Ubilling + NAS на FreeBSD бортжурнал починаючого адміна

[PartizanGZ 1]

прошу допомоги, залишилося малость....

радіус передає атрибути

Sending Access-Accept of id 208 to 192.168.0.61 port 10496

        Framed-IP-Address = 192.168.144.250

        Framed-IP-Netmask = 255.255.255.255

        mpd-pipe += "1=bw 10480Kbyte/s"

        mpd-pipe += "5=bw 10480Kbyte/s"

        mpd-table-static += "3=192.168.144.250"

        MS-CHAP2-Success = 0x01533d37453045414541313831424536323843424136443838443532413044464431453039343134424432

        MS-MPPE-Recv-Key = 0x0d7082dc48e5977b1c606f9241cc6718

        MS-MPPE-Send-Key = 0x8e073b99ed1850b04be2f173b0621831

        MS-MPPE-Encryption-Policy = 0x00000001

        MS-MPPE-Encryption-Types = 0x00000006

 

 

 ipfw pipe show

10000:  83.840 Mbit/s    0 ms burst 0

q141072  50 sl. 0 flows (1 buckets) sched 75536 weight 0 lmax 0 pri 0 droptail

 sched 75536 type FIFO flags 0x0 0 buckets 0 active

10001:  83.840 Mbit/s    0 ms burst 0

q141073  50 sl. 0 flows (1 buckets) sched 75537 weight 0 lmax 0 pri 0 droptail

 sched 75537 type FIFO flags 0x0 0 buckets 0 active

 

ipfw table all list

---table(2)---

192.168.174.0/24 0

---table(3)---

192.168.144.250/32 0

---table(9)---

192.168.0.61/32 0

 

звідки береться 83.840 Mbit/s ?

 

 

Відредаговано 2017-06-09 10:36:06 PartizanGZ

[ISK 259]

Доброго времени суток.

 

Вот столкнулся с такой проблемой: ввёл на одном из NAS вторую подсеть (разбиваем сеть потихоньку), поднял 2 экземпляра NAT (белые IP навешаны алиасами), и концептуально всё работает. Кроме одной детали - 2-я подсеть не шейпится. При переводе тестового компа обратно с в 1-ю подсеть - всё работает адекватно - комп получает настройки по DHCP, работает и кушать не просит. При переводе опять во 2-ю - получает, работает, но шейпер фурычить отказывается.

 

После разбора полётов, вижу, что со стороны биллинга при отработке OnConnect всё происходит нормально - требуемый IP попадает в таблицы 3 и 4 как полагается. Но шейпит-то NAS, а в нём как раз при переводе во 2-ю подсеть - нужный айпишник в таблицах 3 и 4 НЕ ПОЯВЛЯЕТСЯ. Скрипт OnConnect не менялся. Есть подозрение на неправильное правило с пайпами, но по идее они для всех таблиц должны действовать...

 

Вопрос: ЧЯДНТ?

 

/etc/firewall.conf выглядит так:

 

#!/bin/sh

 

# Interfaces setup

LAN_IF="em1"

WAN_IF="em0"

 

# Netflow stats (Ubilling external IP must be here)

/usr/local/sbin/softflowd -i ${LAN_IF} -n 192.168.100.2:42111

 

# Firewall command

FwCMD="/sbin/ipfw -q"

 

${FwCMD} -f flush

${FwCMD} -f pipe flush

${FwCMD} -f queue flush

${FwCMD} table all flush

 

# Networks define

${FwCMD} table 9 add 192.168.100.0/23

${FwCMD} table 9 add 192.168.200.0/23

${FwCMD} table 9 add 5.4.3.3/32

${FwCMD} table 9 add 5.4.3.5/32

 

# NAT2

${FwCMD} nat 1 config log ip 5.4.3.3 reset same_ports deny_in

${FwCMD} nat 2 config log ip 5.4.3.5 reset same_ports deny_in

${FwCMD} table 30 add 192.168.100.0/23 1

${FwCMD} table 30 add 192.168.200.0/23 2

${FwCMD} table 31 add 5.4.3.3 1

${FwCMD} table 31 add 5.4.3.5 2

${FwCMD} add 6000 nat tablearg ip from table\(30\) to not table\(9\) via ${WAN_IF}

