Jump to content
Local
mgo

Ubilling + NAS на FreeBSD бортжурнал починаючого адміна

Recommended Posts

прошу допомоги, залишилося малость....

радіус передає атрибути

Sending Access-Accept of id 208 to 192.168.0.61 port 10496
        Framed-IP-Address = 192.168.144.250
        Framed-IP-Netmask = 255.255.255.255
        mpd-pipe += "1=bw 10480Kbyte/s"
        mpd-pipe += "5=bw 10480Kbyte/s"
        mpd-table-static += "3=192.168.144.250"
        MS-CHAP2-Success = 0x01533d37453045414541313831424536323843424136443838443532413044464431453039343134424432
        MS-MPPE-Recv-Key = 0x0d7082dc48e5977b1c606f9241cc6718
        MS-MPPE-Send-Key = 0x8e073b99ed1850b04be2f173b0621831
        MS-MPPE-Encryption-Policy = 0x00000001
        MS-MPPE-Encryption-Types = 0x00000006
 
 
 ipfw pipe show
10000:  83.840 Mbit/s    0 ms burst 0
q141072  50 sl. 0 flows (1 buckets) sched 75536 weight 0 lmax 0 pri 0 droptail
 sched 75536 type FIFO flags 0x0 0 buckets 0 active
10001:  83.840 Mbit/s    0 ms burst 0
q141073  50 sl. 0 flows (1 buckets) sched 75537 weight 0 lmax 0 pri 0 droptail
 sched 75537 type FIFO flags 0x0 0 buckets 0 active
 
ipfw table all list
---table(2)---
192.168.174.0/24 0
---table(3)---
192.168.144.250/32 0
---table(9)---
192.168.0.61/32 0
 
звідки береться 83.840 Mbit/s ?
 
 
Edited by PartizanGZ

Share this post


Link to post
Share on other sites

Доброго времени суток.

 

Вот столкнулся с такой проблемой: ввёл на одном из NAS вторую подсеть (разбиваем сеть потихоньку), поднял 2 экземпляра NAT (белые IP навешаны алиасами), и концептуально всё работает. Кроме одной детали - 2-я подсеть не шейпится. При переводе тестового компа обратно с в 1-ю подсеть - всё работает адекватно - комп получает настройки по DHCP, работает и кушать не просит. При переводе опять во 2-ю - получает, работает, но шейпер фурычить отказывается.

 

После разбора полётов, вижу, что со стороны биллинга при отработке OnConnect всё происходит нормально - требуемый IP попадает в таблицы 3 и 4 как полагается. Но шейпит-то NAS, а в нём как раз при переводе во 2-ю подсеть - нужный айпишник в таблицах 3 и 4 НЕ ПОЯВЛЯЕТСЯ. Скрипт OnConnect не менялся. Есть подозрение на неправильное правило с пайпами, но по идее они для всех таблиц должны действовать...

 

Вопрос: ЧЯДНТ?

 

/etc/firewall.conf выглядит так:

 

#!/bin/sh
 
# Interfaces setup
LAN_IF="em1"
WAN_IF="em0"
 
# Netflow stats (Ubilling external IP must be here)
/usr/local/sbin/softflowd -i ${LAN_IF} -n 192.168.100.2:42111
 
# Firewall command
FwCMD="/sbin/ipfw -q"
 
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} table all flush
 
# Networks define
${FwCMD} table 9 add 192.168.100.0/23
${FwCMD} table 9 add 192.168.200.0/23
${FwCMD} table 9 add 5.4.3.3/32
${FwCMD} table 9 add 5.4.3.5/32
 
# NAT2
${FwCMD} nat 1 config log ip 5.4.3.3 reset same_ports deny_in
${FwCMD} nat 2 config log ip 5.4.3.5 reset same_ports deny_in
${FwCMD} table 30 add 192.168.100.0/23 1
${FwCMD} table 30 add 192.168.200.0/23 2
${FwCMD} table 31 add 5.4.3.3 1
${FwCMD} table 31 add 5.4.3.5 2
${FwCMD} add 6000 nat tablearg ip from table\(30\) to not table\(9\) via ${WAN_IF}
${FwCMD} add 6001 nat tablearg ip from any to table\(31\) via ${WAN_IF}
 
