baronzzz Опубликовано 18 сентября, 2014 (изменено) · Жалоба baronzzz, 1. У вас редирект не включен? Неавторизованные сессии с редиректом именно как Z и выглядят. 2. А попробуйте-ка вообще не выдавать никакого сервиса - заработает ли. 1. У вас редирект не включен? Неавторизованные сессии с редиректом именно как Z и выглядят. Нет, еще не включал. Но из вывода радиуса понял что проблема БЫЛА в аккаутинге. Вроде решил проблем нет. 2. А попробуйте-ка вообще не выдавать никакого сервиса - заработает ли. Спасибо все заработало. Только вот такой вопрос родился... Назначаю сервис, судя по тестам он отрабатывает... При просмотре ISG.pl, он не выводит информации в колонках Rate-in Rate-out, но если запустить ISG.pl show_services он отображает сервис и скорость, я что то не уловил видимо, так и должно быть ? Изменено 18 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 18 сентября, 2014 (изменено) · Жалоба Родился еще один вопрос. ТО что щас имею: iptables Chain POSTROUTING (policy ACCEPT 12 packets, 3241 bytes) pkts bytes target prot opt in out source destination 19 1549 SNAT all -- * * 172.16.10.4 0.0.0.0/0 to:192.168.0.113 ISG.pl User IP-address NAT IP-address Port number Uniq. Identifier Durat. Octets-in Octets-out Rate-in Rate-out Service name Flags 172.16.10.4 192.168.0.113 Virtual1 64CAE3F99B4C8698 302 18870 13033 0 0 Main session A Iptables -nvL 2942 298K ISG all -- * * 172.16.10.0/24 0.0.0.0/0 ISG initiator src mode Chain FORWARD (policy ACCEPT 295K packets, 541M bytes) pkts bytes target prot opt in out source destination 133K 6107K ISG all -- * * 172.16.10.0/24 0.0.0.0/0 ISG initiator src mode 195K 591M ISG all -- * * 0.0.0.0/0 172.16.10.0/24 ISG Сеть абонента 172.16.10.0/24 Сеть (интрнет) 192.168.0.0/24 Если прописать где обратный маршрут пакетики бегают. Если снатить (см. выше) то НАТ не отрабатывает...хотя счетчик меняется...В чем может быть проблема ? Изменено 18 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 18 сентября, 2014 (изменено) · Жалоба Есть некоторая проблема. Если правила в iptables iptables -A FORWARD -s 10.254.0.0/16 -j ISG --session-init iptables -A FORWARD -d 10.254.0.0/16 -j ISG iptables -A FORWARD -s 192.168.99.0/24 -j ISG --session-init iptables -A FORWARD -d 192.168.99.0/24 -j ISG добавить ручками, iptables их сьедает, все отрабатывает. Если же эти правила сохранить /etc/sysconfig/iptables (centos) Ошибка сохранения Если ручками добавить их в /etc/sysconfig/iptables, а потом перегрузить iptables то: iptables: Применяются правила межсетевого экрана: iptables-restore v1.4.7: unknown option `--session-init' Error occurred at line: 20 Try `iptables-restore -h' or 'iptables-restore --help' for more information. Кто подскажет ? Что не так ? Изменено 18 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 18 сентября, 2014 · Жалоба baronzzz, Насчет шейпера: резать скорость можно двумя способами. Либо напрямую (вроде Cisco-Account-Info), либо сервисами (тогда можно разные шейперы вешать на разные направления, например). Первый вариант проще. Вы выбрали второй. По iptables, у меня вот так (Debian): grep ISG /etc/iptables/rules.v4 -A FORWARD -m set --match-set lisg_networks src -j ISG --session-init --init-mode src -A FORWARD -m set --match-set lisg_networks dst -j ISG Мне кажется, у вас либо где-то очепятка, либо iptables в centos чудит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 18 сентября, 2014 (изменено) · Жалоба Т.е. правильно ли я понял, когда я ввожу комманду ISG.pl, и вижу значения скорости, то я вижу значения по 1 варианту (вроде Cisco-Account-Info), а когда ISG.pl show_services то по второму ? По iptables, у меня вот так (Debian): А какая версия iptables ? Изменено 18 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 18 сентября, 2014 · Жалоба Т.