Forum Debian Users Gang

hudys · 2011-03-06 13:07:30

Witam, robiłem wczoraj serwer na sieci, wszystko ładnie chodziło dopóki o 10 rano kilka osób nie obudziło twierdząc, że nie mają internetu. W nocy wszystko śmigało, PPPoE, DHCP. Szukając przyczyny natknąłem się na błąd z maskaradą, otóż nie przepuszcza ona wszystkich tzn. nie wiem czy to jest losowe, ale po restarcie serwera osoby które nie miały neta teraz mają, a kilka innych nie ma.

Kod:

121 17569 MASQUERADE  all  --  *      eth1    10.0.0.45            0.0.0.0/0
   78  4680 MASQUERADE  all  --  *      eth1    10.0.1.171           0.0.0.0/0
   21  1008 MASQUERADE  all  --  *      eth1    10.0.2.163           0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    10.0.0.42            0.0.0.0/0     <-- tu
  602 31500 MASQUERADE  all  --  *      eth1    10.0.9.191           0.0.0.0/0
 2509  134K MASQUERADE  all  --  *      eth1    10.0.0.46            0.0.0.0/0
 1285 67703 MASQUERADE  all  --  *      eth1    10.0.0.94            0.0.0.0/0
    1    48 MASQUERADE  all  --  *      eth1    10.0.0.72            0.0.0.0/0     <-- tu
  239 25282 MASQUERADE  all  --  *      eth1    10.0.0.109           0.0.0.0/0
 2585  231K MASQUERADE  all  --  *      eth1    10.0.0.132           0.0.0.0/0
    1    76 MASQUERADE  all  --  *      eth1    10.0.0.44            0.0.0.0/0     <-- tu
    1    76 MASQUERADE  all  --  *      eth1    10.0.0.108           0.0.0.0/0     <-- tu
  630 31083 MASQUERADE  all  --  *      eth1    10.0.1.231           0.0.0.0/0
 1985  246K MASQUERADE  all  --  *      eth1    10.0.3.221           0.0.0.0/0
  401 19446 MASQUERADE  all  --  *      eth1    10.0.1.138           0.0.0.0/0

Tutaj można zaobserwować, że ilość pakietów jest mała lub zerowa, może klienci są nieaktywni, ale wątpie w to.

Firewall jest bradzo prosty, a maskarada robi się automatycznie po udanej autoryzacji użytkownika przez PPPoE
http://router.domkinet.pl/firewall troche ułomny, ale nie mam czasu na zabawę póki co :)

Dodam jeszcze, że kolejkuje ruch na IMQ przez co kompilowałem iptables w wersji 1.4.8 i kernel 2.6.32. Jedynie te łaty były nakładane! Kompilowałem jeszcze rp-pppoe dla wsparcia z opcją -k, ale nie zadziałało

W razie czego dodaje jeszcze lsmod http://router.domkinet.pl/lsmod

bobycob · 2011-03-06 22:20:23

Co prawda na PPPoE się nie znam ale tam bym szukał problemu.
Jak sam zauważyłeś reguły proste i nie ma co się spartolić - a jakby było co to by się logach znalazło ;).

No chyba, że spłodziłeś jakieś odkrywcze reguły których nie pokazałeś ;)
Jeżeli masz adres IP przypisany na sztywno do interfejsu używaj raczej SNAT, nie maskaradę. Pozwoli to też zagospodarować leżące odłogiem adresy - o ile takie są. :)

Ostatnio edytowany przez bobycob (2011-03-06 22:22:35)

hudys · 2011-03-07 11:17:44

Witam, wlaśnie też później sobie pomyślałem, że wina może leżeć po stronie rp-pppoe, tymbardziej, że kompilowany ręcznie i nie wiadomo jak to jest nigdy. Nic, zainstaluje wersje z repo i zobaczymy jak to będzie, może to rozwiąże problem. Co do SNATu to rzeczywiście, lepiej tak zrobie i zuzyje pozostałe zewnętrzne adresy IP bo 1 to mało na całą sieć :)

Zrobię to jak najszybciej się da i dam odpowiedź :)

hudys · 2011-03-12 09:29:56

Ok wczoraj w nocy wpiąłem serwer i wygląda na to, że PPPoE 3.8 dystrybucyjne działa dobrze :)

hudys · 2011-04-06 20:02:14

Cholera, problem nadal występuje, ale przyczyną na 10000% jest IMQ. Wyłącze IMQ w iptables wszystko smiga, pakiety lecą w obie strony tym co nie działa, a jak włącze, to sytuacja jest ta sama, pakiet leci od usera w świat, ale już nie wraca :/ Kernel 2.6.32 i tylko łaty imq nałożone

bobycob · 2011-04-07 20:36:54

bez imq można żyć - ja z powodzeniem od jakichś 6 lat :)

hudys · 2011-04-08 21:39:33

Tzn? Bo z tego co czytałem, u32 spokojnie wyłapie download, a upload trzeba markować. Tylko powiedz mi, jak to wygląda, jak chce pobrać coś z serwera? Bo mam torrentfluxa zarzuconego i leci mi po 15MB ^^

bobycob · 2011-04-09 01:42:43

Ruch wychodzący z serwera też trzeba odpowiednio markować. ;)
Odnośnie markowania - zarządzać i tak można tylko ruchem wychodzącym, na przychodzący wpływu za bardzo nie mamy.
IMQ odechciało się bo wypadkach z patchem zdarzało mu się powodować kernel panic.

hudys · 2011-04-09 13:44:30

No ok, na WAN markujemy UPLOAD, a na LAN DOWNLOAD? a jak to sie sprawdza z PPPoE? na lanowskim interfejsie widze bez problemu wew. adresy ip z interefejsów pppoe. Może ja coś dupce jeszcze i skrypty mam źle napisane?

http://router.domkinet.pl/htb <-- kolejki
http://router.domkinet.pl/firewall <-- firewall
http://router.domkinet.pl/tcpdump <-- logi z tcpdumpa

NAT robie dynamicznie przy połączeniu pppoe, może powodem jest brak -o eth1

Kod:

iptables -t nat -A POSTROUTING -s $PPP_REMOTE -j MASQUERADE

Ostatnio edytowany przez hudys (2011-04-09 13:48:47)

bobycob · 2011-04-09 13:52:37

Imq masz po nacie czy przed skonfigurowane? - nie używam tego wynalazku, pamiętam jednak, że to ma znaczenie.

Jeżeli podałeś cały konfig i markowane jest tylko to co wpada w tą regułę;

Kod:

iptables -t mangle -A PREROUTING -i $wanif -j IMQ --todev 0
iptables -t mangle -A POSTROUTING -o $wanif -j IMQ --todev 1

To ruch między klientami ppp a serwerem raczej nie jest markowany.

hudys · 2011-04-09 14:11:41

Tzn. jescze nie naklepłaem nic z markowaniem. IMQ mam na AB. Te konfigi co wrzuciłem to obecne, które działaly na starym serwerze. Na tym cos sie krzaczy i nie wiem dlaczego :(

bobycob · 2011-04-10 15:00:28

Przy kompilacji kernela określasz zachowanie IMQ, zobacz
http://wiki.nix.hu/cgi-bin/twiki/view/IMQ/ImqFaq
akapit
When does IMQ (and filters attached to the IMQ device) see the packets - relative to NAT?
i następne.

Czego używasz jako koncentratora PPPoE? Czy używasz VLAN? Pytam bo mam zamiar zacząć w nowo tworzonej sieci używać PPPoE, szukam rozwiązania i waham się wybrać router na linuksie z pełnym wypasem ;) czy biedniutki routerek typu cisco czy inny mikrotik.

Pozdrawiam

hudys · 2011-04-10 21:33:48

bobycob: Tak jak wcześniej napisałem to mam zachowanie na After PREROUTING i Before POSTROUTING zrobione, czyli tak jak zawsze i chyba dobrze.
Co do PPPoE to rp-pppoe 3.10 i pppd 2.4.5 w trybie kernel mode. Jak dobrze pójdzie to w tym roku wroże RADIUSa jeszcze, BiExi i PanZajebisty wytłumaczyli mi jak to się je i powiem, że fajne rozwiązanie, bo możesz zrobić system koncentratorów rozproszonych na mikrotikach. Ale myślę, że na początku Linux i własny paneli powinny zaspokoić twoje potrzeby ;)

Forum Debian Users Gang

Ogłoszenie

#1 2011-03-06 13:07:30

hudys - Użytkownik

Maskarada - dziwne zachowanie

Kod:

#2 2011-03-06 22:20:23

bobycob - Członek z Ramienia

Re: Maskarada - dziwne zachowanie

#3 2011-03-07 11:17:44

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

#4 2011-03-12 09:29:56

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

#5 2011-04-06 20:02:14

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

#6 2011-04-07 20:36:54

bobycob - Członek z Ramienia

Re: Maskarada - dziwne zachowanie

#7 2011-04-08 21:39:33

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

#8 2011-04-09 01:42:43

bobycob - Członek z Ramienia

Re: Maskarada - dziwne zachowanie

#9 2011-04-09 13:44:30

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

Kod:

#10 2011-04-09 13:52:37

bobycob - Członek z Ramienia

Re: Maskarada - dziwne zachowanie

Kod:

#11 2011-04-09 14:11:41

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

#12 2011-04-10 15:00:28

bobycob - Członek z Ramienia

Re: Maskarada - dziwne zachowanie

#13 2011-04-10 21:33:48

hudys - Użytkownik

Re: Maskarada - dziwne zachowanie

Stopka forum