[roysbike]

В 13.01.2022 в 12:45, Demy сказал:

Добрый день

Установлен Accel-ppp в режиме PPPoE. Топология сети вида VLAN на коммутатор. 

Есть ли возможность использовать разные пулы выдаваемых IP-адресов для разных VLAN-ов средствами Accel-ppp, не прибегая к атрибутам RADIUS-сервера?

 

 А какая цель? Можно конечно несколько инстансов поднять. Но проще юзать радиус

[snooppy]

On 1/13/2022 at 12:45 PM, Demy said:

Добрый день

Установлен Accel-ppp в режиме PPPoE. Топология сети вида VLAN на коммутатор. 

Есть ли возможность использовать разные пулы выдаваемых IP-адресов для разных VLAN-ов средствами Accel-ppp, не прибегая к атрибутам RADIUS-сервера?

Можете попробовать использовать range, но решение оень не гибкое

[ipoe]

interface=vlan100,range=100.64.0.0/24

interface=vlan200,range=172.16.0.0/24

Quote

The range=x.x.x.x/mask parameter specifies local range of ip address to give to DHCP clients. First IP in range will be router IP address.

 

[taf_321]

В 08.02.2022 в 16:47, snooppy сказал:

Можете попробовать использовать range, но решение оень не гибкое

Этот параметр для ipoe, речь шла про pppoe, на нем это работать не будет.

[arhead]

Коллеги а кого ТП бомбят ошибкой 720 на 10 и 11 винде. Мелкософтные там что то поломали?

[Morty]

Добрый день.

В отдельной теме я не получил ответа на мой вопрос.
Может быть тут кто-то ответит.
Изучал accel-ppp ipoe + qinq + ip unnumbered (mode=L2,shared=0,ifcfg=1,start=dhcpv4,start=up,proxy-arp=1).
Всё понравилось кроме одного момента - не получается выдать абоненту два ip-адреса по dhcp с привязкой по МАК-адресу (абонент подключает два устройства через мыльницу).
Проблема заключается в том, что когда абонент пытается получить ip-адрес на втором устройстве, то accel рвёт первую сессию, не доходя до radius. При этом если прописать ip-адреса вручную (авторизация по неклассифицированному пакету), то поднимается сразу несколько сессий и всё отлично работает.

Подскажите, пожалуйста, возможно ли выдавать абоненту несколько ip-адресов, или в accel это не задумывалось?

Изменено 27 октября, 2022 пользователем 1boris

[bike]

В 27.10.2022 в 16:20, 1boris сказал:

Добрый день.

В отдельной теме я не получил ответа на мой вопрос.
Может быть тут кто-то ответит.
Изучал accel-ppp ipoe + qinq + ip unnumbered (mode=L2,shared=0,ifcfg=1,start=dhcpv4,start=up,proxy-arp=1).
Всё понравилось кроме одного момента - не получается выдать абоненту два ip-адреса по dhcp с привязкой по МАК-адресу (абонент подключает два устройства через мыльницу).
Проблема заключается в том, что когда абонент пытается получить ip-адрес на втором устройстве, то accel рвёт первую сессию, не доходя до radius. При этом если прописать ip-адреса вручную (авторизация по неклассифицированному пакету), то поднимается сразу несколько сессий и всё отлично работает.

Подскажите, пожалуйста, возможно ли выдавать абоненту несколько ip-адресов, или в accel это не задумывалось?

 

В Телеге https://t.me/accel_ppp  Вам помогут.

[Morty]

В 27.10.2022 в 21:43, bike сказал:

В Телеге https://t.me/accel_ppp  Вам помогут.

Спасибо.
Написал в телегу.
При shared=0, accel-ppp не умеет выдавать несколько ip-адресов.
Это возможно только при использовании shared=1.

[AlKov]

Столкнулся с непонятной проблемой.. Стали поступать жалобы от абонентов на плохую работу Триколор приставок.

Собрал "лабораторный стенд" - проблемы подтвердились.. Приставка GS B621L.

1. огромная задержка (не менее 10 сек) при переключении каналов. Довольно часто в процессе перехода вылезает "ошибка 34".

2. фантомное прерывание трансляции, также довольно часто с появлением "ошибки 34".

