Большая часть пользователей не работают

PPPoE related questions
Post Reply
Djoin
Posts: 3
Joined: 29 Dec 2021, 06:40

Большая часть пользователей не работают

Post by Djoin »

Добрый день!
Впервые настраиваю accel-ppp.
Сегодня ночью попытались переключить на него почти 2000 пользователей.
Связка программ - AccelPPP + Radius
Radius на отдельной железке.
На сервере Accel 3 интерфейса.
1. 10 Gb - смотрит в сторону абонентов
2. 10 Gb - смотрит в интернет, на этом интерфейсе назначено 5 белых IP
3. 1 Gb - смотрит на радиус

Конфиг интерфейсов на сервере Accel

Code: Select all

/etc/netplan/00-installer-config.yaml

network:
  ethernets:
    enp3s0f0:
      addresses:
      - 172.24.0.1/24
      dhcp4: false
    ens5f0:
      optional: true
    ens5f1:
      addresses: [92.184.5.242/29, 92.184.5.243/29, 92.184.5.244/29, 92.184.5.245/29, 92.184.5.246/29]
      gateway4: 92.184.5.241
      nameservers:
        addresses: [8.8.8.8]
  version: 2
Конфиг Accel

Code: Select all

[modules]
log_file
pppoe
auth_pap
radius
chap-secrets
ippool
shaper

[core]
log-error=/var/log/accel-ppp/core.log
thread-count=4

[common]


[ppp]
verbose=1
min-mtu=1280
mtu=1480
mru=1480
ipv4=require
ipv6=deny
ipv6-intf-id=0:0:0:1
ipv6-peer-intf-id=0:0:0:2
ipv6-accept-peer-intf-id=1
lcp-echo-interval=20
lcp-echo-timeout=120
unit-cache=1


[pppoe]
verbose=1
called-sid=mac
ip-pool=pppoe
interface=ens5f0

[dns]
dns1=8.8.8.8
dns2=1.1.1.1


[radius]
nas-identifier=accel-ppp
nas-ip-address=172.24.0.1
gw-ip-address=172.24.0.3
server=172.24.0.3,bras,auth-port=1812,acct-port=1813,req-limit=50,fail-timeout=0,max-fail=10,weight=1
dae-server=127.0.0.1:3799,testing123
verbose=1

[client-ip-range]
10.31.0.0/20

[ip-pool]
gw-ip-address=192.168.0.1
attr=Framed-Pool
10.31.0.0/20,name=pppoe
192.168.2.1-255,name=pool2
192.168.3.1-255,name=pool3

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
copy=1
level=3

[log-pgsql]
conninfo=user=log
log-table=log

[pppd-compat]
verbose=1
ip-up=/etc/ppp/ip-up
ip-down=/etc/ppp/ip-down
radattr-prefix=/var/run/radattr

[chap-secrets]
gw-ip-address=192.168.100.1


[shaper]
vendor=Mikrotik
attr=Mikrotik-Rate-Limit
up-limiter=police
down-limiter=tbf
verbose=1

[cli]
verbose=1
telnet=127.0.0.1:2000
tcp=127.0.0.1:2001

[snmp]
master=0
agent-name=accel-ppp

[connlimit]
limit=10/min
burst=3
timeout=60

[ipv6-pool]
fc00:0:1::/48,64
fc00:0:2::/48,64,name=pool1
fc00:0:3::/48,64,name=pool2,next=pool1
delegate=fc00:1::/36,48
delegate=fc00:2::/36,48,name=pool3
delegate=fc00:3::/36,48,name=pool4,next=pool3

[ipv6-dns]


[ipv6-dhcp]
verbose=1
pref-lifetime=604800
valid-lifetime=2592000
route-via-gw=1
Конфиг IPTables

Code: Select all


*filter
:INPUT ACCEPT [7589:533004]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5923:778572]
COMMIT
# Completed on Tue Dec 28 15:44:15 2021
# Generated by iptables-save v1.8.4 on Tue Dec 28 15:44:15 2021
*nat
:PREROUTING ACCEPT [2:84]
:INPUT ACCEPT [2:84]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.31.0.0/20 -j MASQUERADE
-A POSTROUTING -s 10.31.0.0/20 ! -d 10.31.0.0/20 -j SNAT --to-source 92.184.5.242-92.184.5.246 --persistent
COMMIT
# Completed on Tue Dec 28 15:44:15 2021


Сегодня ночью мы попытались повесить на сервер accel ~2000 абонентов.
Часть пользователей заработало без проблем. За пол часа нагенерили трафик на ~2GB, а другая часть пользователей за эти пол часа сделали до 70 авторизаций на радиус сервере, up time всего 9 минут...
Т.е. я вижу что радиус их авторизовывает, сессия поднимается и тут же. через 2-3 секунды падает.
123456.png
123456.png (28.98 KiB) Viewed 3723 times
Подозреваю что проблема кроется в iptables.

Помогите пожалуйста, решить данную проблему.
Djoin
Posts: 3
Joined: 29 Dec 2021, 06:40

Re: Большая часть пользователей не работают

Post by Djoin »

Добавил логи
Архив 3.5 МБ, поэтому выложил в облако
https://cloud.mail.ru/public/L3MS/t1tWQAV5g
dimka88
Posts: 866
Joined: 13 Oct 2014, 05:51
Contact:

Re: Большая часть пользователей не работают

Post by dimka88 »

Начните решение проблемы с разделения auth и acct радиус

Code: Select all

server=172.24.0.3,bras,auth-port=1812,acct-port=0,req-limit=50,fail-timeout=0,max-fail=10,weight=1
server=172.24.0.3,bras,auth-port=0,acct-port=1813,req-limit=0,fail-timeout=0,max-fail=10,weight=1
Djoin
Posts: 3
Joined: 29 Dec 2021, 06:40

Re: Большая часть пользователей не работают

Post by Djoin »

Спасибо, разделение auth и acct сделал.
Так же поднял уровень логирования до 5го.
Посмотрите пожалуйста часть логов...

https://cloud.mail.ru/public/1cPx/WQsJvsifR

ppp517 и ppp516 соединения - проблема в таком поведении - клиенты подключаются, получают Access-Accept, IP и отключаются и так по кругу...
Post Reply