allexch Опубликовано 23 сентября, 2010 · Жалоба ЗА весь день что ли? Те 3 строчки выше, он выводит как только я clear Virtual1 делаю. После ковыряния конфига стал писать: Sep 23 14:38:35 dpi1-galerny ISG[18187]: Session '84.x.y.34' on 'Virtual1' finished Sep 23 14:38:35 dpi1-galerny ISG[18187]: Service 'SSERVER' is not defined in configuration, ignoring Sep 23 14:38:35 dpi1-galerny ISG[18187]: Service 'INET-10MBIT' is not defined in configuration, ignoring Sep 23 14:38:35 dpi1-galerny ISG[18187]: Session '84.x.y.34' on 'Virtual1' accepted by '172.17.41.9:1812' ---------- config.pl сейчас выглядит так: $cfg{srv}{"INET-1MBIT"}{download_rate} = "1000000;1500000"; $cfg{srv}{"INET-1MBIT"}{upload_rate} = "1000000;1500000"; $cfg{srv}{"INET-1MBIT"}{traffic_classes} = [ "ALL_OTHER" ]; $cfg{srv}{"INET-10MBIT"}{download_rate} = "10000000;15000000"; $cfg{srv}{"INET-10MBIT"}{upload_rate} = "10000000;15000000"; $cfg{srv}{"INET-10MBIT"}{traffic_classes} = [ "ALL_OTHER" ]; $cfg{srv}{"SSERVER"}{download_rate} = "0;0"; $cfg{srv}{"SSERVER"}{upload_rate} = "0;0"; $cfg{srv}{"SSERVER"}{traffic_classes} = [ "SPECIFIC" ]; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 23 сентября, 2010 · Жалоба allexch, больше интересует что он пишет сразу после запуска. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allexch Опубликовано 23 сентября, 2010 · Жалоба После перезагрузки сервера, запуска rc.ISGd и clear Virtual1, что бы перзапустить сессию получились след логи: Sep 23 14:58:49 dpi1-galerny ISG[17752]: Refreshing traffic classification table Sep 23 14:58:49 dpi1-galerny ISG[17752]: 4 prefixes loaded to TC table Sep 23 14:58:49 dpi1-galerny kernel: ipt_ISG: Listener daemon with pid 17755 registered Sep 23 14:58:49 dpi1-galerny ISG[17755]: ISG job initialization done for NAS '172.17.41.9', entering main loop Sep 23 14:58:57 dpi1-galerny ISG[17755]: Service 'SSERVER' is not defined in configuration, ignoring Sep 23 14:58:57 dpi1-galerny ISG[17755]: Service 'INET-10MBIT' is not defined in configuration, ignoring Sep 23 14:58:57 dpi1-galerny ISG[17755]: Session '84.x.y.34' on 'Virtual1' accepted by '172.17.41.9:1812' Sep 23 14:58:57 dpi1-galerny ISG[17755]: Session '84.x.y.34' on 'Virtual1' finished Sep 23 14:58:58 dpi1-galerny ISG[17755]: Service 'SSERVER' is not defined in configuration, ignoring Sep 23 14:58:58 dpi1-galerny ISG[17755]: Service 'INET-10MBIT' is not defined in configuration, ignoring Sep 23 14:58:58 dpi1-galerny ISG[17755]: Session '84.52.103.34' on 'Virtual1' accepted by '172.17.41.9:1812' tc.conf -------------------------------- RFC1918 10.0.0.0/8 RFC1918 192.168.0.0/16 RFC1918 172.16.0.0/12 SPECIFIC 84.52.109.37/32 # All other traffic EXCEPT for RFC1918, OUR_LOCAL, PEERING and SPECIFIC classes # falls here. PLEASE NOTE THIS! All OTHER traffic, NOT JUST ALL traffic! ALL_OTHER 0.0.0.0/0 -------------------------------- config.pl -------------------------------- $cfg{srv}{"INET-1MBIT"}{download_rate} = "1000000;1500000"; $cfg{srv}{"INET-1MBIT"}{upload_rate} = "1000000;1500000"; $cfg{srv}{"INET-1MBIT"}{traffic_classes} = [ "ALL_OTHER" ]; $cfg{srv}{"INET-10MBIT"}{download_rate} = "10000000;15000000"; $cfg{srv}{"INET-10MBIT"}{upload_rate} = "10000000;15000000"; $cfg{srv}{"INET-10MBIT"}{traffic_classes} = [ "ALL_OTHER" ]; $cfg{srv}{"SSERVER"}{download_rate} = "0;0"; $cfg{srv}{"SSERVER"}{upload_rate} = "0;0"; $cfg{srv}{"SSERVER"}{traffic_classes} = [ "SPECIFIC" ]; -------------------------------- radius -------------------------------- 84.x.y.34 Cleartext-Password := "84.x.y.34" Auth-Type := Local, Cisco-Account-Info = ASSERVER, Cisco-Account-Info += AINET-10MBIT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 23 сентября, 2010 · Жалоба tc.conf Почему lISG говорит, что загрузил 4 префикса, а в приведенном Вами файле их 5? tc.conf точно лежит там где нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allexch Опубликовано 23 сентября, 2010 · Жалоба dpi1-galerny etc # pwd /home/allexch/lISG-0.11.3-alpha/ISG/etc dpi1-galerny etc # ls config.pl raddb tc.conf tc.conf.example можно как то продебажить какие префиксы он загрузил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allexch Опубликовано 23 сентября, 2010 · Жалоба Спасибо! разобрался, он же из /usr/src/ISG тянул tc.conf, а я tc.conf правил в "/home/allexch/lISG-0.11.3-alpha/ISG/etc" :) Следующий вопрос, как я понимаю модуль полисит каждый IP отдельно, есть ли возможность заполисить сеть (например /28) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 23 сентября, 2010 · Жалоба allexch, только количество загруженных, о каждом успешном не говорит. Если он что-то не загрузил - скажет. заполисить сеть (например /28) ?Чтобы считалась сумма по хостам, а не каждый хост отдельно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allexch Опубликовано 23 сентября, 2010 · Жалоба Ну да, просто у есть случаи когда клиенту выдается сеть и на сеть накладывается ограничение скорости, например 20Мбит/с на сеть /28. Те если 1 IP качает то все 20 может дать, если 2 то по 10Мбит разделится, или по необходимости (1+19 или 2+18), те что бы сеть полисилась... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