Последнее, понятно, напрягает больше всего..

Что особо примечательно - переключаю тестового абонента на NAS с древним mpd5 на древней Freebsd и...

ВСЕ проблемы исчезают! Всё летает и "не лагает"..

Возвращаю на аццел - возвращаются проблемы.

 

При всём при этом проблем с другими Интернет сервисами нет. РАвно как и со скоростью - speedtest показывает честные мегабиты..

 

PPPoE на accel-ppp v1.12.0-219-gcc8f2ba

Debian 10 (buster)

 

конфиг accel:

Скрытый текст

[modules]
log_file
pppoe
auth_pap
auth_chap_md5
auth_mschap_v1
auth_mschap_v2
radius
ippool
shaper

[core]
log-error=/var/log/accel-ppp/core.log
thread-count=8

[ppp]
verbose=1
min-mtu=1436
mtu=1492
mru=1492
mppe=deny
ccp=0
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=20
lcp-echo-timeout=120
unit-preallocate=1
#

[auth]

[dns]
dns1=XXX.XXX.XXX.XXX
dns2=1.1.1.1

[pppoe]
verbose=1
pado-delay=0
called-sid=mac
ip-pool=guest
interface=re:^vlan(\d+)$,padi-limit=1000

[common]
single-session=deny

[connlimit]

[radius]
dictionary=/usr/share/accel-ppp/radius/dictionary
nas-identifier=NAS-4
sid_in_auth=1
nas-ip-address=10.254.213.4
server=10.254.213.13,passwd,auth-port=1812,acct-port=1813,req-limit=0,fail-timeout=0,max-fail=0,weight=1
dae-server=10.254.213.4:3799,passwd
gw-ip-address=172.16.0.6
acct-on=0
max-try=3
acct-interim-interval=60
verbose=1
interim-verbose=1
acct-timeout=30

[ip-pool]
192.168.216.2/22,name=guest
gw-ip-address=192.168.216.1

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
copy=1
level=3

[pppd-compat]
verbose=1

[shaper]
time-range=1,0:00-9:59
vendor=Cisco
attr=Cisco-AVPair
latency=50
quantum=1500
leaf-qdisc=sfq perturb 10
ifb=ifb1
up-limiter=htb
down-limiter=tbf
verbose=1

[cli]
verbose=1
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
sessions-columns=ifname,username,calling-sid,ip,rate-limit,called-sid,state,uptime,rx-bytes,tx-bytes

После авторизации radius отдаёт клиенту параметры шейпера:

Acct-Interim-Interval = 60, Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Compression = Van-Jacobson-TCP-IP,Cisco-AVPair +="lcp:interface-config#1=rate-limit input 51200000 1200000 2400000 conform-action transmit exceed-action drop",Cisco-AVPair +="lcp:interface-config#1=rate-limit output 51200000 1200000 2400000 conform-action transmit exceed-action drop",Cisco-AVPair +="lcp:interface-config#1=rate-limit input access-group 1 98304000 2304000 4608000 conform-action transmit exceed-action drop",Cisco-AVPair +="lcp:interface-config#1=rate-limit output access-group 1 98304000 2304000 4608000 conform-action transmit exceed-action drop"

Т.к. эта приставка тянет картинку по 80-му порту, предположил проблему с MTU.

Посмотрел tcpdump-ом. Обнаружил один подозрительный "громадный" пакет.

15:13:35.532093 IP 172.16.31.254.36310 > 77.83.53.22.80: Flags [.], seq 1:1429, ack 1, win 457, options [nop,nop,TS val 1461969 ecr 1074517697], length 1428: HTTP: GET /live/live/1TV_hd/hls3_enc/1TV_hd-avc1_6000000=10004-mp4a_59200_rus=
20000.m3u8?drmreq=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhcHBfdHlwZSI6ImF... etc...

Но в MTU (1492) он, вроде как, влезать должен. 

Правда, при просмотре полного пакета (tcpdump с опцией "-e"), встречаются пакеты в 1496 байтов. 

Но при этом всё работает..

Во время глюков приставка шлёт вагон мелких пакетов (64 байта в-основном) на совершенно другие IP. Возможно, на сервера авторизации. Может и нет..