е. правильно ли я понял, когда я ввожу комманду ISG.pl, и вижу значения скорости, то я вижу значения по 1 варианту (вроде Cisco-Account-Info), а когда ISG.pl show_services то по второму ? Именно. По iptables, у меня вот так (Debian): А какая версия iptables ? 1.4.14. Debian 7. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 22 сентября, 2014 (изменено) · Жалоба либо iptables в centos чудит. Странно, за ним такого ни когда не бывало. П.с. совсем забыл о любимом SeLinux. Проблема в нём ))) У меня вопрос. Люди, кто каким образом осуществил контроль\назначение пользователю ИП? Я так понял в любом случае надо использовать связку: IP+MAC+port(+id Switch`a) ? Поделитесь опытом... Изменено 22 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 22 сентября, 2014 (изменено) · Жалоба Abram подскажи, если в базе появляется значение AREDIR (редирект на дай денег), то если учесть настройки по умолчанию (lISG), через 3 минуты сессия дропниться, клиент авторизуется заново ? Но у него уже появится сервис REDIR. И соответственно он попадет на страничку дай денег ? Соответственно, если AREDIR в базе пропадает, значит услуга дост. в сеть доступна ? Изменено 22 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 22 сентября, 2014 · Жалоба baronzzz, Почему lISG должен дропать активную авторизованную сессию? Здесь надо CoA/PoD. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 23 сентября, 2014 · Жалоба Abram ну так ведь есть же в настройки lISG параметр ### Session inactivity default timeout (disconnect session after this time) (in seconds) $cfg{session_idle_timeout} = 10; Правильно ли я понимаю, что после этого времени сессия убивается, т.е. клиенту приходиться заново авторизовываться, а соответственно получать новые атрибуты ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 23 сентября, 2014 · Жалоба baronzzz, Session inactivity default timeout Session inactivity timeout inactivity timeout inactivity Нет. Неправильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 23 сентября, 2014 (изменено) · Жалоба Нет. Неправильно. Тогда кто может пояснить, что то уже путаюсь...вроде верно перевел... Вопрос, на форуме пробигало сообщение о том что кто то пытался подружить lISG с bgbilling, получилось ? Изменено 23 сентября, 2014 пользователем baronzzz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 23 сентября, 2014 · Жалоба baronzzz, Это таймаут, по которому авторизованная сессия закрывается по неактивности (idle). То есть перестали бегать пакеты (абонент отключил компьютер, свитч сгорел, дом рухнул, город захватил Годзилла) - через полчаса, допустим, после этого сессия обрывается. 10 секунд - это нонсенс. Минимально разумное значение - хотя бы 5 минут. У неавторизованных сессий обычно есть лимит времени (скажем, минута), после которого сессия закрывается и производится повторная попытка авторизации - вот там как раз принудительно раз, скажем, в минуту обрывается сессия. Если у вас абонент перешёл из состояния активного в неактивное (допустим, закончилась оплата) - необходимо обрывать сессию через PoD. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 24 сентября, 2014 · Жалоба Значит выводы были правильные, просто дело в разумности ... :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