${FwCMD} add 6001 nat tablearg ip from any to table\(31\) via ${WAN_IF}

 

# Shape

${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out

${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

 

# Security and BitTorrent block rules

${FwCMD} add 3 deny ip6 from any to any

${FwCMD} add 3 deny all from any to any dst-port 1337,2710,3277,5351,6889-6999,7266,7272,49001 via ${LAN_IF} in

 

# Allow access to my Ubilling server

${FwCMD} add 101 allow all from 192.168.100.2 to any

${FwCMD} add 101 allow all from any to 192.168.100.2

${FwCMD} add 101 allow all from 192.168.200.2 to any

${FwCMD} add 101 allow all from any to 192.168.200.2

 

# Allow access to me

${FwCMD} add 102 allow all from 192.168.100.1 to any

${FwCMD} add 102 allow all from any to 192.168.100.1

${FwCMD} add 102 allow all from 192.168.200.1 to any

${FwCMD} add 102 allow all from any to 192.168.200.1

 

# Allow access over SSH from LAN and deny SSH snd DNS from Internet to me

${FwCMD} add 9 allow ip from any to me dst-port 22 via ${LAN_IF}

${FwCMD} add 10 deny all from any to me dst-port 22,53 via ${WAN_IF}

 

# Debtors forwarding

${FwCMD} add 4 allow ip from table\(30\) to me dst-port 80 via ${LAN_IF}

${FwCMD} add 4 allow ip from me to table\(30\) src-port 80 via ${LAN_IF}

${FwCMD} add 4 allow ip from table\(31\) to me dst-port 80 via ${LAN_IF}

${FwCMD} add 4 allow ip from me to table\(31\) src-port 80 via ${LAN_IF}

${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80

${FwCMD} add 7 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 443

 

${FwCMD} table 7 add 127.0.0.1

${FwCMD} table 7 add 192.168.100.1

${FwCMD} table 7 add 192.168.100.2

${FwCMD} table 7 add 192.168.200.1

${FwCMD} table 7 add 192.168.200.2

${FwCMD} add 5 skipto 8 ip from table\(47\) to table\(7\)

${FwCMD} add 5 skipto 8 ip from table\(7\) to table\(47\)

 

# Allow access to my http for all

${FwCMD} add 62000 allow tcp from any to me dst-port 80

${FwCMD} add 62000 allow tcp from me to any src-port 80

 

# Default block policy

#${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}

${FwCMD} add 65535 allow all from any to any

 

# ==== CUSTOM FIREWALL CONFIG ====

 

${FwCMD} add 62100 allow tcp from table\(2\) to table\(17\) dst-port 80

${FwCMD} add 62100 allow tcp from table\(17\) to table\(2\) src-port 80

Відредаговано 2017-06-12 18:32:48 ISK

[l1ght 377]

Я вот боюсь спросить, вдруг камнями будут бить за очевидные вопросы.

Сеть для наса то добавили?

И возможно новая сеть не сможет инициализироваться до перезапуска старгейзера.

Вроде ж уже кучу раз обсуждалось.

[ISK 259]

  В 12.06.2017 в 18:47, l1ght сказав:

Сеть для наса то добавили?

Сеть, услугу, шаблон DHCP, NAS для подсети, очевидно же... 

 

 

  В 12.06.2017 в 18:47, l1ght сказав:

И возможно новая сеть не сможет инициализироваться до перезапуска старгейзера. Вроде ж уже кучу раз обсуждалось

 

Дык в том-то и дело - работает ВСЁ кроме шейпера. И да, в биллинге айпи в таблицах 3 и 4 есть, а в НАСе - НЕТ.

 

Если бы всё было так очевидно, я бы не задавал вопросов.

Відредаговано 2017-06-13 07:42:31 ISK

[nightfly 1 246]

А чего ему работать, если в 3 и 4 их нету?

