Roman Pogosyan

сейчас как раз мопед стоит ..и целый день утюгам рассказываю как VPN настраивать) задолбался выложил мануал по настройки .. и все разно по телефону рассказываю

согласись что стырить логин пароль сложнее чем IP и MAC + его можно быстро поменять если вдруг появляется подозрение на кражу и потом опять пройдет много времени пока их сново стырят

5 лет дарим причем из них 2 не просто дарим а сами оплачиваем просто всему есть разумный предел .. давайте не будем тут учить друг друга как и на какие деньги строим сети. а просто обсуждать решения. Не думайте, что кому-то нравится столько пыхтеть и долбать свой моск , если бы он мог просто взять одну умную железку и забыть про проблемы. а то что сказал выше .. это просто горький жизненный опыт. вложил 3 килобакса в 15 управляемых 16-и портовых длинка в прошлом году . сейчас из них больше половины сгорело . посылать их назад в Россию для гарант ремонта равносильно купить новый ... вот и приходится извращаться. А решение которое дает возможность на тупых железках получить что-то более менее приемлемое это не только "нужно" но и интересно

поживешь у нас узнаешь. если с сможеш доставить к нам технику и растаможить ее. а потом разница в цене будет меньше указанной мной в 10% . готов выплатить тебе разницу а если нет то расод покрываешь ты согласен ?

я бы тоже хотел управляемое железо и без головных болей .. но у меня его достате .. это 350$ за хренов длинковский свич .. который погорит через пару недель если его юпиесом не прикрыть . т.е еще +100$ и тратить эти 450$ в идеале для 16 (у нас нет такого места где на радиусе LAN было столько клиентов) клинетов которые будут платить по 10$ в месяц - затраты на тот же инет не считая трат на все остальное это 3$ в идеале с каждого. железяка окупится через 11,5 это месяцев .. учитывая амортизацию 1 год (если конечно ничего не сгорит до этого ... а оно сготир точно) ... так что за год данный девайс так и не окупится , а я год буду дарит инет 16 юзерам ... пока что это утопия .. так что один сегмент или в лучшем случае 5 (у меня) , все остальное на тупых железках , а с редкостью клиентов лучше его лишить возможности грешить чем тыкать носом в библию

а что тут очевидного .. обыкновенный снифак а моему супорту сиди логи гляди кто и на какой мак себе что то поменял .. а потом беги и ругайся с челом объясняй что тут не дубы сидят , а завтра он еше 10-ым покажет .. и пойдет мозго***ка

какие вкусности в есть в альфе чтоб протестить ? кроме смукса

Видимо получить айпишку по дхцп и забыть им "не удобно". Смешно пошутили, я оценил. очікував слушної нагоди, це саме вона да выдал айпишку , прописал маки чтоб не подменяли .. подменили и то и другое .. клуб затр***ает жалобами , а кто то юзает халявный быстрый инет

ну например интернет клубу не удобно использовать ипое ему pppое самое то, если нет вилана

не у всех виндос или линукс чтоб выдать им авторизаторы и сказать что только так .... есть люди с макбуками , есть те кто роутер испольузет кто то даже айфон и айпад.. вот буду сейчас думать веб авторизацию делать для теледонов. а то с 3Г уже задолбали

Кому как удобно. для конкуренции

ага ... бегать по всем конфигом и смотреть случайно там клинет или нет ... не вариант (ipfw) спасло линукс собирался сносить уже ..

сложная сетка на простом тазике .. это сложно

прикинул текст OnConnect ipfw table (id-tarif) add $IP iptables -t nat -A POSTROUTING -s $IP -o eth0 -j SNAT --to $snat_ip смотрю и ужасаюсь Непросто? Неужели? ip a|grep " $ip/32" - если результат пустой, значит по эзернету, не пустой - туннель. Шейпить соотвтственно. а если этот эзернет на 5 вланах ?

попробывал модуль линукса dummynet .. долго ломал голову над pipe, так как после создания пайпа трафик начинал рубится ("нет это не рио-де-жанейро"(ц)Остап) но потом дошло что надо указывать направления (благо хоть бе з интерфейсов) шрйпит нормально .. кстате есть возможность делать к примеру такое "ipfw pipe 4 config bw 1Mbit/s mask src-ip 0x00000ff" и это радует ... сейчас скрещу с Snat поглядим справится ли зверушка П.С. (одни костыли ... куда нас это доведет) Запустил нат .. пока полет нормальный

читал читал про линукс шейпер .. и убедился чтто никак не обьединить лимиты и нат в один тазик ) как не крути до бсд линуксу рости и рости ...

