dummy

Стоит CentOS 6, хочу скомпилировать accel-ppp: [user@router accel-ppp-1.3.7]# cmake -DBUILD_DRIVER=TRUE -DKDIR=/usr/include/linux -- Configuring done -- Generating done -- Build files have been written to: /home/soft/accel-ppp-1.3.7 [user@router accel-ppp-1.3.7]# make [ 13%] Built target triton [ 54%] Built target accel-pppd [ 67%] Built target radius [ 68%] Built target pptp [ 77%] Built target pppoe [ 81%] Built target l2tp [ 83%] Built target auth_chap_md5 [ 85%] Built target auth_mschap_v1 [ 86%] Built target auth_mschap_v2 [ 88%] Built target auth_pap [ 90%] Built target l

Стоит задача поднять ВПН для клиентов сети. Прошу спецов посоветовать, что лучше в плане нагрузки на систему, производительности и т.д. ЗЫ: Стоит сервер под CentOS, сам склоняюся до xl2tp (есть в репозитариях). Но хотелось бы услышать мнение более опытных

установил xl2tpd /etc/xl2tpd/xl2tpd.conf [global] port = 1701 [lns default] ip range = 10.5.1.220 local ip = 10.5.1.1 require chap = yes refuse pap = yes require authentication = yes name = VPNserver ;ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes exclusive = no /etc/ppp/options.xl2tpd ipcp-accept-local ipcp-accept-remote ms-dns 10.1.1.1 ms-dns 10.1.1.3 ms-wins 10.1.1.1 noccp auth crtscts idle 1800 nodefaultroute lock proxyarp connect-delay 5000 соединение проходит, обмен с инетом идет, но почемуто режется скорость на закачку с инета около 512

неужели никто не сталкивался с такой проблемой ?

заменить на или натить ps imho нет, делать подсети /16 - не буду, только ушел от такого чуда а натить - это что ? из 10,1,48,0 на 10,1,1,3 ? а простой маршрутизацией нет возможности ?

приветствую знатоков, может вопрос не в тему но: 1. настроил /etc/xl2tpd/xl2tpd.conf [global] port = 1701 [lns default] ip range = 10.5.1.220-10.5.1.230 local ip = 10.5.1.1 require chap = yes refuse pap = yes require authentication = yes name = AltNetVPNserver ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes exclusive = no 2. /etc/ppp/options.xl2tpd ipcp-accept-local ipcp-accept-remote ms-dns 10.1.1.3 ms-wins 10.1.1.1 #ms-wins 192.168.1.4 noccp auth crtscts idle 1800 mtu 1410 mru 1410 nodefaultroute debug lock proxyarp connect-delay 5000 3. /etc/ppp/chap-

Несколько проблематично. Пользователь может быть авторизован одновременно через несколько авторизаторов и я пока не представляю себе как это красиво передавать в скрипт. Разве что строкой с разделителем. неплохо было, если бы СТГ выдавал инфу о том, подключен ли пользователь, например через sgconf а, если пользователь авторизирован, - то не пускать его больше ни через какой авторизатор

у меня те кто авторизуются через авторизатор и те что через впн находятся в разных подсетях, онконнектом это и обрабатываю а если клиент сегодня авторизатором, а завтра поставил убунту и хочет впн ? каждый раз перенастраивать ?

при маркировке пакетов - исключай локальную сеть. типа такого: /sbin/iptables -t mangle -A FORWARD ! -s $lan -d $IP -j MARK --set-mark $mark

Нет. Пока нет. жаль, а то уже собирался предлагать людям (

а можно ли как-то в скрипте OnConnect определить, происходит авторизация через InetAccess или vpn ?

