Alexey Osipov

С опцией stg-плагина 'pppdtimeout' тесно связана опция pppd-плагина 'keepalivetimeout'. 'keepalivetimeout' определяет интервал, с которым плагин pppd пингует плагин stg. Естественно, если этот интервал будет больше, чем pppdtimeout, старгейзер будет сбрасывать соединение, подумав, что pppd умер. "не переподключаются" - слишком пространно. Как это конкретно выглядит на машине клиента? Как это конкретно выглдяит в логах pppd? Старгейзера?

Да, теоретически так.

Надо для VPN раздавать адреса из другой подсети, отличной от той, в которую входят IP пользователей, которые они помнят. Как вариант, указывать в конфигураторе для пользователя два разных IP (через запятую, вроде). purestg2 всегда выдает первый IP из списка, а inetaccess может авторизоваться с любого из перечисленных. Тогда если клиент впишет на сетевуху свой старый IP, который он помнит, а потом подключится через VPN, то конфликта адресов не будет, т.к. VPN-интерфейс получит другой IP. Конечно, пользователь может подсмотреть тот IP, который ему присвоили для VPN и вписать потом его же

Поскольку нужно запрещать повторную авторизацию в обе стороны (и при попытке подключения через инетаксесс при активном пппое и при попытке подключения по пппое при активном инетаксессе), то правкой только лишь кода purestg2 здесь не обойтись. Как вариант, добавить в старгейзер опцию навроде "allowonlyoneauthorizator", запрещающий каждому пользователю авторизовываться более чем одним авторизатором. В этом случае, конечно, у пользователя остается возможность самому выбирать способ авторизации. Чтобы однозначно привязать пользователя к авторизатору, наверное, надо делать соответствующую н

А чем, собственно, плох вариант с FeeChargeType=1? По-моему, вполне логично: снялась абонентка за день; её не хватило, чтобы полностью заплатить за этот день, поэтому счет ушел немного в минус. При следующем пополнении счета, клиент платит свой небольшой образовавшийся долг (тот самый минус) за недооплаченную часть дня, а остальное переходит в плюс на оплату новых дней.

Быть может, convertor каким-то образом собрался с неправильной версией POSTGRESQL API?

Есть еще http://local.com.ua/forum/topic/25760-purestg2/

Давайте угадаю - у вас linux. Очевидно бубунто-дебиано образный. Там изначально больной mysql-client. Лечится пересборкой. Во имя справедливости дополнительно сообщаю: бывают исключения из правил. Ubuntu Server 10.04, штатный mysql, stargazer, работает нормально. Правда размер базы даже до 100 пользователей не дотягивает.

Я думаю, что сервер на самом деле не завис, а перестал отвечать на сетевые запросы, т.к. появление такого же IP на втором интерфейсе могло снести крышу маршрутизатору (из-за внесения дублирующей/противоречивой записи в таблицу маршрутизации) или фаерволу (по тем же причинам). Это надо будет городить огород с получением локальных IP сервера... Думаю, это одна из тех проблем, которая проще решается организационным методом, чем техническим - заводить абонентов в отдельной подсети.

В версии из git появилась поддержка новой опции - allownotinetable, при включении которой: - из условий аутентификации в pppd исключается проверка доступа пользователя в интернет старгейзером (игнорируется блокировка пользователя, наличие у него на балансе достаточного количества средств и т.п.; проверяется только пара логин/пароль и, если указано в конфиге, значение из ipparam); - когда старгейзер отключает пользователя (если закончились деньги, если пользователь заблокирован и т.п.), разрыв ppp-соединения не происходит. OnConnect() и OnDisconnect() при этом срабатывают в обычном режиме

Да. Я тоже думаю, что одной настройки достаточно. И VPN срывается по той же причине. Надо закомментировать вызовы activateNotifier(user); и deactivateNotifier(user); везде по коду.

