Accel reley

IPoE related questions
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: Accel reley

Post by Dmitry »

должен работать через релей
давай смотреть конфиг и прилетающие пакеты
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Accel reley

Post by Cramac »

пока конфиг:
Спойлер
[modules]
log_file
#log_syslog
#log_tcp
#log_pgsql

pptp
l2tp
#pppoe
ipoe

auth_mschap_v2
auth_mschap_v1
auth_chap_md5
auth_pap

radius
#chap-secrets

ippool

pppd_compat

#shaper
#net-snmp
#logwtmp
#connlimit

#ipv6_nd
#ipv6_dhcp
#ipv6pool

#net-accel-dp
vlan-mon

[core]
log-error=/var/log/accel-ppp/core.log
thread-count=4

[common]
#single-session=replace
#sid-case=upper
#sid-source=seq

[ppp]
verbose=1
min-mtu=1280
mtu=1400
mru=1400
#accomp=deny
#pcomp=deny
#ccp=0
check-ip=1
#mppe=require
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=20
#lcp-echo-failure=3
lcp-echo-timeout=120
unit-cache=1
#unit-preallocate=1

[auth]
#any-login=0
#noauth=0

[pptp]
verbose=1
echo-interval=30

[pppoe]
verbose=1
#ac-name=xxx
#service-name=yyy
#pado-delay=0
#pado-delay=0,100:100,200:200,-1:500
called-sid=mac
#tr101=1
#padi-limit=0
#ip-pool=pppoe
#sid-uppercase=0
#vlan-mon=eth0,10-200
#vlan-timeout=60
#vlan-name=%I.%N
#interface=eth1,padi-limit=1000,net=accel-dp
interface=eth0

[l2tp]
verbose=1
#dictionary=/usr/local/share/accel-ppp/l2tp/dictionary
hello-interval=120
timeout=120
rtimeout=10
#rtimeout-cap=16
#retransmit=5
#recv-window=16
#host-name=accel-ppp
dir300_quirk=1
#secret=
#dataseq=allow
#reorder-timeout=0
#ip-pool=l2tp

[ipoe]
verbose=1
mode=L2
shared=1
start=dhcpv4
ifcfg=1
relay=10.10.10.50
agent-remote-id=accel-ppp
username=lua:ifname
#password=username
lease-time=600
max-lease-time=3600
#unit-cache=1000
#l4-redirect-table=4
l4-redirect-ipset=l4redirect
l4-redirect-on-reject=300
#attr-dhcp-client-ip=DHCP-Client-IP-Address
#attr-dhcp-router-ip=DHCP-Router-IP-Address
#attr-dhcp-mask=DHCP-Mask
#attr-l4-redirect=L4-Redirect
local-net=10.10.11.0/24
#local-net=172.0.0.0/8
lua-file=/etc/accel-ppp.lua
#interface=enp3s1
interface=enp1s0
vlan-mon=eth0,10-999
vlan-timeout=60
vlan-name=%I.%N

[dns]
dns1=8.8.8.8
dns2=8.8.4.4

[wins]
#wins1=172.16.0.1
#wins2=172.16.1.1

[radius]
#dictionary=/usr/local/share/accel-ppp/radius/dictionary
nas-identifier=accel-ppp
nas-ip-address=10.10.10.1
gw-ip-address=10.255.255.1
server=10.10.10.6,pass,auth-port=1812,acct-port=1813,req-limit=0,fail-time=0,max-fail=10,weight=1
dae-server=10.10.10.12:3799,pass
verbose=1
#timeout=3
#max-try=3
acct-timeout=0
#acct-delay-time=0
#acct-on=0
#attr-tunnel-type=My-Tunnel-Type

[client-ip-range]
10.0.0.0/8
172.0.0.0/8

[ip-pool]
gw-ip-address=192.168.0.1
#vendor=Cisco
#attr=Cisco-AVPair
attr=Framed-Pool
192.168.0.2-255
192.168.1.1-255,name=pool1
192.168.2.1-255,name=pool2
192.168.3.1-255,name=pool3
192.168.4.0/24

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
#log-debug=/dev/stdout
#syslog=accel-pppd,daemon
#log-tcp=127.0.0.1:3000
copy=1
#color=1
#per-user-dir=per_user
#per-session-dir=per_session
#per-session=1
level=5

[log-pgsql]
conninfo=user=log
log-table=log

[pppd-compat]
#ip-pre-up=/etc/ppp/ip-pre-up
ip-up=/etc/ppp/ip-up
ip-down=/etc/ppp/ip-down
ip-change=/etc/ppp/ip-change
radattr-prefix=/var/run/radattr
verbose=1

[chap-secrets]
gw-ip-address=192.168.100.1
#chap-secrets=/etc/ppp/chap-secrets
#encrypted=0
#username-hash=md5

[shaper]
#attr=Filter-Id
#down-burst-factor=0.1
#up-burst-factor=1.0
#latency=50
#mpu=0
#mtu=0
#r2q=10
#quantum=1500
#moderate-quantum=1
#cburst=1534
#ifb=ifb0
up-limiter=police
down-limiter=tbf
#leaf-qdisc=sfq perturb 10
#leaf-qdisc=fq_codel [limit PACKETS] [flows NUMBER] [target TIME] [interval TIME] [quantum BYTES] [[no]ecn]
#rate-multiplier=1
#fwmark=1
verbose=1

[cli]
verbose=1
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
#password=123

[snmp]
master=1
agent-name=accel-ppp

[connlimit]
limit=10/min
burst=3
timeout=60

[ipv6-pool]
fc00:0:1::/48,64
delegate=fc00:1::/36,48

[ipv6-dns]
#fc00:1::1
#fc00:1::2
#fc00:1::3
#dnssl=suffix1.local.net
#dnssl=suffix2.local.net.

