BRAS (NAS) 5k+ PPPoE

[ttttt]

в том же putty поставить галочку keep alive

Кстати дефолтовое значение TCP Keep-Alive - 2 часа, т.е. раз в 2 часа будет слать пакетик. Я putty не пользуюсь, не знаю, но вы уверены, что сработает с вашими 10 минутными таймаутами?

[lemosh]

5 часов назад, KaYot сказал:

Главное правило админа - не делать супер-коробку которая потянет все.

Поставьте 2 Линукс-тазика попроще, они отлично сбалансируются и обеспечат резерв. А под 2-3к сессий достаточно весьма простого железа, 1u сервера на e3-1220.

 

Так оно и будет, если пойдет. Сейчас на двух тазиках под микротик это все и работает. Просто хочется попробовать что-то другое, возможно йти от микротика, а на чем-то нужно проводить эксперименты. Просто эти эксперименты придется проводить на живых абонах. Вот и интересуюсь какие могут быть подводные камни с виртуалками.... Если все будет как минимум не хуже микротика х86 работать - то смело можно менять на НАСах операционку

[KaYot]

1 час назад, sanyadnepr сказал:

Двойные стандарты, они такие...

Раз домашний, так можно и костылями подпереть. 

Тройные.

Вы ж юрикам для "рабочего" интернета серые IP не даете? А вот домашним почему-то можно, а ведь веб сервер работать не будет и по ssh снаружи вообще не достучаться. Интернет говно?

[sanyadnepr]

3 часа назад, KaYot сказал:

4 часа назад, sanyadnepr сказал:

Двойные стандарты, они такие...

Раз домашний, так можно и костылями подпереть. 

Тройные.

Вы ж юрикам для "рабочего" интернета серые IP не даете? А вот домашним почему-то можно, а ведь веб сервер работать не будет и по ssh снаружи вообще не достучаться. Интернет говно?

Мы даем серый, если им белый не нужен. Экономика должна быть экономной. Если кому нужен, может взять белый, вне зависимости юрик или физик.

Мы же тут техническую сторону вопроса обсуждаем. А "политика партии", так она у всех разная, как и стандарты. Оно и еще где то обязательно выстрелит. 

Интернет говно, если постоянно-периодически ssh консоль дохнет, а у "Вася-нет" не дохнет, значит подключимся и посоветуем подключиться к "Вася-нет". 

[l1ght]

22 минуты назад, sanyadnepr сказал:

Мы даем серый, если им белый не нужен. Экономика должна быть экономной. Если кому нужен, может взять белый, вне зависимости юрик или физик.

Мы же тут техническую сторону вопроса обсуждаем. А "политика партии", так она у всех разная, как и стандарты. Оно и еще где то обязательно выстрелит. 

Интернет говно, если постоянно-периодически ssh консоль дохнет, а у "Вася-нет" не дохнет, значит подключимся и посоветуем подключиться к "Вася-нет". 

Мне кажется сильно за уши притянуто.

[ttttt]

Почему притянуто, если нат кривой и ломает все долгие сессии TCP? Одним ssh это явно не ограничивается.

В принципе если уже костылить, то ssh и telnet и еще пару протоколов с длинными сессиями, типа впнов и прокси, можно пустить через нормальный нат без таймаутов, а остальное пусть с таймаутами бегает. Т.е. все что на 22 и 23 портах. И уже будет юзабельнее.

[sanyadnepr]

27 минут назад, l1ght сказал:

50 минут назад, sanyadnepr сказал:

Мы даем серый, если им белый не нужен. Экономика должна быть экономной. Если кому нужен, может взять белый, вне зависимости юрик или физик.

Мы же тут техническую сторону вопроса обсуждаем. А "политика партии", так она у всех разная, как и стандарты. Оно и еще где то обязательно выстрелит. 

Интернет говно, если постоянно-периодически ssh консоль дохнет, а у "Вася-нет" не дохнет, значит подключимся и посоветуем подключиться к "Вася-нет". 

Мне кажется сильно за уши притянуто.

Серьезно, притянуто ? 

Не поставим еще один тазик для ната, а будем тюнить и оптимизировать текущий, пока не выжмем из него все соки.

Так давай еще и сессию раз в сутки рубить, так интересней.

Будем стремиться вниз, а не вверх. 

 

[l1ght]

ну во всяких PPP когда брас не умеет СоА это бест практис установки session-timeout в сутки

а на счет ната... к чему этот бугурт? возмите и попробуйте так ли всё ужасно

[lemosh]

А шейпить чем? Linux IMQ или IFB?

[l1ght]

10 минут назад, lemosh сказал:

А шейпить чем? Linux IMQ или IFB?

у акцеля свой шейпер, если про него речь

[hailnora]

В 01.03.2018 в 13:13, l1ght сказал:

ну банальный q-in-q должен пролезть легко

главное что б с мту было всё ок

 

зае**ли адепты PMTU!!!!!! 