animage Опубликовано 23 сентября, 2010 · Жалоба Хотелось бы поинтересоватся можно ли будет задавать скорость для сервиса через радиус. Что то вроде: Cisco-Account-Info += "PEERING" Cisco-Account-Info += "INET" Cisco-Account-Info += "PEERING in rate 100000" Cisco-Account-Info += "PEERING in burst 10000" Cisco-Account-Info += "PEERING out rate 100000" Cisco-Account-Info += "PEERING out burst 10000" Cisco-Account-Info += "INET in rate 10000" Cisco-Account-Info += "INET in burst 1000" Cisco-Account-Info += "INET out rate 10000" Cisco-Account-Info += "INET out burst 1000" И так же для CoA. Очень удобная фишка примерно так реализовано в SmartEdge. Просто например не очень удобно крутить скорость в ночное время. Особено если абонент может сам выбирать одну из 10 возможных скоростей хоть на час хоть на два... и не только ночью. Да и скажем при переделки тарифов не будет нужды постояно лазить в конфиг, а просто изменять параметры тарифов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 23 сентября, 2010 (изменено) · Жалоба Хозяйке на заметку: в 2.6.35 поломаны chain-ы в iptables. Баг: http://bugzilla.netfilter.org/show_bug.cgi?id=669 . Лечится патчем (там же ссылка на kerneltrap) либо апгрейдом на 2.6.35.5 (в котором, в свою очередь, поломан Xen). Спасибо Умнику за подсказку. Изменено 23 сентября, 2010 пользователем Abram Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 25 сентября, 2010 (изменено) · Жалоба А никто не поделиться минимальными настройками FreeRadius для работы с SQL сервером ??? что-то совсем нет понимания в данном вопросе относительно ISG ? Как правильно добавить/выбрать атрибуты в базу/из базы. Изменено 25 сентября, 2010 пользователем kww Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 25 сентября, 2010 (изменено) · Жалоба Вроде бы всё хорошо но заметил одну особенность. ethstats total: 691.22 Mb/s In 611.23 Mb/s Out - 125017.0 p/s In 112512.0 p/s Out eth0: 407.98 Mb/s In 261.87 Mb/s Out - 66767.0 p/s In 55828.0 p/s Out eth1: 283.23 Mb/s In 349.37 Mb/s Out - 58250.0 p/s In 56684.0 p/s Out eth1 - сетевуха смотрящая в мир. eth0 - в локалку. На сервере осуществляется NAT средствами NETMAP. Прописаны blackhole на все диапазоны внешних адресов. Заметил что некоторые пользователи жалуются что "спидтесты" недодают скорости, но при этом торренты качают так как заявлено. Из особенностей настроек сетевух, лишь то что ip link set dev eth0 qlen 4096 ip link set dev eth1 qlen 1 В принципе изменение настроек не влияет. Сетевые карты intel 1000PT. Нагрузка по процам порядка 20%. С чем может быть связано такое различие в трафике ? Куда может "теряться" почти 1/7 трафика. Изменено 25 сентября, 2010 пользователем pchol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 25 сентября, 2010 · Жалоба Сетевые карты intel 1000PT. Точнее? 82576? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 25 сентября, 2010 · Жалоба Те если 1 IP качает то все 20 может дать, если 2 то по 10Мбит разделится, или по необходимости (1+19 или 2+18), те что бы сеть полисилась...Как при этом должна происходить аутентификация пользователя? То есть, что должно приходить в User-Name первоначально? Хотелось бы поинтересоватся можно ли будет задавать скорость для сервиса через радиусВо время аутентификации юзера? Очень удобная фишка примерно так реализовано в SmartEdge.В онлайне доки есть? что-то совсем нет понимания в данном вопросе относительно ISG ?