Jump to content
Калькуляторы

accel pptpd accel pptpd

Reply to this topic

roysbike   

roysbike
Posted
В 13.01.2022 в 12:45, Demy сказал:

Добрый день

Установлен Accel-ppp в режиме PPPoE. Топология сети вида VLAN на коммутатор. 

Есть ли возможность использовать разные пулы выдаваемых IP-адресов для разных VLAN-ов средствами Accel-ppp, не прибегая к атрибутам RADIUS-сервера?

 

 А какая цель? Можно конечно несколько инстансов поднять. Но проще юзать радиус

Share this post

Link to post
Share on other sites

snooppy   

snooppy
Posted
On 1/13/2022 at 12:45 PM, Demy said:

Добрый день

Установлен Accel-ppp в режиме PPPoE. Топология сети вида VLAN на коммутатор. 

Есть ли возможность использовать разные пулы выдаваемых IP-адресов для разных VLAN-ов средствами Accel-ppp, не прибегая к атрибутам RADIUS-сервера?

Можете попробовать использовать range, но решение оень не гибкое 

[ipoe]

interface=vlan100,range=100.64.0.0/24

interface=vlan200,range=172.16.0.0/24
Quote

The range=x.x.x.x/mask parameter specifies local range of ip address to give to DHCP clients. First IP in range will be router IP address.

 

Share this post

Link to post
Share on other sites

taf_321   

taf_321
Posted
В 08.02.2022 в 16:47, snooppy сказал:

Можете попробовать использовать range, но решение оень не гибкое

Этот параметр для ipoe, речь шла про pppoe, на нем это работать не будет.

Share this post

Link to post
Share on other sites

Morty   

Morty
Posted (edited)

Добрый день.

В отдельной теме я не получил ответа на мой вопрос.
Может быть тут кто-то ответит.
Изучал accel-ppp ipoe + qinq + ip unnumbered (mode=L2,shared=0,ifcfg=1,start=dhcpv4,start=up,proxy-arp=1).
Всё понравилось кроме одного момента - не получается выдать абоненту два ip-адреса по dhcp с привязкой по МАК-адресу (абонент подключает два устройства через мыльницу).
Проблема заключается в том, что когда абонент пытается получить ip-адрес на втором устройстве, то accel рвёт первую сессию, не доходя до radius. При этом если прописать ip-адреса вручную (авторизация по неклассифицированному пакету), то поднимается сразу несколько сессий и всё отлично работает.

Подскажите, пожалуйста, возможно ли выдавать абоненту несколько ip-адресов, или в accel это не задумывалось?

Edited by 1boris

Share this post

Link to post
Share on other sites

bike   

bike
Posted
В 27.10.2022 в 16:20, 1boris сказал:

Добрый день.

В отдельной теме я не получил ответа на мой вопрос.
Может быть тут кто-то ответит.
Изучал accel-ppp ipoe + qinq + ip unnumbered (mode=L2,shared=0,ifcfg=1,start=dhcpv4,start=up,proxy-arp=1).
Всё понравилось кроме одного момента - не получается выдать абоненту два ip-адреса по dhcp с привязкой по МАК-адресу (абонент подключает два устройства через мыльницу).
Проблема заключается в том, что когда абонент пытается получить ip-адрес на втором устройстве, то accel рвёт первую сессию, не доходя до radius. При этом если прописать ip-адреса вручную (авторизация по неклассифицированному пакету), то поднимается сразу несколько сессий и всё отлично работает.

Подскажите, пожалуйста, возможно ли выдавать абоненту несколько ip-адресов, или в accel это не задумывалось?

 

В Телеге https://t.me/accel_ppp  Вам помогут.

Share this post

Link to post
Share on other sites

Morty   

Morty
Posted
В 27.10.2022 в 21:43, bike сказал:

В Телеге https://t.me/accel_ppp  Вам помогут.

Спасибо.
Написал в телегу.
При shared=0, accel-ppp не умеет выдавать несколько ip-адресов.
Это возможно только при использовании shared=1.

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted

Столкнулся с непонятной проблемой.. Стали поступать жалобы от абонентов на плохую работу Триколор приставок.

Собрал "лабораторный стенд" - проблемы подтвердились.. Приставка GS B621L.