# Shape
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in
 
# Security and BitTorrent block rules
${FwCMD} add 3 deny ip6 from any to any
${FwCMD} add 3 deny all from any to any dst-port 1337,2710,3277,5351,6889-6999,7266,7272,49001 via ${LAN_IF} in
 
# Allow access to my Ubilling server
${FwCMD} add 101 allow all from 192.168.100.2 to any
${FwCMD} add 101 allow all from any to 192.168.100.2
${FwCMD} add 101 allow all from 192.168.200.2 to any
${FwCMD} add 101 allow all from any to 192.168.200.2
 
# Allow access to me
${FwCMD} add 102 allow all from 192.168.100.1 to any
${FwCMD} add 102 allow all from any to 192.168.100.1
${FwCMD} add 102 allow all from 192.168.200.1 to any
${FwCMD} add 102 allow all from any to 192.168.200.1
 
# Allow access over SSH from LAN and deny SSH snd DNS from Internet to me
${FwCMD} add 9 allow ip from any to me dst-port 22 via ${LAN_IF}
${FwCMD} add 10 deny all from any to me dst-port 22,53 via ${WAN_IF}
 
# Debtors forwarding
${FwCMD} add 4 allow ip from table\(30\) to me dst-port 80 via ${LAN_IF}
${FwCMD} add 4 allow ip from me to table\(30\) src-port 80 via ${LAN_IF}
${FwCMD} add 4 allow ip from table\(31\) to me dst-port 80 via ${LAN_IF}
${FwCMD} add 4 allow ip from me to table\(31\) src-port 80 via ${LAN_IF}
${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80
${FwCMD} add 7 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 443
 
${FwCMD} table 7 add 127.0.0.1
${FwCMD} table 7 add 192.168.100.1
${FwCMD} table 7 add 192.168.100.2
${FwCMD} table 7 add 192.168.200.1
${FwCMD} table 7 add 192.168.200.2
${FwCMD} add 5 skipto 8 ip from table\(47\) to table\(7\)
${FwCMD} add 5 skipto 8 ip from table\(7\) to table\(47\)
 
# Allow access to my http for all
${FwCMD} add 62000 allow tcp from any to me dst-port 80
${FwCMD} add 62000 allow tcp from me to any src-port 80
 
# Default block policy
#${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any
 
# ==== CUSTOM FIREWALL CONFIG ====
 
${FwCMD} add 62100 allow tcp from table\(2\) to table\(17\) dst-port 80
${FwCMD} add 62100 allow tcp from table\(17\) to table\(2\) src-port 80
Edited by ISK

Share this post


Link to post
Share on other sites

Я вот боюсь спросить, вдруг камнями будут бить за очевидные вопросы.

Сеть для наса то добавили?

И возможно новая сеть не сможет инициализироваться до перезапуска старгейзера.

Вроде ж уже кучу раз обсуждалось.

Share this post


Link to post
Share on other sites
Сеть для наса то добавили?

Сеть, услугу, шаблон DHCP, NAS для подсети, очевидно же... 

 

 

И возможно новая сеть не сможет инициализироваться до перезапуска старгейзера. Вроде ж уже кучу раз обсуждалось

 

Дык в том-то и дело - работает ВСЁ кроме шейпера. И да, в биллинге айпи в таблицах 3 и 4 есть, а в НАСе - НЕТ.

 

Если бы всё было так очевидно, я бы не задавал вопросов. :unsure:

Edited by ISK

Share this post


Link to post
Share on other sites

А чего ему работать, если в 3 и 4 их нету?

Как уже сказал l1ght - проверьте доступность наса с rscriptd биллингом, перезапустите старгейзер и пырьтесь в tail -f /var/stargazer/allconnect.log.

 

PS куда и зачем вы пропили 2-ю табличку, я так и не понял.

Share this post


Link to post
Share on other sites

Просто пропил и всё. :)  Она ж всё равно не нужна - натятся теперь 30 и 31 таблицы и вроде адекватно.

