Yaten Опубликовано 1 апреля, 2011 (изменено) · Жалоба Добрый день! Есть задача подать поток accounting на СОРМ вышестоящего провайдера (ТТК) Мне выдали влан, посадили на него /30 и сказали, что мой ip 192.168.10.2 а их 192.168.10.1 И на 192.168.10.1 надо подать accounting (UDP 1813) С чего я начал: - отзеркалил порт, по которому идет accounting - подал этот трафик на mikrotik ether2 - снифером посмотрел трафик - пакеты есть. [src=10.10.10.2 dst=10.10.10.1 UDP dsp-port=1813] - меняю мас на ether2, чтоб он был равен мас-у которому предназначен пакет [src=10.10.10.2 dst=10.10.10.1 UDP dsp-port=1813] - ставлю на ether2 ip=10.10.10.1/30 - создаю правило chain=dstnat action=dst-nat to-addresses=192.168.10.1 protocol=udp dst-address=10.10.10.1 in-interface=ether2 dst-port=1813 и под счетчик правила ничего не попадает. -меняю правило chain=dstnat action=dst-nat to-addresses=192.168.10.1 in-interface=ether2 и счетчик начинает тикать, но на удалённом интерфейсе с ip 192.168.10.1 ни одного пакета (пинг между 192.168.10.2 и 192.168.10.1 ходит исправно) добавляю что нибудь одно (dst-ip, port, protoсol) и счетчик правила nat перестаёт тикать. Делал все тоже самое на cisco 3620 - эфект такой же. В чем ошибка? Изменено 1 апреля, 2011 пользователем Yaten Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 1 апреля, 2011 (изменено) · Жалоба Неаверное, дело в том, что от вас хотят не весь трафик в сыром виде а netflow ? Изменено 1 апреля, 2011 пользователем sol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 2 апреля, 2011 (изменено) · Жалоба netflow тут абсолютно не при чем, речь идет об accounting трафике. и подать его надо на 192.168.10.1 Изменено 2 апреля, 2011 пользователем Yaten Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 2 апреля, 2011 · Жалоба показывайте конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 3 апреля, 2011 · Жалоба Ваш NAS не поддерживает указание нескольких серверов для аккаунтинга? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 4 апреля, 2011 · Жалоба Вот конфиг /interface ethernet set 0 arp=enabled auto-negotiation=yes cable-settings=default disable-running-check=yes disabled=no full-duplex=yes mac-address=00:13:20:BD:AF:BB mtu=1500 name=ether1 speed=100Mbps set 1 arp=enabled auto-negotiation=no cable-settings=default disable-running-check=yes disabled=no full-duplex=yes mac-address=00:13:20:BD:AF:BC mtu=1500 name=ether2 speed=100Mbps /interface vlan add arp=enabled disabled=no interface=ether1 mtu=1500 name=vlan78 use-service-tag=no vlan-id=78 /interface bridge settings set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=no /ip accounting set account-local-traffic=no enabled=no threshold=256 /ip accounting web-access set accessible-via-web=no address=0.0.0.0/0 /ip address add address=172.16.0.78/24 disabled=no interface=ether1 network=172.16.0.0 add address=192.168.10.2/29 disabled=no interface=vlan78 network=192.168.10.0 add address=10.10.10.1/28 disabled=no interface=ether2 network=10.10.10.0 /ip arp add address=10.10.10.2 disabled=no interface=ether2 mac-address=00:23:7D:D5:38:C4 /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \ tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s /ip firewall mangle /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=10.10.10.1 dst-port=1813 in-interface=ether2 protocol=udp to-addresses=192.168.10.1 /ip firewall service-port set ftp disabled=no ports=21 set tftp disabled=no ports=69 set irc disabled=no ports=6667 set h323 disabled=no set sip disabled=no ports=5060,5061 set pptp disabled=no /ip proxy set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=no enabled=no max-cache-size=none max-client-connections=600 max-fresh-time=3d \ max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=no src-address=0.0.0.0 /ip route add disabled=no distance=1 dst-address=8.8.8.8/32 gateway=192.168.168.3 scope=30 target-scope=10 /ip service set telnet disabled=no port=23 set ftp disabled=no port=21 set www disabled=no port=80 set ssh disabled=no port=22 set www-ssl certificate=none disabled=yes port=443 set api disabled=yes port=8728 set winbox disabled=no port=8291 /ip socks set connection-idle-timeout=2m enabled=no max-connections=200 port=1080 /ip ssh set forwarding-enabled=no /ip traffic-flow set active-flow-timeout=30m cache-entries=4k enabled=no inactive-flow-timeout=15s interfaces=all /ip upnp set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes /mpls set dynamic-label-range=16-1048575 propagate-ttl=yes /mpls interface add disabled=no interface=all mpls-mtu=1508 /mpls ldp set distribute-for-default-route=no enabled=no hop-limit=255 loop-detect=no lsr-id=0.0.0.0 path-vector-limit=255 transport-address=0.0.0.0 use-explicit-null=no /port firmware set directory=firmware /ppp aaa set accounting=yes interim-update=0s use-radius=no /queue interface set ether1 queue=ethernet-default set ether2 queue=ethernet-default /radius incoming set accept=no port=3799 /routing bfd interface set all disabled=no interface=all