1. огромная задержка (не менее 10 сек) при переключении каналов. Довольно часто в процессе перехода вылезает "ошибка 34".

2. фантомное прерывание трансляции, также довольно часто с появлением "ошибки 34".

Последнее, понятно, напрягает больше всего..

Что особо примечательно - переключаю тестового абонента на NAS с древним mpd5 на древней Freebsd и...

ВСЕ проблемы исчезают! Всё летает и "не лагает"..

Возвращаю на аццел - возвращаются проблемы.

 

При всём при этом проблем с другими Интернет сервисами нет. РАвно как и со скоростью - speedtest показывает честные мегабиты..

 

PPPoE на accel-ppp v1.12.0-219-gcc8f2ba

Debian 10 (buster)

 

конфиг accel:

Скрытый текст

[modules]
log_file
pppoe
auth_pap
auth_chap_md5
auth_mschap_v1
auth_mschap_v2
radius
ippool
shaper

[core]
log-error=/var/log/accel-ppp/core.log
thread-count=8

[ppp]
verbose=1
min-mtu=1436
mtu=1492
mru=1492
mppe=deny
ccp=0
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=20
lcp-echo-timeout=120
unit-preallocate=1
#

[auth]

[dns]
dns1=XXX.XXX.XXX.XXX
dns2=1.1.1.1

[pppoe]
verbose=1
pado-delay=0
called-sid=mac
ip-pool=guest
interface=re:^vlan(\d+)$,padi-limit=1000

[common]
single-session=deny

[connlimit]

[radius]
dictionary=/usr/share/accel-ppp/radius/dictionary
nas-identifier=NAS-4
sid_in_auth=1
nas-ip-address=10.254.213.4
server=10.254.213.13,passwd,auth-port=1812,acct-port=1813,req-limit=0,fail-timeout=0,max-fail=0,weight=1
dae-server=10.254.213.4:3799,passwd
gw-ip-address=172.16.0.6
acct-on=0
max-try=3
acct-interim-interval=60
verbose=1
interim-verbose=1
acct-timeout=30

[ip-pool]
192.168.216.2/22,name=guest
gw-ip-address=192.168.216.1

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
copy=1
level=3

[pppd-compat]
verbose=1

[shaper]
time-range=1,0:00-9:59
vendor=Cisco
attr=Cisco-AVPair
latency=50
quantum=1500
leaf-qdisc=sfq perturb 10
ifb=ifb1
up-limiter=htb
down-limiter=tbf
verbose=1


[cli]
verbose=1
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
sessions-columns=ifname,username,calling-sid,ip,rate-limit,called-sid,state,uptime,rx-bytes,tx-bytes

После авторизации radius отдаёт клиенту параметры шейпера: 

Acct-Interim-Interval = 60, Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Compression = Van-Jacobson-TCP-IP,Cisco-AVPair +="lcp:interface-config#1=rate-limit input 51200000 1200000 2400000 conform-action transmit exceed-action drop",Cisco-AVPair +="lcp:interface-config#1=rate-limit output 51200000 1200000 2400000 conform-action transmit exceed-action drop",Cisco-AVPair +="lcp:interface-config#1=rate-limit input access-group 1 98304000 2304000 4608000 conform-action transmit exceed-action drop",Cisco-AVPair +="lcp:interface-config#1=rate-limit output access-group 1 98304000 2304000 4608000 conform-action transmit exceed-action drop"

Т.к. эта приставка тянет картинку по 80-му порту, предположил проблему с MTU.

Посмотрел tcpdump-ом. Обнаружил один подозрительный "громадный" пакет. 

15:13:35.532093 IP 172.16.31.254.36310 > 77.83.53.22.80: Flags [.], seq 1:1429, ack 1, win 457, options [nop,nop,TS val 1461969 ecr 1074517697], length 1428: HTTP: GET /live/live/1TV_hd/hls3_enc/1TV_hd-avc1_6000000=10004-mp4a_59200_rus=
20000.m3u8?drmreq=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhcHBfdHlwZSI6ImF... etc...

Но в MTU (1492) он, вроде как, влезать должен. 

Правда, при просмотре полного пакета (tcpdump с опцией "-e"), встречаются пакеты в 1496 байтов. 

Но при этом всё работает..

Во время глюков приставка шлёт вагон мелких пакетов (64 байта в-основном) на совершенно другие IP. Возможно, на сервера авторизации. Может и нет..

