Добрый день!
Использовал с UTM в качестве PPPoE-концентратора циски - проблем не было. Потребовалось перевести NAS на сервер, т.к. с Linux дружу хорошо, решил попробовать Accel-PPTP (собирать даные netflow - через ipt_NETFLOW, но это не важно) и тут появились некоторые проблемы, а именно:
1) после запуска Accel-PPTP, когда пользователь подключается, в логе вижу сообщения, что отсылаются запросы на RADIUS Access-Request, приходит Access-Accept, потом отправляется запрос Accounting-Request и не приходит ничего, 10 раз accel-pptp отправляет запросы и потом по сообщению radius_acct: no radius responce киляет пользователя. Через минут 10 после старта всё начианет работать.
пробовал смотреть tcpdump'ом на сервере, где стоит netup utm - на порт 1813 запросы приходят, ответы - не уходят.
так же вчера наткнулся на другую проблему: одновременно ломанулось много пользователей на NAS и radius_auth перестал отвечать тоже! tcpdump'ом ивдно было много запросов от accel-pptp и ни одного ответа.
вернул пока на циски, но хочется разобраться с accel-pptp.
собственно, вопросы:
1) по второй проблеме можно сделать предположение, что в utm radius или файрволе есть какая-нибудь защита от флуда, но по документации не нашел этого.
2) сталкивался с таким кто-нибудь и какие будут предложения или предположения?
Спасибо!
Accel-PPTP + UTM RADIUS = проблемы
-
a_winner
- Сообщения: 19
- Зарегистрирован: Ср сен 21, 2011 11:24
- Откуда: Ставрополь
- Контактная информация:
пока время есть, хочется разобраться.
просто уж больно мне понравился шейпер tbf в accel-pptp, который может из Cisco-AV-Pair из rate-limit'ов брать скорость, т.е. ничего не надо переделывать, универсально.
а с freebsd мне придется изучатьматериалы по повоуд шейперов, сбора нетфлоу и т.п. я как-то привык всё на линуксах делать года так с 2001 еще...
да, забыл добавиьт, может как раз это и окажется существенным - RADIUS и NAS в разных подсетях через роутер нах-ся, может это не нравится радиусу, т.к. всё-таки грешу на радиус, что он не отвечает.
просто уж больно мне понравился шейпер tbf в accel-pptp, который может из Cisco-AV-Pair из rate-limit'ов брать скорость, т.е. ничего не надо переделывать, универсально.
а с freebsd мне придется изучатьматериалы по повоуд шейперов, сбора нетфлоу и т.п. я как-то привык всё на линуксах делать года так с 2001 еще...
да, забыл добавиьт, может как раз это и окажется существенным - RADIUS и NAS в разных подсетях через роутер нах-ся, может это не нравится радиусу, т.к. всё-таки грешу на радиус, что он не отвечает.
если шейпинг встроенный то может accel-ppp (который версии 1.х.х) всё таки?
там радиус клиент вроде бы свой используется. может быть в нём косяк или в завязке со стандартным нетаповским радиусом. попробовать прикрутить стандартный радиус клиент на accel-ppp или freeradius к ядру? а то что через роутер, может как раз проблема в том что где-нибудь на маршрутизаторе всё это принимается за флуд?
там радиус клиент вроде бы свой используется. может быть в нём косяк или в завязке со стандартным нетаповским радиусом. попробовать прикрутить стандартный радиус клиент на accel-ppp или freeradius к ядру? а то что через роутер, может как раз проблема в том что где-нибудь на маршрутизаторе всё это принимается за флуд?
-
a_winner
- Сообщения: 19
- Зарегистрирован: Ср сен 21, 2011 11:24
- Откуда: Ставрополь
- Контактная информация:
да, что-то забыл указать, использую вчерашнюю сборку из гита ветки 1.3 accel-pptp
версия с флудом отменяется.
включил дебаг радиуса и вот, что там: http://paste.org.ru/?lxo046
это почему так?
уникальный идентификатор сессии генерирует NAS, я так понимаю.
а каковы правила его генерирования?
в принципе, у меня данные о трафике всё равно же по нетфлоу считаются, поэтому можно эккаунтин и не использовать.
тогда вопрос: как предотвратить позможноть захода 2х и более пользователей под одним логином?
я так понимаю, при приходе interim update пакета, UTM продлял аренду на ip-адрес и не выдавал его больше никому, пока не придет stop пакет или не истечет время (я выставил 120 секунд).
версия с флудом отменяется.
включил дебаг радиуса и вот, что там: http://paste.org.ru/?lxo046
Код: Выделить всё
Warn : Sep 22 09:05:18 RADIUS DBA: Session with identifier <0040de0f535563a9> hasn't been closed yet. Ignoring the request...
ERROR : Sep 22 09:05:18 AcctServer: Error! (16)
уникальный идентификатор сессии генерирует NAS, я так понимаю.
а каковы правила его генерирования?
в принципе, у меня данные о трафике всё равно же по нетфлоу считаются, поэтому можно эккаунтин и не использовать.
тогда вопрос: как предотвратить позможноть захода 2х и более пользователей под одним логином?
я так понимаю, при приходе interim update пакета, UTM продлял аренду на ip-адрес и не выдавал его больше никому, пока не придет stop пакет или не истечет время (я выставил 120 секунд).