Нет доступа к адресам через nas

Questions related to general functionality
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Нет доступа к адресам через nas

Post by Cramac »

У меня сейчас такой конфиг:

Code: Select all

[ipoe]
nat=1
verbose=1
lease-time=600
max-lease-time=3600
l4-redirect-ipset=l4redirect
l4-redirect-on-reject=300
shared=1
ifcfg=1
mode=L2
start=up
local-net=10.10.11.0/24
local-net=172.0.0.0/8
local-net=10.254.0.0/16
local-net=91.х.х.0/24
interface=eth0
Клиентам выдаю через радиус белый IP или на прямую прописав на клиенте
но после добавления local-net=91.х.х.0/24 клиенты, кому выдал адрес по радиусу, accel пытается авторизовать, причем не всегда.

Code: Select all

[2017-09-28 12:06:00]:  info: ipoe53: send [RADIUS(1) Access-Request id=1 <User-Name "91.х.х.101"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.х.х.242> <NAS-Port 44129> <NAS-Port-Id "ipoe53"> <NAS-Port-Type Ethernet> <Calling-Station-Id "91.х.х.101"> <Called-Station-Id "eth0"> <User-Password >]
...
[2017-09-28 12:19:53]:  info: ipoe174: send [RADIUS(1) Accounting-Request id=40 <User-Name "172.20.1.1"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.х.х.242> <NAS-Port 40912> <NAS-Port-Id "ipoe174"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.1"> <Called-Station-Id "eth0"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "15a1ee696d2a1c2f"> <Acct-Session-Time 68540> <Acct-Input-Octets 2178241801> <Acct-Output-Octets 1390046322> <Acct-Input-Packets 2664605> <Acct-Output-Packets 2440791> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 91.х.х.101> <Acct-Terminate-Cause NAS-Request>]
сессии выглядят так:

Code: Select all

 ipoe228 | 172.20.17.12 | 172.20.17.12 | 91.х.х.18   | ipoe |      | active | 05:08:15
 ipoe229 | 172.20.17.30 | 172.20.17.30 | 91.х.х.17   | ipoe |      | active | 05:08:14
 ipoe29  | 91.х.х.15 | 91.х.х.15 | 91.х.х.15   | ipoe |      | active | 00:15:23

П.С. и как проверить отключен ли ядерный proxy-arp?
nik247
Posts: 108
Joined: 11 Oct 2014, 15:57

Re: Нет доступа к адресам через nas

Post by nik247 »

1) Я вообще не пойму, по какой схеме вы работаете - L2 или L3.
По конфигу - вижу L2.
По факту авторизации - вижу L3.
2) в конфиге accel-ppp не вижу proxy-arp нигде
3) системный proxy-arp по умолчанию отключен.
sysctl -a | grep proxy_arp | grep "= 1"
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Нет доступа к адресам через nas

Post by Cramac »

делал по инструкции
L2/L3-connected, старт по неклассифицированному пакету
L3 не пробовал, изначально пошло на L2 так и оставил.

proxy-arp добавлял в секцию ipoe, перезапустил, проверил, ничего не изменилось, удалил.

проверил, proxy-arp в sysctl все по 0
nik247
Posts: 108
Joined: 11 Oct 2014, 15:57

Re: Нет доступа к адресам через nas

Post by nik247 »

насколько помню, proxy-arp делали для схемы L2.
пробовали tcpdump смотреть arp запросы и ответы? они у Вас вообще приходят на accel-ppp?
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Нет доступа к адресам через nas

Post by Cramac »

запустил tcpdump на ipoe интерфейсе, запустил пинг с теста, запросов арп не идет.
tcpdump показывает арп с eth0(интерфейс что смотрит в сеть)

с тестовой машины (адрес внешний прописан в ручную),

Code: Select all

# traceroute 91.х.х.7
traceroute to 91.х.х.7 (91.х.х.7), 30 hops max, 60 byte packets
 1  91.х.х.254 (91.х.х.254)  0.173 ms  0.156 ms  0.147 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  *^C

Code: Select all

root@server2:~# ping 91.х.х.7
PING 91.х.х.7 (91.х.х.7) 56(84) bytes of data.
64 bytes from 172.40.27.3: icmp_seq=1 ttl=62 time=0.478 ms
64 bytes from 172.40.27.3: icmp_seq=2 ttl=62 time=0.386 ms
64 bytes from 172.40.27.3: icmp_seq=3 ttl=62 time=0.402 ms

Code: Select all

root@server2:~# arp -a
? (91.х.х.7) at <incomplete> on eth0
? (10.10.10.1) at 00:1e:67:79:9c:01 [ether] on eth0
? (91.х.х.2) at <incomplete> on eth0
? (91.х.х.254) at 00:1e:67:79:9c:01 [ether] on eth0
? (10.10.10.5) at 00:18:f3:b1:11:0a [ether] on eth0
? (10.10.10.254) at 70:72:cf:30:65:b0 [ether] on eth0
Сейчас получается что клиент кому выдал радиусом внешний, может зайти только на ПК с ручную прописанным внешним.

На nas поднят алиас на нем прописан 91.х.х.254
на тестовом ПК прописан 91.х.х.1/255.255.255.0 gw 91.x.x.254
nik247
Posts: 108
Joined: 11 Oct 2014, 15:57

Re: Нет доступа к адресам через nas

Post by nik247 »

tcpdump запускайте не на IPoE интрефейсе....
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Нет доступа к адресам через nas

Post by Cramac »

на
tcpdump -vvvv -i eth0 arp
идут только:

22:11:00.110454 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.250 tell 91.x.x.254, length 28
22:11:00.114385 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.251 tell 91.x.x.254, length 28
22:11:00.114392 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.253 tell 91.x.x.254, length 28
22:11:01.263329 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.167 tell 91.x.x.254, length 28
22:11:01.359324 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.88 tell 91.x.x.254, length 28

странно вот этот путь:
>tracert 91.x.x.2

Трассировка маршрута к 91.x.x.2 с максимальным числом прыжков 30

1 1 ms 2 ms 1 ms 172.20.1.254
2 <1 мс <1 мс <1 мс 10.10.10.1
3 2 ms 2 ms 1 ms 10.10.10.254
4 <1 мс 1 ms 1 ms 172.20.12.24

Трассировка завершена.

Доходит до NAS и заворачивает обратно в локалку.
с него трасерт выглядит так:
traceroute 91.x.x.2
traceroute to 91.x.x.2 (91.x.x.2), 30 hops max, 60 byte packets
1 * * *
2 91.x.x.2 (91.x.x.2) 0.561 ms 0.726 ms 0.871 ms

и еще немного данных (c NAS):
# ip route show | grep 91.x.x.
91.x.x.0/24 dev eth0 proto kernel scope link src 91.x.x.254
91.x.x.1 dev ipoe150 proto kernel scope link src 91.x.x.254
91.x.x.2 dev ipoe0 proto kernel scope link src 10.10.10.1
91.x.x.3 dev ipoe84 proto kernel scope link src 10.10.10.1

вот с 2 есть доступ к 1 и наоборот, а вот с 3 на 2 нет доступа
Cramac
Posts: 98
Joined: 05 Jan 2017, 11:53
Contact:

Re: Нет доступа к адресам через nas

Post by Cramac »

Проблема решилась обновлением до версии 1.11 или сменой режима ipoe c L2 на L3 (что именно помогло, не выяснял)
nik247
Posts: 108
Joined: 11 Oct 2014, 15:57

Re: Нет доступа к адресам через nas

Post by nik247 »

Главное - решилась проблема.
Post Reply