 

Спасибо за советы, ув. гуру, ВСЁ заработало! Таки да, забыл перезапустить stargazer... :facepalm:

Edited by ISK

Share this post


Link to post
Share on other sites

По поиску в доке не нашел настроек модуля "Движения средств"

Ранее данный модуль показывал при размытой АП снятия средств. Stargazer логирует, Ubilling только помесячные начисления.

Share this post


Link to post
Share on other sites

 

По поиску в доке не нашел настроек модуля "Движения средств"

Там ровно две опции влияющих на этот модуль - SPREAD_FEE а также STG_LOG_PATH.

 

http://wiki.ubilling.net.ua/doku.php?id=alteriniconf

 

 

Да, так и есть, но результат к сожалению тот же.

Да, я понимаю всю иронию миграции с FreeBSD на Ubuntu, да и еще в контейнер ovz. Все побитые пути вроде почекал и кое как все дышит. Но логи все так же не пишутся каждый день в Ubilling.

Share this post


Link to post
Share on other sites

підскажіть будь ласка, щоб в кабінеті користувача в подробно ще відоражалося radius.log ?

Share this post


Link to post
Share on other sites

Привет,  что за ошибка возникает при выборе меню для смены мак ?

 

Warning: syntax error, unexpected $end, expecting TC_DOLLAR_CURLY or TC_QUOTED_STRING or '"' in ./config/alter.ini on line 495 in /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195

чего оно ругается не пойму, вроде как смотрел ничего нету криминального. 

Share this post


Link to post
Share on other sites

Привет,  что за ошибка возникает при выборе меню для смены мак ?

 

 

Warning: syntax error, unexpected $end, expecting TC_DOLLAR_CURLY or TC_QUOTED_STRING or '"' in ./config/alter.ini on line 495 in /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195
чего оно ругается не пойму, вроде как смотрел ничего нету криминального.

у вас че-то криминальное походу в alter.ini. Какая версия ubilling к слову?

Share this post


Link to post
Share on other sites

 

 

0.7.8 rev 5110

Закапывайте, оно давно сдохло.

 

Ну и смотрите, чего там у вас в alter.ini в 495 строке такого стремного.

Share this post


Link to post
Share on other sites

в том то и дело нету там ничего, последняя строка 494.  

В    

 /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195  

под 1195 строкой вот такие данные 
 

    $alter_conf=parse_ini_file(CONFIG_PATH.'alter.ini');

Edited by weekend

Share this post


Link to post
Share on other sites

заступорило на одній проблемі.....

чи можливо якось прикрутити логи логування абонента в білінг по логіх радіуса(pppoe)

без атрибута Calling-Station-Id проходе логування без первірки по маку

Auth: Login OK: [12345] (from client nas port 7 cli 00:0f:b0:5f:16:00)

з атрибутом Calling-Station-Id

Auth: Login incorrect: [12345/<via Auth-Type = MSCHAP>] (from client nas port 8 cli 00:0f:b0:5f:16:f2)

поки не бити з логу радіуса правильний мак(00:0f:b0:5f:16:f2) тоді все ок.....

вот питання, якби то цей лог побпчити десь в менюшці а не в консолі  :wacko:

мак в Неизвесниє мак адреса появляється, але вот кому він належить.....

Edited by PartizanGZ

Share this post


Link to post
Share on other sites

Всем привет
Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Share this post


Link to post
Share on other sites

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

Share this post


Link to post
Share on other sites

Добрый день, народ подскажите как правильно создать alias на vlan ?

так в rc.config

ifconfig_igb0="up"
cloned_interfaces="vlan500"
ifconfig_vlan500="vlan 500 vlandev igb0 10.10.10.1  netmask 255.255.252.0"

я так понимаю, что нужно дописать эту строчку ?
ifconfig_vlan500_alias0="vlan 500 vlandev igb0 172.32.0.1 netmask 255.255.240.0 up"

или

ifconfig_vlan500_alias0="inet 172.32.0.1 netmask 255.255.240.0"

Share this post


Link to post
Share on other sites

 

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

 

ок.понял,спасибо а тогда в доке про mikrotikapi

/ip service set api port=8728 address=10.0.0.254 disabled=no

вот это строку а именно вместо ип 10.0.0.254 нужно писать ип моего биллинга правилно ли я понял

Share this post


Link to post
Share on other sites

 

 

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

 

ок.понял,спасибо а тогда в доке про mikrotikapi

/ip service set api port=8728 address=10.0.0.254 disabled=no

вот это строку а именно вместо ип 10.0.0.254 нужно писать ип моего биллинга правилно ли я понял

 

Мой вопрос понял,нужно было повнемательно читать документацию))

так вот осталось один вопрос про ип 10.0.0.1 10.0.0.254 

10.0.0.1 это bridge микротика а 10.0.0.254 это локалка сервера ubilling и у них на двиох маска 24,это для чего не подскажете

Edited by Vadimvad

Share this post


Link to post
Share on other sites

Всем добрый день
Не подскажете информация на ссилке еще актуално,можно с этой статей создать удаленный микротик нас
https://nixrecords.wordpress.com/2015/07/20/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-remote-mikrotik-nas-%D0%B8%D0%B7-ubilling/

Share this post


Link to post
Share on other sites

Добрый день, уважаемые гуру.

 

По поводу моего недавнего обращения к Вам по поводу инициализации подсетей - да, всё работало, но ровно до того момента, когда случилась гроза и ВНЕЗАПНО отключилось питание (UPS  не выдержал). И, всё накрылось! Конечно не всё - всё работает, кроме шейпера. Перезапуск stargazer не помогает. В таблицах 3 и 4 соответствующий IP появляется, как со стороны биллинга, так и со стороны NAS, но шейпер упорно не хочет работать (dummynet скомпилирован в ядре).

 

Настройки фаервола не менялись. Со стороны биллинга тоже никаких настроек не менялось. 

 

ЧЯДНТ?

Edited by ISK

Share this post


Link to post
Share on other sites

 

 

стороны NAS

NAS  на чем? микрот? 

Share this post


Link to post
Share on other sites

 

 

NAS на чем? микрот?

ORLY?

 

 

 

В таблицах 3 и 4 соответствующий IP появляется

 

 

 

ЧЯДНТ?

# cat /etc/sysctl.conf

# cat /boot/loader.conf

 

#ipfw show

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Yewhenyi
      DNS-320L  сетевое дисковое хранилище с отсеком на два жестких диска и поддержкой сервиса mydlink. 
      Является удобным решением для организации совместного доступа и осуществления резервного копирования важных данных путем создания персонального “облака”. 
      Состояние: рабочее. Есть незначительные царапины, потертости на корпусе.
       
      Комплектация полная.
       
      Доставка по Украине почтовыми службами ИНТАЙМ, НОВАЯ ПОЧТА. 
      Приобрести в Киеве можно самовывозом в районе метро Минская.
       
      Цена 960 грн.
       
      Ответим на ваши вопросы по телефону или в сообщениях!
       
      +38(067)958 22 65
      +38(093)958 22 65
       
      Характеристики:
      Поддерживаемые типы жестких дисков*
      • Внутренний 3.5" SATA I/II
      • Емкость жесткого диска: до 8 ТБ1
       
      Порты
      • Порт 10/100/1000 Gigabit Ethernet
      • Порт USB 2.0
      • Питание
      Стандарты
      • IEEE 802.3
      • IEEE 802.3ab
      • IEEE 802.3u
      • TCP/IP
      • CIFS/SMB
      • NFS
      • AFP
      • DHCP-клиент
      • DDNS
      • NTP
      • FTP over SSL/TLS/FXP
      • HTTP/HTTPS
      • LLTD
      • PnP-X
      • UPnP AV
      • USB 2.0
      • Bonjour
      • WebDAV

      Индикаторы
      • Power
      • USB
      • LAN (на порту LAN)
      • HDD 1
      • HDD 2
       
      Функциональные возможности
      Управление диском
      • Несколько конфигураций жестких дисков
        + RAID 0
        + RAID 1
        + JBOD
        + Standard
      • Миграция RAID: из Standard в RAID 1
      • Формат файловой системы: EXT4
      • Сканирование диска
      • S.M.A.R.T.
      • Поддержка расширенного формата HDD (Advanced Format)
       
      Управление учетными записями
      • Управление учетными записями пользователей
      • