закрываем все вопросы по связке netup-radius + mpd + shape

Форум для размещения материалов по реализации различных схем использования ПО, решению частых проблем и предупреждению частых ошибок
sedd
Сообщения: 5
Зарегистрирован: Пт ноя 30, 2007 16:16

Сообщение sedd »

разобрался, был виноват старый ng_car, после обновления - заработало.

Anton
Сообщения: 339
Зарегистрирован: Пт июл 01, 2005 10:57

Сообщение Anton »

так потом этот ip есть в нетапе или так на шару или всех в кучу счетаете по пулу?

atdp03
Сообщения: 100
Зарегистрирован: Ср апр 26, 2006 09:24

Сообщение atdp03 »

У клиентов в составе тарифа подключена услуга передачи ip трафика.
Именно по этому ip и считается трафик.

Mental Noize
Сообщения: 116
Зарегистрирован: Вт май 15, 2007 12:50

Сообщение Mental Noize »

Чтобы использовать атрибуты нужно подключить ведь словарь dictionary.mpd к radius'у. А в utm5, по крайней мере в моей 5.2.1-004 словари радиуса скомпилированы. И как его тогда подключить? Или обойти сложившуюся проблему? Вы то как делали?

dwemer
Сообщения: 276
Зарегистрирован: Чт янв 25, 2007 05:59

Сообщение dwemer »

Mental Noize писал(а):Чтобы использовать атрибуты нужно подключить ведь словарь dictionary.mpd к radius'у. А в utm5, по крайней мере в моей 5.2.1-004 словари радиуса скомпилированы. И как его тогда подключить? Или обойти сложившуюся проблему? Вы то как делали?
использовать числовые "имена" аттрибутов

Код: Выделить всё

# dictionary.mpd 

VENDOR          mpd             12341 

ATTRIBUTE       mpd-rule        1       string          mpd 
ATTRIBUTE       mpd-pipe        2       string          mpd 
ATTRIBUTE       mpd-queue       3       string          mpd 
ATTRIBUTE       mpd-table       4       string          mpd 
ATTRIBUTE       mpd-table-static       5       string          mpd 
ATTRIBUTE       mpd-filter      6       string          mpd 
ATTRIBUTE       mpd-limit       7       string          mpd 
ATTRIBUTE       mpd-drop-user   154     integer         mpd 
#----------------------------------------------------------
не mpd-rule, а 1 . не mpd-pipe, а 2 .. и т.д.

Mental Noize
Сообщения: 116
Зарегистрирован: Вт май 15, 2007 12:50

Сообщение Mental Noize »

Я уже понял :) Шейп работает.
Не могу разобраться с фильтрами. Как можно применять шейп только на одном интерфейсе(шлюзе) nas'a?

Вариант с ип-адресами не годится, так как ип-адресов много, а радиус-атрибуты задаются в тарифном плане. К тому же судя по тестам почему то режется только исходящий, пробовал варианты net dst, net src в различной вариации.
С 'gateway' ничего не получается, хотя судя по документации он должен понмать tcpdump expressions.

Mental Noize
Сообщения: 116
Зарегистрирован: Вт май 15, 2007 12:50

Сообщение Mental Noize »

И ещё вопрос мучает, как ввести в такой реализации повышение скорости в ночное время?
Просто менять ночью атрибуты радиуса не катит, клиент тогда обязан будет переподключиться для вступления изменений в силу. А если подключился ночью и не выключался хоть в течении года сиди сутками напролёт на ночной скорости...
Есть идеи по реализации ночной скорости с помощью ngctl например?

Blackmore
Сообщения: 365
Зарегистрирован: Вс фев 06, 2005 09:24
Откуда: подмосковье

Сообщение Blackmore »

вопрос не в эту тему имхо - здесь описан возможный способ шейпинга доступными средствами

mikkey finn
Сообщения: 1612
Зарегистрирован: Пт ноя 10, 2006 15:23

Сообщение mikkey finn »

возродим старичка... Есть необходимость шейпить таким образом, чтоб суммарная скорость была не выше заданной. Реально? Через Pipe решается, но грузит проц.

atdp03
Сообщения: 100
Зарегистрирован: Ср апр 26, 2006 09:24

Сообщение atdp03 »

mikkey finn писал(а):возродим старичка... Есть необходимость шейпить таким образом, чтоб суммарная скорость была не выше заданной. Реально? Через Pipe решается, но грузит проц.
pipe разрулены через таблицы?
Сменив dummynet с таблицами на ng_car, я не заметил разницы ни в нагрузке, ни в задержках. Правда у меня в файрволле суммарно было порядка 180 строк. Осталось 112.
Пока оставил ng_car только потому, что оно проще в администрировании. Не нужно держать в отдельном месте связки номеров таблиц и тарифов, не нужно обрабатывать их из iface-up/iface-down.

mikkey finn
Сообщения: 1612
Зарегистрирован: Пт ноя 10, 2006 15:23

Сообщение mikkey finn »

в высокую нагрузку у меня там порядка 80 только пайпов может быть
Вечерами, когда канал в полку упирается, серваку становится плохо.на нагрузку реагирует, но крайне заторможенно. Сервак терминирует pptp.
Кстати, если бы я представлял, как резать суммарную скорость через шаблонный пайп с использованием таблиц, то без особых вопросов реализовал бы и на ng_car, думаю.
Вопрос в том, что когда задаешь шаблон - невозможно наложить маску на интерфейс. А раз так, то маскируется обычно src-ip или dst-ip, что ведет к раздельным пайпам на входящий потом и исходящий. Мне же нужно обрезать суммарную скорость. Желательно на интерфейсе.

atdp03
Сообщения: 100
Зарегистрирован: Ср апр 26, 2006 09:24

Сообщение atdp03 »

mikkey finn писал(а):Мне же нужно обрезать суммарную скорость. Желательно на интерфейсе.
Сорри, не обратил внимание на слово "суммарную".

Жесть. Можно на пальцах, как это реализовано сейчас? А то мне как-то сходу ничего умнее пайпа на клиента не приходит, что противоречит словам о 80 пайпах, но вполне соотносится с укладыванием машины под заметным трафиком.

mikkey finn
Сообщения: 1612
Зарегистрирован: Пт ноя 10, 2006 15:23

Сообщение mikkey finn »

ipfw add pipe 10000 ip from any to any via ngXXX in
ipfw add pipe 10000 ip from any to any via ngXXX out
Такой ACL отдает радиус на одного каждого клиента с суммарной пропускной(в один и тот же пайп суем пакеты вне зависимости от направления). Там же где шейп идет в каждую сторону отдельно используется два пайпа.

brammator
Сообщения: 5
Зарегистрирован: Пт авг 19, 2005 11:14
Откуда: Тула, Россия
Контактная информация:

Сообщение brammator »

Создал тариф с услугой "передача ip-трафика" (деньги только за трафик), прописываю пользователю логин/пароль/ip, запускаю vpn -- всё работает, считается, при переходе через нулевой баланс дёргается скрипт и выкидывает абонента с pppoe-концентратора.

Однако после этого тот переподключается и utm_radius ему выдаёт Access-Accept, как при положительном балансе. Это так и должно быть, надо изобретать што-то в скриптах включения-отключения? Или есть возможность заставить радиус не пускать абонентов с отрицательным балансом?

Blackmore
Сообщения: 365
Зарегистрирован: Вс фев 06, 2005 09:24
Откуда: подмосковье

Сообщение Blackmore »

в конфиге радиуса есть параметр, отвечающий за авторизацию блокированных пользователей

Закрыто