accel-ppp.org

Posted: **28 Sep 2017, 19:03**

У меня сейчас такой конфиг:

[ipoe]
nat=1
verbose=1
lease-time=600
max-lease-time=3600
l4-redirect-ipset=l4redirect
l4-redirect-on-reject=300
shared=1
ifcfg=1
mode=L2
start=up
local-net=10.10.11.0/24
local-net=172.0.0.0/8
local-net=10.254.0.0/16
local-net=91.х.х.0/24
interface=eth0

Клиентам выдаю через радиус белый IP или на прямую прописав на клиенте
но после добавления local-net=91.х.х.0/24 клиенты, кому выдал адрес по радиусу, accel пытается авторизовать, причем не всегда.

Code: Select all

[2017-09-28 12:06:00]:  info: ipoe53: send [RADIUS(1) Access-Request id=1 <User-Name "91.х.х.101"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.х.х.242> <NAS-Port 44129> <NAS-Port-Id "ipoe53"> <NAS-Port-Type Ethernet> <Calling-Station-Id "91.х.х.101"> <Called-Station-Id "eth0"> <User-Password >]
...
[2017-09-28 12:19:53]:  info: ipoe174: send [RADIUS(1) Accounting-Request id=40 <User-Name "172.20.1.1"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 188.х.х.242> <NAS-Port 40912> <NAS-Port-Id "ipoe174"> <NAS-Port-Type Ethernet> <Calling-Station-Id "172.20.1.1"> <Called-Station-Id "eth0"> <Acct-Status-Type Stop> <Acct-Authentic RADIUS> <Acct-Session-Id "15a1ee696d2a1c2f"> <Acct-Session-Time 68540> <Acct-Input-Octets 2178241801> <Acct-Output-Octets 1390046322> <Acct-Input-Packets 2664605> <Acct-Output-Packets 2440791> <Acct-Input-Gigawords 0> <Acct-Output-Gigawords 0> <Framed-IP-Address 91.х.х.101> <Acct-Terminate-Cause NAS-Request>]

сессии выглядят так:

Code: Select all

 ipoe228 | 172.20.17.12 | 172.20.17.12 | 91.х.х.18   | ipoe |      | active | 05:08:15
 ipoe229 | 172.20.17.30 | 172.20.17.30 | 91.х.х.17   | ipoe |      | active | 05:08:14
 ipoe29  | 91.х.х.15 | 91.х.х.15 | 91.х.х.15   | ipoe |      | active | 00:15:23

П.С. и как проверить отключен ли ядерный proxy-arp?

Posted: **29 Sep 2017, 08:31**

1) Я вообще не пойму, по какой схеме вы работаете - L2 или L3.
По конфигу - вижу L2.
По факту авторизации - вижу L3.
2) в конфиге accel-ppp не вижу proxy-arp нигде
3) системный proxy-arp по умолчанию отключен.
sysctl -a | grep proxy_arp | grep "= 1"

Posted: **29 Sep 2017, 09:16**

делал по инструкции
L2/L3-connected, старт по неклассифицированному пакету
L3 не пробовал, изначально пошло на L2 так и оставил.

proxy-arp добавлял в секцию ipoe, перезапустил, проверил, ничего не изменилось, удалил.

проверил, proxy-arp в sysctl все по 0

Posted: **29 Sep 2017, 09:39**

насколько помню, proxy-arp делали для схемы L2.
пробовали tcpdump смотреть arp запросы и ответы? они у Вас вообще приходят на accel-ppp?

Posted: **29 Sep 2017, 09:59**

запустил tcpdump на ipoe интерфейсе, запустил пинг с теста, запросов арп не идет.
tcpdump показывает арп с eth0(интерфейс что смотрит в сеть)

с тестовой машины (адрес внешний прописан в ручную),

Code: Select all

# traceroute 91.х.х.7
traceroute to 91.х.х.7 (91.х.х.7), 30 hops max, 60 byte packets
 1  91.х.х.254 (91.х.х.254)  0.173 ms  0.156 ms  0.147 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  *^C

Code: Select all

root@server2:~# ping 91.х.х.7
PING 91.х.х.7 (91.х.х.7) 56(84) bytes of data.
64 bytes from 172.40.27.3: icmp_seq=1 ttl=62 time=0.478 ms
64 bytes from 172.40.27.3: icmp_seq=2 ttl=62 time=0.386 ms
64 bytes from 172.40.27.3: icmp_seq=3 ttl=62 time=0.402 ms

Code: Select all

root@server2:~# arp -a
? (91.х.х.7) at <incomplete> on eth0
? (10.10.10.1) at 00:1e:67:79:9c:01 [ether] on eth0
? (91.х.х.2) at <incomplete> on eth0
? (91.х.х.254) at 00:1e:67:79:9c:01 [ether] on eth0
? (10.10.10.5) at 00:18:f3:b1:11:0a [ether] on eth0
? (10.10.10.254) at 70:72:cf:30:65:b0 [ether] on eth0

Сейчас получается что клиент кому выдал радиусом внешний, может зайти только на ПК с ручную прописанным внешним.

На nas поднят алиас на нем прописан 91.х.х.254
на тестовом ПК прописан 91.х.х.1/255.255.255.0 gw 91.x.x.254

Posted: **04 Oct 2017, 09:04**

tcpdump запускайте не на IPoE интрефейсе....

Posted: **05 Oct 2017, 19:14**

на
tcpdump -vvvv -i eth0 arp
идут только:

22:11:00.110454 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.250 tell 91.x.x.254, length 28
22:11:00.114385 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.251 tell 91.x.x.254, length 28
22:11:00.114392 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.253 tell 91.x.x.254, length 28
22:11:01.263329 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.167 tell 91.x.x.254, length 28
22:11:01.359324 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 91.x.x.88 tell 91.x.x.254, length 28

странно вот этот путь:
>tracert 91.x.x.2

Трассировка маршрута к 91.x.x.2 с максимальным числом прыжков 30

1 1 ms 2 ms 1 ms 172.20.1.254
2 <1 мс <1 мс <1 мс 10.10.10.1
3 2 ms 2 ms 1 ms 10.10.10.254
4 <1 мс 1 ms 1 ms 172.20.12.24

Трассировка завершена.

Доходит до NAS и заворачивает обратно в локалку.
с него трасерт выглядит так:
traceroute 91.x.x.2
traceroute to 91.x.x.2 (91.x.x.2), 30 hops max, 60 byte packets
1 * * *
2 91.x.x.2 (91.x.x.2) 0.561 ms 0.726 ms 0.871 ms

и еще немного данных (c NAS):
# ip route show | grep 91.x.x.
91.x.x.0/24 dev eth0 proto kernel scope link src 91.x.x.254
91.x.x.1 dev ipoe150 proto kernel scope link src 91.x.x.254
91.x.x.2 dev ipoe0 proto kernel scope link src 10.10.10.1
91.x.x.3 dev ipoe84 proto kernel scope link src 10.10.10.1

вот с 2 есть доступ к 1 и наоборот, а вот с 3 на 2 нет доступа

Posted: **17 Oct 2017, 13:35**

Проблема решилась обновлением до версии 1.11 или сменой режима ipoe c L2 на L3 (что именно помогло, не выяснял)

Posted: **17 Oct 2017, 14:27**

Главное - решилась проблема.

accel-ppp.org

Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas

Re: Нет доступа к адресам через nas