Jump to content

VPN сервер (pppd, pptpd)

rsst
 Share

Recommended Posts

rsst

rsst

Posted
Posted

Есть машинка (q6600, 8гб) Centos 5.3-xen, pppd, pptpd. В течение недели работы оной машинкаи в качестве VPN сервера нагрузка в top постепенно растет, хотя количество подключений меняется (50-200 соединений, ночью меньше, днем больше) и общая скорость также меняется (не более 30Mbit). Top может достигать значений 11-12. Если однажды сбросить все соединения (через несколько секунд юзеры переподключаются и продолжают работать, кол-во соединений не уменьшается), то нагрузка в top резко падает и в течение пары дней не поднимается выше 1, затем опять постепенно начинает расти до 11-12.

Как с этим бороться (кроме сброса подключений) и лечится ли это как-нибудь?

 

ps: pppd 2.4.4, pptpd 1.3.4

a0d75

a0d75

Posted
Posted

Зависают pptp сессии, известный глюк. Вызывается чаще всего тупыми роутерами, которые постоянно долбятся при неправильном пароле или блокировке (если биллинг дает auth-reject при минусовом балансе например). Лечится установкой лимита на количество попыток подключения с одного адреса в минуту, пример:

 

iptables -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -m hashlimit --hashlimit 1/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name PPTP --hashlimit-htable-expire 3600000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j REJECT --reject-with icmp-admin-prohibited

iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT

rsst

rsst

Posted
  • Author
Posted (edited)
Зависают pptp сессии, известный глюк. Вызывается чаще всего тупыми роутерами, которые постоянно долбятся при неправильном пароле или блокировке (если биллинг дает auth-reject при минусовом балансе например). Лечится установкой лимита на количество попыток подключения с одного адреса в минуту, пример:

 

iptables -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -m hashlimit --hashlimit 1/min --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name PPTP --hashlimit-htable-expire 3600000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j REJECT --reject-with icmp-admin-prohibited

iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT

зависшие сессии рублю скриптом (это когда pptpctrl начинает жрать под 100% проца). А тут именно жрут ресурсы живые pppd. Или они не такие уж живые? ps: Проверял на своей текущей сессии.

Edited by rsst
rsst

rsst

Posted
  • Author
Posted (edited)
Может и не живые, как определяете?

смотрю по пиду своей текущей сессии

ps ax | grep мой_ip

 

и вижу что этот pppd жреть уже 3% проца, хотя если его сбросить и заново подключиться, ничего не жреть

Edited by rsst

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.