облом по китайски ) из за опухания мозга от тц черт попутал tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip src 0.0.0.0/0 flowid 1:1$ID (зафильтровал весь исходящий трафик по IP клиента) тупо сливает в последнюю трубу всех клиентов

Сейчас работает ..

ссыла вроде не пашет

долго и упорно чесал голову по поводу того как же прилепить сюда нат... а потом решение пришло само собой. и так на каждого клиента у меня создается свой дочерний поток , а скорость режется в обе стороны одинаково .. так почему же не поступить следующим образом ? в OnConnect tc class add dev ifb0 parent 1:1 classid 1:1$ID htb rate минимальная_гарантированная_скоростьkbit ceil Максимальная_скорость_для_тарифаmbit burst 15k (Создал подкласс для этого клиента )tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip src 0.0.0.0/0 flowid 1:1$ID (зафильтровал весь исходящий трафик по IP клиента)[/conde]и все .. лимиты стоят даже при нат

Напишем? увы и ах

Так точно сэр ! )) dummynet самое хорошее что изобретено в *никсе .. жаль в линуксе его нет. Вот бы хардовую поддержку линукса в BSD .. тогда бы гемора такого не было

и так обещал поделится , делюсь лимиты во все стороны (правда еще не доделал скипт выборки скорости, но на форуме полно примеров.) и так цель в не зависимости от варианта подключения (pptp, pppoe, lan, vlan) делаем нарезку скорости клиенту по IP . Целью было несколько принципиальных "НО" на которые я немог не обратить внимания 1) клиенту выдается скорость "НО" он должен делится ей если канала не хватает (не зависимо от того как он подключился) 2) клиент сам выбирает вариант подключения (все варианты доступны pptp, pppoe, lan) но его лимиты должны всегда быть в действии. 3) многие считают что нет смысла резать исходящий канал "НО" его надо резать а то зафлудят вирусами. Итак после длительного гулянья по интернету (как то не хотелось читать хендбук про tc) пришел к выводу что избавится о всех этих "НО" в линуксе возможно или метками , или завернув все в один интерфейс , ближе к телу для меня интерфейс и я сплясал отсюда и так при старте системы делаем modprobe ifb ip link set ifb0 up (созадл мой общий интерфейс) tc qdisc add dev ifb0 root handle 1: htb default 1 tc class add dev ifb0 parent 1: classid 1:1 htb rate 37mbit burst 15k (задал максимальную скорость корорая имеется) tc qdisc add dev eth0 ingress handle ffff: tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match u32 0 0 flowid 1:1 action mirred egress redirect dev ifb0 (слил вес трафик от провайдера на этот интерфейс) tc qdisc add dev vlan100 ingress handle ffff: tc filter add dev vlan100 parent ffff: protocol ip prio 10 u32 match u32 0 0 flowid 1:1 action mirred egress redirect dev ifb0 (слил вес трафик с локального эзернет на этот интерфейс) далее при в OnConnect tc class add dev ifb0 parent 1:1 classid 1:1$ID htb rate минимальная_гарантированная_скоростьkbit ceil Максимальная_скорость_для_тарифаmbit burst 15k (Создал подкласс для этого клиента ) tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip src $IP flowid 1:1$ID (зафильтровал весь исходящий трафик по IP клиента) tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip dst $IP flowid 1:1$ID(зафильтровал весь Входящий трафик по IP клиента) ну и соответственно стер все в скрипте onDisconnect И так с эзернетом разобрались а как же в ppp ? все просто в /etc/ppp/ip-up.d/ заделал скриптик который клеит весь трафик с интерфейса на ifb0 #!/bin/sh tc qdisc add dev $PPP_IFACE ingress handle ffff: tc filter add dev $PPP_IFACE parent ffff: protocol ip prio 10 u32 match u32 0 0 flowid 1:1 action mirred egress redirect dev ifb0 Заранее оговорюсь , это мой первый опыт работы с TC так что сильно не пинать , лимиты работают , друг другу не мешают. знаюших TC просба если что не так подправить и выложить П.С с натом на одной машине не тестировал П.П.С не знаю с какой нагрузкой все это будет работать

я тоже так думал. я не линуксоид , но по отзывам всегда думал что дебиан максимально стабильный линух

прикрутить получилось .. даже передаю лимиты в радиус атрибутах .. просто ppp глючит как только его в фильтр загоняю (на разные сети по разному трафик начинает ходить). Сменил линукс с дебиана на убунту-сервер .. вроде полегчало ... ядро то же . глюков с ppp меньше