Не работает ипое

IPoE related questions
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Не работает ипое

Post by Cramac »

собрал тестовый. собрал все заново, тот же конфиг только поменял на L3, т.к. на тесте клиент воткнут был на прямую в сервер с accel. Все отработало. Теперь пересоберу так же на рабочем сервере, проверю в режиме L2.
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Не работает ипое

Post by Cramac »

Попробовал тут вновь запустить ИПОЕ. Что то не то с ним.
Вот конфиг:

Code: Select all

[ipoe]
nat=1
verbose=1
username=ifname
#password=username
lease-time=600
max-lease-time=3600
#unit-cache=1000
#l4-redirect-table=4
l4-redirect-ipset=l4redirect
l4-redirect-on-reject=300
shared=1
ifcfg=1
mode=L3
start=up
#relay=10.10.10.10
#attr-dhcp-client-ip=DHCP-Client-IP-Address
#attr-dhcp-router-ip=DHCP-Router-IP-Address
#attr-dhcp-mask=DHCP-Mask
#attr-l4-redirect=L4-Redirect
local-net=10.10.11.0/24
#local-net=172.0.0.0/8
#lua-file=/etc/accel-ppp.lua
interface=ens6f0

[client-ip-range]
10.0.0.0/8
172.0.0.0/8
Вроде как пишу local-net=10.10.11.0/24 а в l4redirect попадают ПК из 10.10.10.0/24

Code: Select all

[2017-01-23 07:46:35]:  info: ipoe0: create interface ipoe0 parent ens6f0
[2017-01-23 07:46:35]:  info: ipoe0: send [RADIUS(1) Access-Request id=1 <User-Name "ens6f0"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 10.10.10.1> <NAS-Port 9558> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-Station-Id "70:72:cf:a3:25:60"> <Called-Station-Id "ens6f0"> <Framed-IP-Address 10.10.10.235> <User-Password>]
[2017-01-23 07:46:35]:  info: ipoe0: recv [RADIUS(1) Access-Reject id=1 <h323-return-code "h323-return-code=-1">]
[2017-01-23 07:46:35]:  warn: ipoe0: authentication failed
[2017-01-23 07:46:35]: debug: ipoe0: terminate
[2017-01-23 07:46:35]:  info: ipoe0: ipoe: session finished


при этом интернет продолжает работать и accel не блокирует форвард

Схема сети такая:

Абонент (172.20.0.1 gw 172.20.0.254 vlan 210) - маршрутизатор (172.20.0.254 gw 10.10.10.1) - НАС (10.10.10.1 vlan 10)
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: Не работает ипое

Post by dimka88 »

У вас #local-net=172.0.0.0/8 закомментировано, в секции ipoe, [client-ip-range] только для ppp работает.
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Не работает ипое

Post by Cramac »

Это я закоментировал после теста, т.к. Делал ночью и не проверял досконально. Но пока 10 минут работало, проверил по быстрому с тестового ПК, в реджект ип занесли но доступ не заблокировался (побоялся что пптп у народа не будет работать и закоментировал клиентскую сеть). Может ли это быть из за режима L2? Хотя все клиенты за маршрутизатором.
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: Не работает ипое

Post by dimka88 »

Может лучше на виртуалках развернуть и проверить полностью функционал перед внедрением =)
Может из за L2.
В случае L3 исходящий пакет будет маршрутизироваться согласно установленным правилам маршрутизации.
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Не работает ипое

Post by Cramac »

просто повторюсь, есть сегмент та же схема, конфиг такой же

Code: Select all

[ipoe]
nat=1
verbose=1
#username=ifname
#password=username
lease-time=600
max-lease-time=3600
#unit-cache=1000
#l4-redirect-table=4
l4-redirect-ipset=l4redirect
l4-redirect-on-reject=300
shared=1
ifcfg=1
mode=L2
start=up
#relay=10.10.10.10
#attr-dhcp-client-ip=DHCP-Client-IP-Address
#attr-dhcp-router-ip=DHCP-Router-IP-Address
#attr-dhcp-mask=DHCP-Mask
#attr-l4-redirect=L4-Redirect
local-net=10.10.11.0/24
local-net=172.0.0.0/8
#lua-file=/etc/accel-ppp.lua
interface=eth0
и работает. Только версия accel более старая

~# accel-cmd -V
accel-cmd cddc20689a17a1b30d491cd2021f911a669f6dbc

На это версии, если радиус отбрасывает, ИП закидывает в ИПСЕТ и трафик через сервер не пропускает. В последней, все вроде так же, но почему не блокирует трафик?
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Не работает ипое

Post by Cramac »

Вопрос по другому, accel должен блокировать прохождение трафика? или все же у меня какая то не правильная схема...
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: Не работает ипое

Post by Dmitry »

давай смотреть:
1. ip addr show dev eth0
2. ip route show dev eth0
3. лог подключения
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Не работает ипое

Post by Cramac »

с рабочего сервера с старым accel

Code: Select all

# ip addr show dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 10000
    link/ether 00:1e:67:79:9c:01 brd ff:ff:ff:ff:ff:ff
    inet 10.10.10.1/24 brd 10.10.10.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 91.xx.xx.254/24 brd 91.xx.xx.255 scope global eth0:0
       valid_lft forever preferred_lft forever
    inet6 fe80::21e:67ff:fe79:9c01/64 scope link
       valid_lft forever preferred_lft forever