[ttttt]

ну во всяких PPP когда брас не умеет СоА это бест практис установки session-timeout в сутк

А какая разница что там у PPP обрывается и пересоединяется, TCP же выше уровнем и на него это не влияет.

[l1ght]

@ttttt

1 час назад, sanyadnepr сказал:

Так давай еще и сессию раз в сутки рубить, так интересней.

 

32 минуты назад, l1ght сказал:

ну во всяких PPP когда брас не умеет СоА это бест практис установки session-timeout в сутки

 

[KaYot]

Как обычно, техническая тема превратилась в тупой гон и мерянье шириной члена.

 

Домашним пользователям нах не сдался "ssh не посылающий ничего полчаса", им он просто до зёпы. Никаких негативных моментов в таком тюнинге нет, это из долгой практики.

 

Попросили тюнинг - получили тюнинг. Никто насильно не заставляет использовать мои настройки, ставьте 24 часа на хранение трансляции, не будет ssh рваться. Но ценой бесполезной загрузки системы.

[Cybernet1k]

В 04.03.2018 в 19:35, KaYot сказал:

sysctl.conf

net.netfilter.nf_conntrack_max = 524288
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_tcp_timeout_established = 600

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20

Сам НАТ в iptables

-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent

 

Якраз готую новий NAT на Linux, у серверному парку є NAT сервери на FreeBSD й там натити через пул IP можливо лише через вказання CIDR мережі, якщо використовувати, наприклад, медот soure-hash...Гадаю, логічніше, якщо використовувати пул /25, було б SNAT робити на пул xxx.xxx.xxx.129 - xxx.xxx.xxx.254.

[pashaumka]

10 часов назад, KaYot сказал:

Как обычно, техническая тема превратилась в тупой гон и мерянье шириной члена.

 

Домашним пользователям нах не сдался "ssh не посылающий ничего полчаса", им он просто до зёпы. Никаких негативных моментов в таком тюнинге нет, это из долгой практики.

 

Попросили тюнинг - получили тюнинг. Никто насильно не заставляет использовать мои настройки, ставьте 24 часа на хранение трансляции, не будет ssh рваться. Но ценой бесполезной загрузки системы.

+++

[KaYot]

1 час назад, Cybernet1k сказал:

Гадаю, логічніше, якщо використовувати пул /25, було б SNAT робити на пул xxx.xxx.xxx.129 - xxx.xxx.xxx.254

Синтаксис в iptables SNAT очень гибкий.

Вы можете задать нужную /25 подсеть в явном виде, "--to xx.xx.xx.129/25", тут нужно правильно считать.

А можете просто указать любой список IP, хоть в виде диапазона, хоть отдельными адресами. Например "--to xx.1-xx.10", или даже "--to  xx.1 --to  xx.3 --to  xx.5"

[NiTr0]

В 05.03.2018 в 09:05, lemosh сказал:

на НАГе пишут что 3.16 оптимальное

3.10 точно стабильно работает, годами. и вроде как 4.12 тоже нормально по отзывам.

с 3.14 или 3.18 (не помню) были грабли при удалении правил шейпера по завершении сессии (race condition), пришлось поправить скрипт шейпера, перекинуть удаление старых правил с if-down в if-up. с 3.18-3.19 по 4.8-4.9 были грабли порой с race condition при создании-удалении pppoe ифейсов (хотя вроде в 4.9 ветке это таки уже пофиксили).

 

19 часов назад, ttttt сказал:

Ой боже, не фантазируйте о тактах ЦПУ в линуксовом ядерном сетевом стеке, там вообще 90% проца расходуется впустую.

там скорее вымывание кеша будет. чем жирнее табличка - тем хуже кешам.

 

хотя да, 10 минут - как по мне перебор. хотя бы несколько часов оставить.

Відредаговано 6 березня, 2018 NiTr0

[ttttt]

там натити через пул IP можливо лише через вказання CIDR мережі

В ядерном ipfw nat можно использовать произвольное количество инстанций ната и вообще использовать lookup table и любую логику ipfw, куда уже более гибко.

[Kiano]

апну тему

кто что скажет за multi-queue-ethernet-default и 82599 сетевые?

[Kiano]

кто по опыту скажет, HT в ситуации, когда серв используется для NAT+routing лучше выключить или включить?
и для терминации PPPoE? лучше с HT или без?

[Dimkers]

лучше выкл.

[KaYot]

Для любого маршрутизатора лучше без HT.

[Kiano]

 

заметил такую штуку в RouterOS: при включении HT на многопоточных сетевых становится доступно в два раза больше потоков (т.к. типа ядер больше)

 

так а для PPPoE сервера тоже лучше без HT?

 

[KaYot]

Число потоков драйвер сетевки создает по числу видимых в системе ядер, не важно настоящих или виртуальных.

Ну а PPPoE сервер это маршрутизатор в чистом виде