Массовая авторизация и radreqlimit

Radius related questions
Doomovo88
Posts: 3
Joined: 04 Jul 2018, 23:42

Re: Массовая авторизация и radreqlimit

Post by Doomovo88 »

Добрый день. Чтобы не плодить темы пишу тут. Столкнулся со схожей проблемой. Есть тестовый нат (accel) на 500 пользователей. паралельно со pppoe-server.

Code: Select all

ppp270 | userxxxxx      | xx:xx:xx:xx:76:8e | 10.0.31.236 | pppoe |      | active | 10.18:08:50
 ppp301 | userxxxxx |xx:xx:xx:xx:07:80 | 10.0.32.39  | pppoe |      | active | 10.17:48:32
        |               | xx:xx:xx:xx:9b:4c |             | pppoe |      | start  | 10.17:37:18
 ppp136 | userxxxxx | xx:xx:xx:xx:79:61 | 10.0.32.232 | pppoe |      | active | 10.16:39:12
        |               | xx:xx:xx:xx:d7:1b |             | pppoe |      | start  | 10.16:09:37
 ppp223 | userxxxxx     | xx:xx:xx:xx:d5:0f | 10.0.33.148 | pppoe |      | active | 10.15:42:20
 ppp198 | userxxxxx | 1xx:xx:xx:xx:a6:eb | 10.0.33.151 | pppoe |      | active | 10.15:41:07
Один мак несколько раз даже висит, в разное време был start

Code: Select all

        |               | xx:xx:xx:xx:9b:4c |             | pppoe |      | start  | 1.19:10:19
Радиус не использую, авторизация через chap-secrets. ip-up тоже есть
Эти маки авторизованы на pppoe-server, от них постоянно летят PADI пакеты без логинов и паролей ( в основном это D-linki у которых крышу снесло)
connlimit пробывал, тоже есть такие сессии(но вроде меньше)

1. кто нибудь смог это победить?
2. можно ли как то избавится от этих висящих сессий без перезагрузки?
3. и что может случится если снять max-sessions . они так и будут по новой появляться, к чему это может привести(утечка памяти и тд) или вообще не обращать на это внимание?

с такими роутерами в сети понятно надо разбираться.

конфиг
Спойлер
[modules]
log_file
#pptp
#l2tp
pppoe

#auth_mschap_v2
#auth_mschap_v1
auth_chap_md5
auth_chap
auth_pap

#radius
chap-secrets
pppd_compat
#shaper
#vlan-mon
ippool
#connlimit

[core]
log-error=/var/log/accel-ppp/core.log
thread-count=4

[common]
#single-session=replace
max-sessions=500

[ppp]
verbose=0
#min-mtu=1000
mtu=1492
mru=1492
ipv4=require
ipv6=deny
lcp-echo-interval=60
lcp-echo-failure=5
#check-ip=1

[auth]
#any-login=0
#noauth=0

[pppoe]
verbose=1
ac-name=TEST_Accel
#service-name=TEST_Accel
#pado-delay=0
#pado-delay=0,100:100,200:200,-1:500
#called-sid=mac
#tr101=1
#padi-limit=0
#sid-uppercase=0
interface=br0
ip-pool=pool1
#mac-filter=/usr/local/acnt/pppoeIP-UP/Accel_PPP/mac-blacklist,allow
#called-sid=mac

[dns]
dns1=10.0.0.3
dns2=10.0.0.4

#[radius]
#dictionary=/usr/local/share/accel-ppp/radius/dictionary
#gw-ip-address=172.88.88.88
#nas-identifier=BRAS1
#nas-ip-address=NAS_IP_ADDRESS
#server=BILLING_IP_ADDRESS,RADIUS_SECRET,auth-port=1812,acct-port=1813,req-limit=0,fail-time=1
#server=127.0.0.1,RADIUS_SECRET,auth-port=1812,acct-port=1813,req-limit=0,fail-time=2,backup
#dae-server=0.0.0.0:3799,RADIUS_SECRET
#verbose=0
#timeout=3
#max-try=3
#acct-delay-time=0

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
#log-debug=/dev/stdout
#syslog=accel-pppd,daemon
#log-tcp=127.0.0.1:3000
copy=1
level=3

[pppd-compat]
#ip-pre-up=/etc/ppp/ip-pre-up
ip-up=/etc/ppp/ip-up
ip-down=/etc/ppp/ip-down
#ip-change=/etc/ppp/ip-change
#radattr-prefix=/var/run/radattr
verbose=1

[chap-secrets]
gw-ip-address=10.0.30.1
chap-secrets=/etc/ppp/chap-secrets
#encrypted=0
#username-hash=md5

#[shaper]
#attr=Filter-Id
#ifb=ifb0
#up-limiter=htb
#down-limiter=tbf
#cburst=1375000
#r2q=10
#quantum=1500
#leaf-qdisc=sfq perturb 10
#verbose=0

[cli]
verbose=1
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001
#password=123

[ip-pool]
gw-ip-address=10.0.30.1
attr=Framed-Pool
10.0.30.5-254,name=pool1
10.0.31.1-254,name=pool1
10.0.32.1-254,name=pool1
10.0.33.1-254,name=pool1

#[connlimit]
#limit=10/min
#burst=3
#timeout=60
accel-cmd -V
accel-cmd 384d6a8a17d876dc4639e29d2baf4b223a8eaadf
IVB
Posts: 15
Joined: 22 Nov 2017, 12:31

Re: Массовая авторизация и radreqlimit

Post by IVB »

dimka88 wrote: 22 Jan 2018, 07:24 Попробуйте как временное решение использовать connlimit, если опишите как воспроизвести на стенде с freeradius будет замечательно и я думаю ускорит процесс устранения причины.
connlimit, я так понимаю, на файрволе. На каком интерфейсе это нужно делать? Между Акцелем и Радиусом?
Post Reply