Code: Select all

# ip route show dev eth0
10.10.0.0/16 via 10.10.10.254
10.10.10.0/24  proto kernel  scope link  src 10.10.10.1
91.xx.xx.0/24  proto kernel  scope link  src 91.xx.xx.254
172.20.0.0/16 via 10.10.10.254
172.40.0.0/16 via 10.10.10.254
192.168.0.0/24 via 10.10.10.254
подключение так:

Code: Select all

[2017-01-24 13:06:09]:  info: ipoe69: create interface ipoe69 parent eth0
[2017-01-24 13:06:09]:  info: ipoe69: send [RADIUS(1) Access-Request id=1 <User-Name "172.20.8.4"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.хх.хх.242> <NAS-Port 251975> <NAS-Port-Id "ipoe69"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.8.4"> <Called-Station-Id "eth0"> <User-Password >]
[2017-01-24 13:06:09]:  info: ipoe69: recv [RADIUS(1) Access-Accept id=1 <Service-Type Framed-User> <Framed-Protocol PPP> <Framed-IP-Address 192.168.7.138> <Framed-IP-Netmask 255.255.255.255> <Session-Timeout 86400> <Acct-Interim-Interval 63> <Traffic-Shape-in "50"> <Traffic-Shape-out "50"> <Idle-Timeout 600>]
[2017-01-24 13:06:09]:  info: ipoe69: 172.20.8.4: authentication succeeded
[2017-01-24 13:06:09]:  info: ipoe69: send [RADIUS(1) Accounting-Request id=1 <User-Name "172.20.8.4"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.хх.хх.242> <NAS-Port 251975> <NAS-Port-Id "ipoe69"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.8.4"> <Called-Station-Id "eth0"> <Acct-Status-Type Start> <Acct-Authentic RADIUS> <Acct-Session-Id "15a1ee696d195af8"> <Acct-Session-Time 0> <Acct-Input-Octets 0> <Acct-Output-Octets 0> <Acct-Input-Packets 0> <Acct-Output-Packets 0> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 192.168.7.138>]
[2017-01-24 13:06:09]:  info: ipoe69: recv [RADIUS(1) Accounting-Response id=1]
[2017-01-24 13:06:09]:  info: ipoe69: ipoe: session started
[2017-01-24 13:06:09]:  info: ipoe69: pppd_compat: ip-up started (pid 23781)
[2017-01-24 13:06:10]:  info: ipoe69: pppd_compat: ip-up finished (0)
на поднятом интерфейсе выглядит так:

Code: Select all

# ip addr show dev ipoe69
251975: ipoe69: <POINTOPOINT,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc htb state UNKNOWN group default qlen 100
    link/ether 00:1e:67:79:9c:01 peer ff:ff:ff:ff:ff:ff
    inet 10.10.10.1 peer 192.168.7.138/32 scope global ipoe69
       valid_lft forever preferred_lft forever
    inet6 fe80::21e:67ff:fe79:9c01/64 scope link
       valid_lft forever preferred_lft forever
 
 # ip route show dev ipoe69
192.168.7.138  proto kernel  scope link  src 10.10.10.1
на новом сервере с новым accel

Code: Select all

# ip addr show dev ens6f0
2: ens6f0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 10000
    link/ether 90:e2:ba:06:fe:54 brd ff:ff:ff:ff:ff:ff
    inet 10.10.10.1/24 brd 10.10.10.255 scope global ens6f0
       valid_lft forever preferred_lft forever
    inet 91.xx.xx.254/24 brd 91.xx.xx.255 scope global ens6f0:0
       valid_lft forever preferred_lft forever
    inet6 fe80::92e2:baff:fe06:fe54/64 scope link
       valid_lft forever preferred_lft forever

Code: Select all

ip route show dev ens6f0
10.10.0.0/16 via 10.10.10.254
10.10.10.0/24  proto kernel  scope link  src 10.10.10.1
91.xx.xx.0/24  proto kernel  scope link  src 91.xx.xx.254
172.12.0.0/16 via 10.10.10.254
172.20.0.0/16 via 10.10.10.254
лог

Code: Select all

[2017-01-23 04:22:09]:  info: ipoe0: create interface ipoe0 parent ens6f0
[2017-01-23 04:22:09]:  info: ipoe0: send [RADIUS(1) Access-Request id=1 <User-Name "ens6f0"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 10.10.10.1> <NAS-Port 3320> <NAS-Port-Id "ipoe0"> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:12:cf:39:97:40"> <Called-Station-Id "ens6f0"> <Framed-IP-Address 172.20.2.29> <User-Password>]
[2017-01-23 04:22:09]:  info: ipoe0: recv [RADIUS(1) Access-Reject id=1 <h323-return-code "h323-return-code=-1">]
[2017-01-23 04:22:09]:  warn: ipoe0: authentication failed
[2017-01-23 04:22:09]: debug: ipoe0: terminate
[2017-01-23 04:22:09]:  info: ipoe0: ipoe: session finished
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: Не работает ипое

Post by Dmitry »

и что, после Access-Reject трафик продолжает бегать ?
Post Reply