закрываем все вопросы по связке netup-radius + mpd + shape
-
Mental Noize
- Сообщения: 116
- Зарегистрирован: Вт май 15, 2007 12:50
использовать числовые "имена" аттрибутовMental Noize писал(а):Чтобы использовать атрибуты нужно подключить ведь словарь dictionary.mpd к radius'у. А в utm5, по крайней мере в моей 5.2.1-004 словари радиуса скомпилированы. И как его тогда подключить? Или обойти сложившуюся проблему? Вы то как делали?
Код: Выделить всё
# dictionary.mpd
VENDOR mpd 12341
ATTRIBUTE mpd-rule 1 string mpd
ATTRIBUTE mpd-pipe 2 string mpd
ATTRIBUTE mpd-queue 3 string mpd
ATTRIBUTE mpd-table 4 string mpd
ATTRIBUTE mpd-table-static 5 string mpd
ATTRIBUTE mpd-filter 6 string mpd
ATTRIBUTE mpd-limit 7 string mpd
ATTRIBUTE mpd-drop-user 154 integer mpd
#-----------------------------------------------------------
Mental Noize
- Сообщения: 116
- Зарегистрирован: Вт май 15, 2007 12:50
Я уже понял 
Шейп работает.
Не могу разобраться с фильтрами. Как можно применять шейп только на одном интерфейсе(шлюзе) nas'a?
Вариант с ип-адресами не годится, так как ип-адресов много, а радиус-атрибуты задаются в тарифном плане. К тому же судя по тестам почему то режется только исходящий, пробовал варианты net dst, net src в различной вариации.
С 'gateway' ничего не получается, хотя судя по документации он должен понмать tcpdump expressions.
Шейп работает.Не могу разобраться с фильтрами. Как можно применять шейп только на одном интерфейсе(шлюзе) nas'a?
Вариант с ип-адресами не годится, так как ип-адресов много, а радиус-атрибуты задаются в тарифном плане. К тому же судя по тестам почему то режется только исходящий, пробовал варианты net dst, net src в различной вариации.
С 'gateway' ничего не получается, хотя судя по документации он должен понмать tcpdump expressions.
-
Mental Noize
- Сообщения: 116
- Зарегистрирован: Вт май 15, 2007 12:50
И ещё вопрос мучает, как ввести в такой реализации повышение скорости в ночное время?
Просто менять ночью атрибуты радиуса не катит, клиент тогда обязан будет переподключиться для вступления изменений в силу. А если подключился ночью и не выключался хоть в течении года сиди сутками напролёт на ночной скорости...
Есть идеи по реализации ночной скорости с помощью ngctl например?
Просто менять ночью атрибуты радиуса не катит, клиент тогда обязан будет переподключиться для вступления изменений в силу. А если подключился ночью и не выключался хоть в течении года сиди сутками напролёт на ночной скорости...
Есть идеи по реализации ночной скорости с помощью ngctl например?
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
pipe разрулены через таблицы?mikkey finn писал(а):возродим старичка... Есть необходимость шейпить таким образом, чтоб суммарная скорость была не выше заданной. Реально? Через Pipe решается, но грузит проц.
Сменив dummynet с таблицами на ng_car, я не заметил разницы ни в нагрузке, ни в задержках. Правда у меня в файрволле суммарно было порядка 180 строк. Осталось 112.
Пока оставил ng_car только потому, что оно проще в администрировании. Не нужно держать в отдельном месте связки номеров таблиц и тарифов, не нужно обрабатывать их из iface-up/iface-down.
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
в высокую нагрузку у меня там порядка 80 только пайпов может быть
Вечерами, когда канал в полку упирается, серваку становится плохо.на нагрузку реагирует, но крайне заторможенно. Сервак терминирует pptp.
Кстати, если бы я представлял, как резать суммарную скорость через шаблонный пайп с использованием таблиц, то без особых вопросов реализовал бы и на ng_car, думаю.
Вопрос в том, что когда задаешь шаблон - невозможно наложить маску на интерфейс. А раз так, то маскируется обычно src-ip или dst-ip, что ведет к раздельным пайпам на входящий потом и исходящий. Мне же нужно обрезать суммарную скорость. Желательно на интерфейсе.
Вечерами, когда канал в полку упирается, серваку становится плохо.на нагрузку реагирует, но крайне заторможенно. Сервак терминирует pptp.
Кстати, если бы я представлял, как резать суммарную скорость через шаблонный пайп с использованием таблиц, то без особых вопросов реализовал бы и на ng_car, думаю.
Вопрос в том, что когда задаешь шаблон - невозможно наложить маску на интерфейс. А раз так, то маскируется обычно src-ip или dst-ip, что ведет к раздельным пайпам на входящий потом и исходящий. Мне же нужно обрезать суммарную скорость. Желательно на интерфейсе.
Сорри, не обратил внимание на слово "суммарную".mikkey finn писал(а):Мне же нужно обрезать суммарную скорость. Желательно на интерфейсе.
Жесть. Можно на пальцах, как это реализовано сейчас? А то мне как-то сходу ничего умнее пайпа на клиента не приходит, что противоречит словам о 80 пайпах, но вполне соотносится с укладыванием машины под заметным трафиком.
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
ipfw add pipe 10000 ip from any to any via ngXXX in
ipfw add pipe 10000 ip from any to any via ngXXX out
Такой ACL отдает радиус на одного каждого клиента с суммарной пропускной(в один и тот же пайп суем пакеты вне зависимости от направления). Там же где шейп идет в каждую сторону отдельно используется два пайпа.
ipfw add pipe 10000 ip from any to any via ngXXX out
Такой ACL отдает радиус на одного каждого клиента с суммарной пропускной(в один и тот же пайп суем пакеты вне зависимости от направления). Там же где шейп идет в каждую сторону отдельно используется два пайпа.
-
brammator
- Сообщения: 5
- Зарегистрирован: Пт авг 19, 2005 11:14
- Откуда: Тула, Россия
- Контактная информация:
Создал тариф с услугой "передача ip-трафика" (деньги только за трафик), прописываю пользователю логин/пароль/ip, запускаю vpn -- всё работает, считается, при переходе через нулевой баланс дёргается скрипт и выкидывает абонента с pppoe-концентратора.
Однако после этого тот переподключается и utm_radius ему выдаёт Access-Accept, как при положительном балансе. Это так и должно быть, надо изобретать што-то в скриптах включения-отключения? Или есть возможность заставить радиус не пускать абонентов с отрицательным балансом?
Однако после этого тот переподключается и utm_radius ему выдаёт Access-Accept, как при положительном балансе. Это так и должно быть, надо изобретать што-то в скриптах включения-отключения? Или есть возможность заставить радиус не пускать абонентов с отрицательным балансом?