я просто авторизатор слегка подправил, чтобы в нем отображался текущий название текущего тарифа и его цена а по ОнКоннект отправляю специально отформатированное сообщение, которое и обрабатывает авторизатор

похоже эта проблема (с отправкой сообщений) давно уже живет. у меня раньше в OnConnect - была отправка сообщений пользователям, то частенько были проблемы с зависанием авторизатора. убрал отправку - проблемы пропали. ща обновлюсь - и попробую опять отправку сообщений

все настройки рабочие только надо net.ipv4.conf.eth0.rp_filter = 0 для всех интерфейсов в sysctl.conf и все

сабж: http://bijk.com/ никто таким не пользовался ? какие отзывы ? там даже зарабатывать предлагают

переделал файрвол так: #!/bin/bash echo "1" > /proc/sys/net/ipv4/ip_forward # Очищаем правила файрвола iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X # Политика по умолчанию DROP: всем всё запрещено iptables -t filter -P INPUT ACCEPT iptables -t filter -P FORWARD ACCEPT iptables -t filter -P OUTPUT ACCEPT iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT iptables -t filter -A INPUT -s 10.1.1.0/14 -j ACCEPT iptables -t filter -A OUTPUT -d 10.1.1.0/14 -j ACCEPT iptables -t filter -A FORWARD -d 10.1.1.0/24 -j AC

Ставиш SQUID. Авторизацию реализовываеш на нем: SQUID + LDAP. Пользователями рулиш через http://www.ldap-account-manager.org/ В ЛДАП создаеш группы пользователей "ресурсов интернет" В SQUID - фильтруеш по группам Анализ - логи SQUID - бери что хочеш. ЗЫ: у нас в конторе так и сделано. Получили 1.простоту управления, 2.Удобная фильтрация, 3.Нет привязки пользователей до конкретного компа, 4.В конце месяца шеф получает сводку: кто и чем занимался в инете Как минус - нет возможности регулировать обратный трафик (от пользователей в инет).

есть 2 провайдера, хочу настроить маршрутизацию делаю по инструкции: #!/bin/sh IP_LOCAL="10.1.1.4" # адрес нашего маршрутизатора в локальной сети. IP_INET1="хх.хх.хх.4" # адрес нашего маршрутизатора в сети первого провайдера. IP_INET2="хх.хх.хх.234" # адрес нашего марщрутизатора в сети второго провайдера. IF_LOCAL="eth3" # имя интерфейса на локальную сеть IF_INET1="eth0" # имя интерфейса на первого провайдера. IF_INET2="eth1" # имя интерфейса на второго провайдера. NET_LOCAL="10.1.1.0/24" # локальная сеть. NET_INET1="хх.хх.хх.0/29" # адрес сети в которой гейт нашего первого провайдера.

ip address 1.1.1.1 255.255.255.0 secondary Обратите внимание на последнее слово а в Cisco Catalyst WS-C3550-48-EMI такого нету ? пересмотрел мануалы к нескольким свичам на офсайте - нигде нету этого "secondary" это что, "недокументированная возможность" ? а в доках по IOS - есть

может ты подскажешь, как на цисках несколько ИП на 1 интерфейс делать - читаю эти мануалы, нигде такого не найду

подскажи, плиз, как настраивать алиасы, - чето я в мануалах не найду такого

сорри за пустой пост - не знаю как его удалить

я нарисовал упрощенную схему, а на самом деле все гораздо сложнее: подсетей - около 40 шт (хоть и по 5-6 хостов) и получится по несколько подсетей на 1 порт, поэтому и спрашиваю в дальнейшем, когда будут финансы, все разрулится хорошо, а в данный момент надо из ситуации выйти малой кровью

спасибо за ответ а можно ли одному вилану назначить несколько адресов, типа 192,168,1,1/24 192,168,2,1/24 и т.д.?

прошу не пинать сильно, со свичами 3 уровня еще не работал. хочу реализовать схему (во вложении): свич - работает как роутер, локальный траффик (192,168,ххх,ххх) идет через свич, а внешний (инет) идет на сервер почитал документацию к D-link DES-3828, вроди должно получиться. ваши предложения