Как уже сказал l1ght - проверьте доступность наса с rscriptd биллингом, перезапустите старгейзер и пырьтесь в tail -f /var/stargazer/allconnect.log.

 

PS куда и зачем вы пропили 2-ю табличку, я так и не понял.

[ISK 259]

Просто пропил и всё.   Она ж всё равно не нужна - натятся теперь 30 и 31 таблицы и вроде адекватно.

 

Спасибо за советы, ув. гуру, ВСЁ заработало! Таки да, забыл перезапустить stargazer...

Відредаговано 2017-06-13 14:06:27 ISK

[2late 3]

По поиску в доке не нашел настроек модуля "Движения средств"

Ранее данный модуль показывал при размытой АП снятия средств. Stargazer логирует, Ubilling только помесячные начисления.

[nightfly 1 246]

 

 

  В 22.06.2017 в 14:32, 2late сказав:

По поиску в доке не нашел настроек модуля "Движения средств"

Там ровно две опции влияющих на этот модуль - SPREAD_FEE а также STG_LOG_PATH.

 

http://wiki.ubilling.net.ua/doku.php?id=alteriniconf

[2late 3]

  В 22.06.2017 в 15:28, nightfly сказав:

 

  В 22.06.2017 в 14:32, 2late сказав:

По поиску в доке не нашел настроек модуля "Движения средств"

Там ровно две опции влияющих на этот модуль - SPREAD_FEE а также STG_LOG_PATH.

 

http://wiki.ubilling.net.ua/doku.php?id=alteriniconf

 

 

Да, так и есть, но результат к сожалению тот же.

Да, я понимаю всю иронию миграции с FreeBSD на Ubuntu, да и еще в контейнер ovz. Все побитые пути вроде почекал и кое как все дышит. Но логи все так же не пишутся каждый день в Ubilling.

[PartizanGZ 1]

підскажіть будь ласка, щоб в кабінеті користувача в подробно ще відоражалося radius.log ?

[weekend 2]

Привет,  что за ошибка возникает при выборе меню для смены мак ?

 

Warning: syntax error, unexpected $end, expecting TC_DOLLAR_CURLY or TC_QUOTED_STRING or '"' in ./config/alter.ini on line 495 in /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195

чего оно ругается не пойму, вроде как смотрел ничего нету криминального. 

[nightfly 1 246]

  В 26.06.2017 в 09:15, weekend сказав:

Привет,  что за ошибка возникает при выборе меню для смены мак ?

 

 

Warning: syntax error, unexpected $end, expecting TC_DOLLAR_CURLY or TC_QUOTED_STRING or '"' in ./config/alter.ini on line 495 in /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195

чего оно ругается не пойму, вроде как смотрел ничего нету криминального.

у вас че-то криминальное походу в alter.ini. Какая версия ubilling к слову?

[weekend 2]

 0.7.8 rev 5110      

[nightfly 1 246]

 

 

  В 26.06.2017 в 13:35, weekend сказав:

0.7.8 rev 5110

Закапывайте, оно давно сдохло.

 

Ну и смотрите, чего там у вас в alter.ini в 495 строке такого стремного.

[weekend 2]

в том то и дело нету там ничего, последняя строка 494.  

В    

 /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195  

под 1195 строкой вот такие данные 
 

    $alter_conf=parse_ini_file(CONFIG_PATH.'alter.ini');

Відредаговано 2017-06-26 19:54:21 weekend

[PartizanGZ 1]

заступорило на одній проблемі.....

чи можливо якось прикрутити логи логування абонента в білінг по логіх радіуса(pppoe)

без атрибута Calling-Station-Id проходе логування без первірки по маку

Auth: Login OK: [12345] (from client nas port 7 cli 00:0f:b0:5f:16:00)

з атрибутом Calling-Station-Id

Auth: Login incorrect: [12345/<via Auth-Type = MSCHAP>] (from client nas port 8 cli 00:0f:b0:5f:16:f2)

поки не бити з логу радіуса правильний мак(00:0f:b0:5f:16:f2) тоді все ок.....