baronzzz Опубликовано 24 сентября, 2014 · Жалоба У кого получилось подружить lISG с bgbilling ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 28 сентября, 2014 · Жалоба У кого получилось подружить lISG с bgbilling ? у меня получилось сдружить с bgbilling 4.6 (при помощи небольшого напильника и такой-то матери) с bgbilling 5.2 вообще без проблем, но у меня очень старая версия lISG, с новым lISG , наверное, еще легче Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andry_81 Опубликовано 10 октября, 2014 · Жалоба У кого получилось подружить lISG с bgbilling ? у меня получилось сдружить с bgbilling 4.6 (при помощи небольшого напильника и такой-то матери) с bgbilling 5.2 вообще без проблем, но у меня очень старая версия lISG, с новым lISG , наверное, еще легче У меня получилось. Правда использую не самую последнюю версию, так как требуется NAT 1-1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 30 октября, 2014 · Жалоба Случайно нет инструкции о том, как lisg в бридже заставить работать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
twg Опубликовано 23 ноября, 2014 · Жалоба ПРОшу помощи! Не собирается на ядре 3.17.4 make[1]: Entering directory `/usr/src/kernels/linux-3.17.4' CC [M] /usr/src/lISGd/kernel/isg_main.o CC [M] /usr/src/lISGd/kernel/isg_nehash.o /usr/src/lISGd/kernel/isg_nehash.c: In function ‘nehash_insert’: /usr/src/lISGd/kernel/isg_nehash.c:100:5: error: implicit declaration of function ‘hlist_add_after’ [-Werror=implicit-function-declaration] hlist_add_after(&last_ne->list, &ne->list); ^ cc1: some warnings being treated as errors make[2]: *** [/usr/src/lISGd/kernel/isg_nehash.o] Error 1 make[1]: *** [_module_/usr/src/lISGd/kernel] Error 2 make[1]: Leaving directory `/usr/src/kernels/linux-3.17.4' make: *** [all] Error 2 -I$(KDIR)/include поудалял... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 3 декабря, 2014 · Жалоба Есть странная проблема Сдружил LISG с netup Radius - вроде как вообще без проблем - авторезирует. на тесте был один ip - сейчас пробую менять ip lisg и в итоге в логах радиуса Attr: [32] Vendor: [0] Size 11; Data [0x3137322e31362e312e3634] (NAS-Identifier=STRING:172.16.1.64) -----!!!! где старый ip!!! и вместо пароля кракозябры Dec 03 14:18:05 ?Debug : 502ec700 AuthMethodPAP: user password <12345> vs PAP password <I,.s........YҠ.> Dec 03 14:18:05 ERROR : 502ec700 AuthQueue: PAP authentication failed пробывал скомпелить по новой модуль не помогает. меняю обратно ip все работает где он что привязывает? мозг сломал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 3 декабря, 2014 · Жалоба ip поборол - был в хосте забит что делать с паролем не понятно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 3 декабря, 2014 · Жалоба Сверьте shared secret. Хотя вообще проверку пароля надо отключать - там всё равно какая-то фигня приходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
linx Опубликовано 4 февраля, 2015 · Жалоба кто уже пользуеться может скажет как lisg будет работать в смешанной схеме: белые IP (их натить не надо) + серые (их нужно натить) на одном сервере, если будет привязан к радиусу. радиус нетапа обязательно для аутентификации требует Framed-IP-Address, белые lisg тоже будет натить? и второй вопрос: если радиусов два, с разными пользователями - lisg сможет авторизовывать их? просто так сложилось что их два и это уже не изменишь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zeleniy Опубликовано 4 февраля, 2015 · Жалоба кто уже пользуеться может скажет как lisg будет работать в смешанной схеме: белые IP (их натить не надо) + серые (их нужно натить) на одном сервере, если будет привязан к радиусу. радиус нетапа обязательно для аутентификации требует Framed-IP-Address, белые lisg тоже будет натить? и второй вопрос: если радиусов два, с разными пользователями - lisg сможет авторизовывать их? просто так сложилось что их два и это уже не изменишь. серые натит, белые нет, 2 радиуса легко Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
linx Опубликовано 4 февраля, 2015 · Жалоба тогда стоит попробовать собрать солянку accel-pptpd (терминация ip unumbered) -> lisg (shaper, nat) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...