[ipv6-dhcp]
verbose=1
pref-lifetime=604800
valid-lifetime=2592000
route-via-gw=1

[accel-dp]
socket=/var/run/accel-dp.sock
сразу отмечу, что пока проверяю релей и чего то может и не хватать для работоспособности (типо трафик не ходит и все такое).
завтра смогу дхцп скинуть что приходит
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Accel reley

Post by Cramac »

вот что приходит на сервер от релея свитчей.
Спойлер
TIME: 2017-01-12 15:26:00.126
IP: 10.10.10.238 (0:12:cf:48:d6:87) > 10.10.10.12 (0:22:15:da:ab:25)
OP: 1 (BOOTPREQUEST)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 1
XID: 7c8226bc
SECS: 768
FLAGS: 7f80
CIADDR: 0.0.0.0
YIADDR: 0.0.0.0
SIADDR: 0.0.0.0
GIADDR: 10.10.10.238
CHADDR: f0:76:1c:db:66:05:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 1 (DHCPDISCOVER)
OPTION: 61 ( 7) Client-identifier 01:f0:76:1c:db:66:05
OPTION: 12 ( 5) Host name ▒▒-▒▒
OPTION: 60 ( 8) Vendor class identifier MSFT 5.0
OPTION: 55 ( 12) Parameter Request List 1 (Subnet mask)
15 (Domainname)
3 (Routers)
6 (DNS server)
44 (NetBIOS name server)
46 (NetBIOS node type)
47 (NetBIOS scope)
31 (Perform router discovery)
33 (Static route)
121 (Classless Static Route)
249 (MSFT - Classless route)
43 (Vendor specific info)

OPTION: 82 ( 18) Relay Agent Information
Circuit-ID 00:04:01:04:01:04
Remote-ID 00:06:00:12:cf:48:d6:87
---------------------------------------------------------------------------

TIME: 2017-01-12 15:26:08.126
IP: 10.10.10.238 (0:12:cf:48:d6:87) > 10.10.10.12 (0:22:15:da:ab:25)
OP: 1 (BOOTPREQUEST)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 1
XID: 7c8226bc
SECS: 2816
FLAGS: 7f80
CIADDR: 0.0.0.0
YIADDR: 0.0.0.0
SIADDR: 0.0.0.0
GIADDR: 10.10.10.238
CHADDR: f0:76:1c:db:66:05:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 1 (DHCPDISCOVER)
OPTION: 61 ( 7) Client-identifier 01:f0:76:1c:db:66:05
OPTION: 12 ( 5) Host name ▒▒-▒▒
OPTION: 60 ( 8) Vendor class identifier MSFT 5.0
OPTION: 55 ( 12) Parameter Request List 1 (Subnet mask)
15 (Domainname)
3 (Routers)
6 (DNS server)
44 (NetBIOS name server)
46 (NetBIOS node type)
47 (NetBIOS scope)
31 (Perform router discovery)
33 (Static route)
121 (Classless Static Route)
249 (MSFT - Classless route)
43 (Vendor specific info)

OPTION: 82 ( 18) Relay Agent Information
Circuit-ID 00:04:01:04:01:04
Remote-ID 00:06:00:12:cf:48:d6:87
---------------------------------------------------------------------------
запись tcpdump
https://yadi.sk/d/IuRwkJGA38bKdi
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: Accel reley

Post by Dmitry »

так у тебя и опция 82 есть, зачем тогда по макам...
ты мне скажи, этот внешний дхцп так уж он нужен, он выдаёт какую-то доп. информацию помимо адресов ?
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Accel reley

Post by Cramac »

нет, ничего такого он не выдает. Удобное управление и постоянные адреса на порту (перловый с нага)
а мак и хочется что бы не пускать в сеть халявщиков, кто каким то образом зашел в сеть под чьим то ИП
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: Accel reley

Post by Dmitry »

тогда из этой схемы лишнюю сущность в виде внешнего дхцп нужно исключать, адреса выдавать радиусом, авторизацию сделать по опции 82
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Accel reley

Post by Cramac »

хм. предлагаете accel'м выдавать адреса полученные по радиусу от биллинга? к такому мы не готовы, в биллинге адреса хаотичны и их натим на НАСе и они никак не подходят под раздачу клиентам.

уж проще придумать сброс авторизации при смене мака чем переделывать все :)
Видимо у меня странные желания реализации.

В любом варианте, что бы accel видел mac, необходимо пробросить все клиентские вланы на НАС. Отключить на свитчах снупинг с релеем.
Dmitry
Администратор
Posts: 954
Joined: 09 Oct 2014, 10:06

Re: Accel reley

Post by Dmitry »

не проблема, можно выдавать адреса из локального пула
или там привязка мак-ип в том дхцп ?
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Accel reley

Post by Cramac »

Нет. Привязок так же нет.

В идеале конечно же, хотелось из accel некий прозрачный релей.
Post Reply