Попробовал поиграться с MTU - результат "0".. Правда accel не ребутал, делал accel-cmd reload.

Не знаю, применяются ли эти параметры при reload.

 

Вообщем, зашёл в тупик.. Куда копать дальше, не знаю..

[myth]

шейпер попробуй выключить

[AlKov]

Прошу пардону за "наезд" на accel!

Проблема была в агрегации портов. Заменил round-robin на LACP и всё зажужжало, аки пчёл! :-)

[myth]

Цитата

round-robin

сразу жди проблем...

[AlKov]

Цитата

  Цитата

round-robin

сразу жди проблем...

Вот кто бы дал мне подзатыльника полгода тому назад, когда мне приспичило зачем-то (???) заменить много лет исправно работающий 802.3ad (LACP) на этот самый round-robin! :-)

[Andrei]

В 29.08.2023 в 22:21, AlKov сказал:

Debian 10 (buster)

А на старые дебианы (7й например) accel встает нормально?

[AlKov]

Цитата

А на старые дебианы (7й например) accel встает нормально?

Насчёт 7-го не знаю. Ставил на 9, 10 и 11. Всё без проблем.

 

P.S. Кстати..

Цитата

Вот кто бы дал мне подзатыльника полгода тому назад, когда мне приспичило зачем-то (???) заменить много лет исправно работающий 802.3ad (LACP) на этот самый round-robin! :-)

Вспомнил, для чего мне rr вместо lacp потребовался.

На lacp (layer2+3) совершенно не балансировался PPPoE трафик. 

Вчера, после возврата на lacp, обнаружил то же самое. Но! Решение "неожиданно" нашлось - заменил layer2+3 на encap3+4 и всё устаканилось.

Спасибо за подсказку (про encap) на телеграм канале аццеля!

[fargotto48]

Связка Accel-ppp + Strongswan (ikev1) + dnsmasq + freeradius (xauth не eap) возможна в принципе или нет?

Какое-то шило полное. Если заменить accel на xl2tpd, то всё идеально работает как по щучьему велению и маршруты и split и full tunnel.

Переключаемся на accel и всё, full не работает, split маршруты то есть то нету. Што делать? Смириться и плакать?

Xl2tpd мусор он не поддерживает пулы, чтоб через Radius передавать.

Accel в этом плане прям огонь, регает пачку впн pptp, sstp, l2tp, выделяешь 3-4 пула и через iptables режешь доступы. Логины и пароли одинаковые....


П. С. конфиги тут - тыц

ядерный arp-proxy отключил


root@vpns:~# sysctl -p
net.ipv4.conf.all.rp_filter = 1
net.ipv4.ip_forward = 1
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.neigh.default.gc_thresh1 = 1024
net.ipv4.neigh.default.gc_thresh2 = 2048
net.ipv4.neigh.default.gc_thresh3 = 4096
net.netfilter.nf_conntrack_max = 9548576
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_rmem = 10000000 10000000 10000000
net.ipv4.tcp_wmem = 10000000 10000000 10000000
net.ipv4.tcp_mem = 10000000 10000000 10000000
net.core.rmem_max = 524287
net.core.wmem_max = 524287
net.core.rmem_default = 524287
net.core.wmem_default = 524287
net.core.optmem_max = 524287
net.core.netdev_max_backlog = 300000
net.core.netdev_tstamp_prequeue = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.ip_no_pmtu_disc = 1
net.ipv6.conf.all.disable_ipv6 = 1
root@vpns:~# ^C
 

[fargotto48]

Чё та подозреваю что надо наоборот ядерный прокси оставить включенный, так как arp-proxy=1 не работает для ppp

Надо вручную через ядро настраивать всё.

А это шило. Или наоборот гибкость?

[fargotto48]

Ядерный всё таки мне кажется надёжнее отключить полностью.... Да блин не знаю!))

Может ppp и l2tp конфликтуют когда в обеих секциях ставиш proxy-arp=1?

перебивают друг друга.

Вроде пока пингуется. НО насчёт интернета full tunnel не знаю пока не могу проверить


Не....Через 5 минут всё сдохло опять не пингуется. КОроче какое-то дерьмо происходит. Дело было в бобине всё таки

Изменено 19 марта пользователем fargotto48