Попробовал поиграться с MTU - результат "0".. Правда accel не ребутал, делал accel-cmd reload.

Не знаю, применяются ли эти параметры при reload.

 

Вообщем, зашёл в тупик.. Куда копать дальше, не знаю..

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted

Прошу пардону за "наезд" на accel!

Проблема была в агрегации портов. Заменил round-robin на LACP и всё зажужжало, аки пчёл! :-)

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted
Цитата
  Цитата

round-robin

сразу жди проблем...

Вот кто бы дал мне подзатыльника полгода тому назад, когда мне приспичило зачем-то (???) заменить много лет исправно работающий 802.3ad (LACP) на этот самый round-robin! :-)

Share this post

Link to post
Share on other sites

AlKov   

AlKov
Posted
Цитата

А на старые дебианы (7й например) accel встает нормально?

Насчёт 7-го не знаю. Ставил на 9, 10 и 11. Всё без проблем.

 

P.S. Кстати..

Цитата

Вот кто бы дал мне подзатыльника полгода тому назад, когда мне приспичило зачем-то (???) заменить много лет исправно работающий 802.3ad (LACP) на этот самый round-robin! :-)

Вспомнил, для чего мне rr вместо lacp потребовался.

На lacp (layer2+3) совершенно не балансировался PPPoE трафик. 

Вчера, после возврата на lacp, обнаружил то же самое. Но! Решение "неожиданно" нашлось - заменил layer2+3 на encap3+4 и всё устаканилось.

Спасибо за подсказку (про encap) на телеграм канале аццеля!

Share this post

Link to post
Share on other sites

fargotto48   

fargotto48
Posted

Связка Accel-ppp + Strongswan (ikev1) + dnsmasq + freeradius (xauth не eap) возможна в принципе или нет?

Какое-то шило полное. Если заменить accel на xl2tpd, то всё идеально работает как по щучьему велению и маршруты и split и full tunnel.

Переключаемся на accel и всё, full не работает, split маршруты то есть то нету. Што делать? Смириться и плакать?

Xl2tpd мусор он не поддерживает пулы, чтоб через Radius передавать.

Accel в этом плане прям огонь, регает пачку впн pptp, sstp, l2tp, выделяешь 3-4 пула и через iptables режешь доступы. Логины и пароли одинаковые....


П. С. конфиги тут - тыц

ядерный arp-proxy отключил


root@vpns:~# sysctl -p
net.ipv4.conf.all.rp_filter = 1
net.ipv4.ip_forward = 1
net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.neigh.default.gc_thresh1 = 1024
net.ipv4.neigh.default.gc_thresh2 = 2048
net.ipv4.neigh.default.gc_thresh3 = 4096
net.netfilter.nf_conntrack_max = 9548576
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_rmem = 10000000 10000000 10000000
net.ipv4.tcp_wmem = 10000000 10000000 10000000
net.ipv4.tcp_mem = 10000000 10000000 10000000
net.core.rmem_max = 524287
net.core.wmem_max = 524287
net.core.rmem_default = 524287
net.core.wmem_default = 524287
net.core.optmem_max = 524287
net.core.netdev_max_backlog = 300000
net.core.netdev_tstamp_prequeue = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.ip_no_pmtu_disc = 1
net.ipv6.conf.all.disable_ipv6 = 1
root@vpns:~# ^C
 

Share this post

Link to post
Share on other sites

fargotto48   

fargotto48
Posted

Чё та подозреваю что надо наоборот ядерный прокси оставить включенный, так как arp-proxy=1 не работает для ppp

Надо вручную через ядро настраивать всё.

А это шило. Или наоборот гибкость?

Share this post

Link to post
Share on other sites

fargotto48   

fargotto48
Posted (edited)

Ядерный всё таки мне кажется надёжнее отключить полностью.... Да блин не знаю!))

Может ppp и l2tp конфликтуют когда в обеих секциях ставиш proxy-arp=1?

перебивают друг друга.

Вроде пока пингуется. НО насчёт интернета full tunnel не знаю пока не могу проверить


Не....Через 5 минут всё сдохло опять не пингуется. КОроче какое-то дерьмо происходит. Дело было в бобине всё таки

Edited by fargotto48

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Программное обеспечение, биллинг и *unix системы