Не удаляются IP из ipset

Questions related to general functionality
Post Reply
KovAl
Posts: 72
Joined: 26 Dec 2017, 15:35

Не удаляются IP из ipset

Post by KovAl » 16 Sep 2018, 08:11

4.9.0-6-amd64 Debian 4.9.88-1+deb9u1
accel-ppp version 6c514056471dfdf030d69fb9fda443047a8cc964
IPoE vlan-per-user (QinQ)
ipset v6.30, protocol version: 6

Использую атрибут attr-l4-redirect-ipset для редиректа должников на страницу "деньги давай".
в конфиге accel

Code: Select all

attr-l4-redirect=L4-Redirect
attr-l4-redirect-ipset=L4-Redirect-ipset
l4-redirect-ipset=Debtors
Радиус при авторизации отправляет для НЕ заблокированных
L4-Redirect=0,L4-Redirect-ipset=Debtors
и для заблокированных
L4-Redirect=1,L4-Redirect-ipset=Debtors
"Блокировка" работает нормально - в сет Debtors IP заблокированного добавляется, а вот при снятии блокировки НЕКОТОРЫЕ IP из сета не удаляются..
Т.е. какой-то IP удаляется, а какой-то нет. Закономерности пока не обнаружил..
Может это связано с какими-то таймаутами, или кешированием?
Какой вообще порядок работы с ipset у accel?

P.S.
При "разблокировке" "заблокированную" ранее сессию сбрасываю.

dimka88
Posts: 409
Joined: 13 Oct 2014, 05:51
Contact:

Re: Не удаляются IP из ipset

Post by dimka88 » 16 Sep 2018, 15:11

Не пробовали убирать ipset при помощи CoA? viewtopic.php?f=4&t=808
Еще бы логи глянуть той сессии, у которой не удалился ip из ipset

KovAl
Posts: 72
Joined: 26 Dec 2017, 15:35

Re: Не удаляются IP из ipset

Post by KovAl » 17 Sep 2018, 14:44

dimka88 wrote:
16 Sep 2018, 15:11
Не пробовали убирать ipset при помощи CoA? viewtopic.php?f=4&t=808
А смысл, если сам аццел это делает?
dimka88 wrote:
16 Sep 2018, 15:11
Еще бы логи глянуть той сессии, у которой не удалился ip из ipset
Да второпях (выходные - "не до глупостей" было :)) не записал, у кого не сработало. Тупо удалил из сета..

Предполагаю, что проблема при hard terminate комп/роутер клиента не шлёт аццел-у DHCP Request, а просто запрашивает
подтверждение имеющегося у него IP.
Соотв. не происходит старт авторизации, ну и отсюда и ноги..
Добавил в аццел soft-terminate=1, понаблюдаю..

P.S. Похоже, ещё одна проблема по этой же причине - комп клиента долго не может получить "легальный IP"
при переходе из "гостевой" подсети (после l4-redirect-on-reject).
Особенно этим страдает Win-10. Заставить её запросить IP в этом случае очень сложно, тупо долбится whois-ом на сервер.

Post Reply

Who is online

Users browsing this forum: No registered users and 0 guests