Что именно подсказать? Атрибуты, которые понимает lISG, описаны в README. pchol, lISG использует полисинг. В случае если пакет превышает допустимую полосу, он дропается, и естественно не отображается на "противоположном" интерфейсе. Особенно это заметно на совсем медленных скоростях - например 128 Кбит/с. Не знаю какие у Вас скорости, но не уверен, что 1/7 трафика было убито полисингом. жалуются что "спидтесты" недодают скоростиКак вы задаете скорость? Если не при помощи атрибута Class (то есть используете "сервисы"), то какое значение burst прописано в сервисе? ip link set dev eth1 qlen 1Почему такая очередь короткая очередь? Какая цель преследуется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 25 сентября, 2010 · Жалоба Задаю именно с помощью class для каждого пользователя индивидуально, сервисы не используются на данный момент (почему то на стенде заработали а в бою нет...). При установлении очереди в 4096 (равной ring), на графике трафика наблюдаю синусоиду... Опять же непонятно почему. По скоростям у меня порядка 50% пользователей это 1мбит/сек, порядка ещё 30% 2 мбита, 10% на 512кб/сек, остальное тарифы со скоростями 2+ мбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wingman Опубликовано 25 сентября, 2010 · Жалоба ... Думаю, что в сентябре. Правда сначала это будет простой редирект (например, для тех кто не оплатил услуги), без возможности запустить сессию на портале после успешной авторизации. Есть прогресс в эту сторону? ОЧЕНЬ ждём =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~pavel~ Опубликовано 26 сентября, 2010 · Жалоба У меня есть вопрос по поводу редиректа. Может проще отправлять пакеты не прошедшие аутентификацию в другую цепочку, а там уже можно делать все что угодно??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 26 сентября, 2010 · Жалоба У меня ещё был вопрос. Если к примеру поверх ISG на машине применить "классический" шейпер tc c дисциплиной sfq для каждого абонента, то есть просто создавать очереди и "перемешивать", сделает ли это сёрфинг на мелких скоростях более "плавным" ? Про дополнительную нагрузку на сервер всё понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 26 сентября, 2010 · Жалоба При установлении очереди в 4096 (равной ring), на графике трафика наблюдаю синусоиду... Опять же непонятно почему.Я бы вообще не трогал txqueuelen. Ошибки есть на интерфейсах? ethtool -S eth0; ethtool -S eth1 ? Может проще отправлять пакеты не прошедшие аутентификацию в другую цепочку, а там уже можно делать все что угодно???Именно так не получится. Зато подобные пакеты lISG будет помечать. Потом их можно будет в нужных местах ловить при помощи -m mark и делать что угодно. Да, и в любом случае это все будет происходить в таблице iptables nat (-t nat). Если к примеру поверх ISG на машине применить "классический" шейпер tcМожно, если хотите. В соседней ветке была средство для управления правилами tc. Тогда lISG будет использоваться только для аккаунтинга. Есть прогресс в эту сторону? ОЧЕНЬ ждём =)Будет через одну версию, в середине октября. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 26 сентября, 2010 (изменено) · Жалоба Не не не. Использовать lISG для аккаунтинга и ограничения скорости, а sfq _только_ для "плавного сёрфинга", то есть не резать скорость средствами tc. Изменено 26 сентября, 2010 пользователем pchol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 26 сентября, 2010 · Жалоба pchol: думаю вряд ли, ведь lISG полисит, а sfq это краевая дисциплина подразумевающая шейпинг! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 26 сентября, 2010 · Жалоба Подумал.. наверно действительно так. Фактически же нет никаких отдельных очередей для пользователей. Трафик просто рубится а очередь тлько на весь интерфейс... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allexch Опубликовано 27 сентября, 2010 · Жалоба Те если 1 IP качает то все 20 может дать, если 2 то по 10Мбит разделится, или по необходимости (1+19 или 2+18), те что бы сеть полисилась...Как при этом должна происходить аутентификация пользователя? То есть, что должно приходить в User-Name первоначально? Я полагаю, что USER-NAME должен приходить тот который идет от пользователя(ip address), а вот Radius(БД) должен хранить "новый атрибут"-маску подсети для этого IP(для всех IP в этой сети), что бы ISG знала что полисится не только этот IP но и вся сеть(те после 1-го IP уже создать правило для полисинга всей сети). Далее если приходит новый IP из этой сети, то все тоже самое, на ISG клиент авторизовался, получил атрибут = маске и пошли резаться уже 2 IP, по уже созданному правилу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 27 сентября, 2010 (изменено) · Жалоба Цепочка stat_nat_dst_skeleton для задачи static 1-to-1 NAT должна автоматически создаваться? Изменено 27 сентября, 2010 пользователем shaytan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 27 сентября, 2010 · Жалоба В ридми же написано: but first you need to reference tree-like structures automaticallycreated using IPTables::SubnetSkeleton, f.e.: iptables -t nat -I PREROUTING -j stat_nat_dst_skeleton iptables -t nat -I POSTROUTING -j stat_nat_src_skeleton Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...