Не должно. Можно закомментировать вызовы функций activateNotifier(user); и deactivateNotifier(user); в той же функции в ветках PUREPROTO_ASK_CONNECT и PUREPROTO_ASK_DISCONNECT соответственно. Я все-таки собираюсь вынести опцию. Поэтому вопрос: нужно ли отдельно иметь возможность отключить "запрет подключения по VPN, если пользователь не может выйти в инет" и "автоматическое отключение пользователя, когда его отключает старгейзер"? Или достаточно одной настройки?

Здесь: https://github.com/lion-simba/purestg2/blob/master/stargazer/purestg2.cpp#L716 Нужно закомментировать весь блок if, который проверяет IsInetable(). Напрашивается новая опция в конфиг.

читал эту тему... вопрос - тот репозиторий, который Вы зделали под squeeze заработает? Не проверял. Пакет ipt-netflow, по идее, должен заработать, у него из зависимостей только dkms. Насчет stargazer - не уверен В Debian используется система инициализации upstart? Если нет и там sysv, то не взлетит. Но вообще я ссылку привел не репозитория ради, а для указания на существование ipt_netflow сенсора. Можно и ручками собрать накрайняк. И да, если репозиторий-таки заработает, отпишитесь. И наверное лучше в той теме.

К слову, под "эти наши линуксы" есть натурально ядерный NetFlow сенсор: http://local.com.ua/forum/topic/26157-ipt-netflow-%D0%B1%D1%8B%D1%81%D1%82%D1%80%D1%8B%D0%B9-netflow-%D0%B8%D0%B7%D0%BC%D0%B5%D1%80%D0%B8%D1%82%D0%B5%D0%BB%D1%8C/

у меня сервер stg + purestg2 + accel-pptpd a accel-ppp ? accel-ppp в purestg2 не поддерживается, т.к. accel-ppp - это реализация ppp, написанная с нуля (она не использует стандартного демона pppd), а purestg2 сейчас работает именно с демоном pppd. accel-pptp поддерживается, т.к. это исключительно ускоренная реализация pptp, а для ppp используется всё тот же демон pppd. Теоретически, ничто не мешает написать плагин purestg2 и для accel-ppp, но в данный момент бесплатно этим заниматься у меня нет возможности. Если найдется желающий это запрограммировать, могу бесплатно консультировать

родной. У меня нагрузка небольшая, поэтому хватает.

У меня стоит pptpd (PopTop) для обслуживания pptp подключений и pppoe-server (так и называется) для обслуживания pppoe подключений.

Нет.

Попробуйте ещё novj и novjccomp добавить.

Отлично, нашли то, что нужно. Судя по логу, они не могут договориться то ли о механизме сжатия трафика, то ли об IP-адресе. Что попробовать: 1. Добавить в конфиг pppd опции: nobsdcomp, а тажке (если этого не хватит): nodeflate, noaccomp, nopcomp. 2. Проверить, чтобы у клиента в настройках подключения стояла галка "получать IP от сервера", то есть чтобы явно IP прописан не был.

С точки зрения purestg2 здесь всё в порядке. Тот BUG, который отражается в логе stg.log не критичен в данной ситуации и является следствием проблемы, а не её причиной. Проблема в том, что клиент не может договориться с сервером (pppd) о параметрах подключения и в итоге разрывает соединение: Включите опцию debug в конфиге pppd и повторите ситуацию. Затем поищите в системных лог файлах (messages, debug, kernel) что-то подобное: Всё, что найдете - сюда.

1. Верните обратно debug в конфиге purestg2. 2. Приводите логи из stg.log и messages за один и тот же временной отрезок.

Данный модуль подходит для сбора трафика только с ethernet интерфейсов (например eth0). В купе с ppp интерфейсами нужно использовать либо модуль cap_ipq, либо модуль cap_nf. В первом случае просто включаете модуль, а затем с помощью iptables направляете нужный трафик на цель QUEUE: iptables -A ...... -j QUEUE Эти правила удобно добавлять/удалять в скриптах OnConnect/OnDisconnect. Во втором случае кроме модуля cap_nf, вам потребуется NetFlow сенсор, например softflowd или ipt-netflow.

А какой модуль подсчета трафика вы используете?