вот питання, якби то цей лог побпчити десь в менюшці а не в консолі 

мак в Неизвесниє мак адреса появляється, але вот кому він належить.....

Відредаговано 2017-06-30 12:04:26 PartizanGZ

[Vadimvad 0]

Всем привет
Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

[a_n_h 599]

  В 01.07.2017 в 13:32, Vadimvad сказав:

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

[weekend 2]

Добрый день, народ подскажите как правильно создать alias на vlan ?

так в rc.config

ifconfig_igb0="up"
cloned_interfaces="vlan500"
ifconfig_vlan500="vlan 500 vlandev igb0 10.10.10.1  netmask 255.255.252.0"

я так понимаю, что нужно дописать эту строчку ?

ifconfig_vlan500_alias0="vlan 500 vlandev igb0 172.32.0.1 netmask 255.255.240.0 up"

или

ifconfig_vlan500_alias0="inet 172.32.0.1 netmask 255.255.240.0"

[Vadimvad 0]

  В 01.07.2017 в 14:10, a_n_h сказав:

 

  В 01.07.2017 в 13:32, Vadimvad сказав:

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

 

ок.понял,спасибо а тогда в доке про mikrotikapi

/ip service set api port=8728 address=10.0.0.254 disabled=no

вот это строку а именно вместо ип 10.0.0.254 нужно писать ип моего биллинга правилно ли я понял

[Vadimvad 0]

  В 03.07.2017 в 06:53, Vadimvad сказав:

 

  В 01.07.2017 в 14:10, a_n_h сказав:

 

  В 01.07.2017 в 13:32, Vadimvad сказав:

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

 

ок.понял,спасибо а тогда в доке про mikrotikapi

/ip service set api port=8728 address=10.0.0.254 disabled=no

вот это строку а именно вместо ип 10.0.0.254 нужно писать ип моего биллинга правилно ли я понял

 

Мой вопрос понял,нужно было повнемательно читать документацию))

так вот осталось один вопрос про ип 10.0.0.1 10.0.0.254 

10.0.0.1 это bridge микротика а 10.0.0.254 это локалка сервера ubilling и у них на двиох маска 24,это для чего не подскажете

Відредаговано 2017-07-03 11:29:19 Vadimvad

[Vadimvad 0]

Всем добрый день
Не подскажете информация на ссилке еще актуално,можно с этой статей создать удаленный микротик нас
https://nixrecords.wordpress.com/2015/07/20/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-remote-mikrotik-nas-%D0%B8%D0%B7-ubilling/

[ISK 259]

Добрый день, уважаемые гуру.

 

По поводу моего недавнего обращения к Вам по поводу инициализации подсетей - да, всё работало, но ровно до того момента, когда случилась гроза и ВНЕЗАПНО отключилось питание (UPS  не выдержал). И, всё накрылось! Конечно не всё - всё работает, кроме шейпера. Перезапуск stargazer не помогает. В таблицах 3 и 4 соответствующий IP появляется, как со стороны биллинга, так и со стороны NAS, но шейпер упорно не хочет работать (dummynet скомпилирован в ядре).

 

Настройки фаервола не менялись. Со стороны биллинга тоже никаких настроек не менялось. 

 

ЧЯДНТ?

Відредаговано 2017-07-08 11:33:25 ISK

[a_n_h 599]

 

 

  В 08.07.2017 в 11:31, ISK сказав:

стороны NAS

NAS  на чем? микрот? 

[nightfly 1 246]

 

 

  В 08.07.2017 в 11:35, a_n_h сказав:

NAS на чем? микрот?

ORLY?

 

 

 

  В 08.07.2017 в 11:31, ISK сказав:

В таблицах 3 и 4 соответствующий IP появляется

 

 

 

  В 08.07.2017 в 11:31, ISK сказав:

ЧЯДНТ?

# cat /etc/sysctl.conf

# cat /boot/loader.conf

 

#ipfw show