interval=0.2sec min-rx=0.2sec multiplier=5 /routing mme set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m gateway-selection=no-gateway origination-interval=5s preferred-gateway=0.0.0.0 timeout=1m ttl=50 /routing rip set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no redistribute-connected=no \ redistribute-ospf=no redistribute-static=no routing-table=main timeout-timer=3m update-timer=30s /store add disabled=no disk=sata1 name=web-proxy1 type=web-proxy /system clock set time-zone-name=manual /system clock manual set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start="jan/01/1970 00:00:00" time-zone=+00:00 /system console add disabled=no port=serial0 term=vt102 set [ find vcno=1 ] disabled=no term=linux set [ find vcno=2 ] disabled=no term=linux set [ find vcno=3 ] disabled=no term=linux set [ find vcno=4 ] disabled=no term=linux set [ find vcno=5 ] disabled=no term=linux set [ find vcno=6 ] disabled=no term=linux set [ find vcno=7 ] disabled=no term=linux set [ find vcno=8 ] disabled=no term=linux /system console screen set line-count=25 /system hardware set multi-cpu=yes /system health set state-after-reboot=enabled /system identity set name=MikroTik /system logging add action=memory disabled=no prefix="" topics=info add action=memory disabled=no prefix="" topics=error add action=memory disabled=no prefix="" topics=warning add action=echo disabled=no prefix="" topics=critical /system note set note="" show-at-login=yes /system ntp client set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0 /system resource irq set 0 cpu=auto set 1 cpu=auto set 2 cpu=auto set 3 cpu=auto set 4 cpu=auto set 5 cpu=auto set 6 cpu=auto set 7 cpu=auto set 8 cpu=auto set 9 cpu=auto set 10 cpu=auto /system resource irq rps set ether1 disabled=no set ether2 disabled=no /system routerboard bios set /system upgrade mirror set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=0.0.0.0 user="" /system watchdog set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=none watchdog-timer=yes /tool bandwidth-server set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=100 /tool e-mail set address=0.0.0.0 from=<> password="" port=25 username="" /tool graphing set page-refresh=300 store-every=5min /tool mac-server add disabled=no interface=all /tool mac-server ping set enabled=yes /tool sms set allowed-number="" channel=0 keep-max-sms=0 receive-enabled=no secret="" /tool sniffer set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 filter-address2=0.0.0.0/0:0-65535 filter-protocol=all-frames filter-stream=yes interface=ether2 memory-limit=100 \ memory-scroll=yes only-headers=no streaming-enabled=no streaming-server=0.0.0.0 /tool traffic-monitor add disabled=yes interface=ether2 name=tmon1 on-event="" threshold=0 traffic=received trigger=above /user aaa set accounting=yes default-group=read interim-update=0s use-radius=no Ваш NAS не поддерживает указание нескольких серверов для аккаунтинга? у меня НАС на pppd, раздаёт pppoe. pppd умеет указывать несколько серверов аккаунтинга? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 4 апреля, 2011 · Жалоба у меня НАС на pppd, раздаёт pppoe. pppd умеет указывать несколько серверов аккаунтинга? Этим занимается не pppd, а radiusclient. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[S] Опубликовано 4 апреля, 2011 (изменено) · Жалоба RADIUS какой? Изменено 4 апреля, 2011 пользователем [S] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 4 апреля, 2011 · Жалоба dpkg -l |grep radius ii libradius1 0.3.2-11.1 /bin/login replacement with RADIUS. Shared lib to used by prog ii radiusclient1 0.3.2-11.1 /bin/login replacement which uses the RADIUS protocol for auth вот а к машине с радиусом не имею доступа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 4 апреля, 2011 · Жалоба Попробуйте в radiusclient.conf указать несколько серверов аккаунтинга, вторым тот, который для сорма. Естесственно сделайте так, чтоб на эту сетку был маршрут. С линухом я давно не связывался, но возможно такое и заработает, по крайней мере хуже не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 4 апреля, 2011 · Жалоба в radiusclient.conf есть параметр acctserver пришу значения через запятую, через пробел - данные не отсылаются. как его правильно писать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 4 апреля, 2011 · Жалоба вопрос решился. указал через запятую адреса accserver fsb,nas hosts указал кто такой fsb и в /etc/radiusclient/server указал ключ такой же как у НАСа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 4 апреля, 2011 · Жалоба надо сделать замечание. трафик начинает идти минут через 10. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 7 апреля, 2011 · Жалоба Надо тему снова поднять. выплыл косяк, логи завалены сообщениями типа rc_send_server: no reply from RADIUS server fsb:1813 т.е. ждем отклика от несуществующего сервера и не дожидаемся. Можно как то radiusclient объяснить, чтоб он не ждал отклика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...