9000
       post-up ethtool -K $IFACE tso off gro off
       post-down ifconfig $IFACE down

auto eth2.1500
iface eth2.1500 inet manual
       vlan-raw-device eth2
       pre-up ifconfig $IFACE up
       post-down ifconfig $IFACE down

auto eth2.3000
iface eth2.3000 inet manual
       vlan-raw-device eth2
       pre-up ifconfig $IFACE up
       post-down ifconfig $IFACE down

auto eth2.3001
iface eth2.3001 inet manual
       vlan-raw-device eth2
       pre-up ifconfig $IFACE up
       post-down ifconfig $IFACE down

==========CUT========

 

root@brs-acl:/home/gang# ifconfig eth2
eth2      Link encap:Ethernet  HWaddr 00:1b:21:39:be:65  
         UP BROADCAST RUNNING MULTICAST  MTU:9000  Metric:1
         RX packets:52869359 errors:0 dropped:0 overruns:431 frame:0
         TX packets:87856141 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:8899518713 (8.2 GiB)  TX bytes:120453308102 (112.1 GiB)
         Memory:f7c00000-f7c20000 

root@brs-acl:/home/gang# ifconfig eth2.3001
eth2.3001 Link encap:Ethernet  HWaddr 00:1b:21:39:be:65  
         UP BROADCAST RUNNING MULTICAST  MTU:9000  Metric:1
         RX packets:36299227 errors:0 dropped:0 overruns:0 frame:0
         TX packets:64849448 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:6829579957 (6.3 GiB)  TX bytes:88272508201 (82.2 GiB)

root@brs-acl:/home/gang# ifconfig eth2.3001.3001
eth2.3001.3001 Link encap:Ethernet  HWaddr 00:1b:21:39:be:65  
         inet addr:192.168.11.250  Bcast:0.0.0.0  Mask:255.255.255.255
         UP BROADCAST RUNNING MULTICAST  MTU:9000  Metric:1
         RX packets:210279 errors:0 dropped:0 overruns:0 frame:0
         TX packets:341009 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:17206316 (16.4 MiB)  TX bytes:468578223 (446.8 MiB)

[kayot]

вопрос по L2-connected: нужно ли шаманить с mtu на qinq интерфейсах, например,

собран bond1 - mtu 1500, сабинтерфейс bond1.500 - mtu 1500, сабсабинтерфейс bond1.500.1000 - mtu 1500,

может нужно 1508, 1504, 1500 соотвественно?

Поднимать MTU нужно, только на qinq интерфейсе(bond и входящие в него eth). Ибо лишний тег. На сабах с одной меткой можно не поднимать, т.к. поле vlan id и так во фрейме есть и он за счет тега не растет.

Изменено 24 июля, 2014 пользователем kayot

[Dimka88]

Есть желающие помочь проекту accel-pppd, документацией в wiki?

Сайт accel-pppd.net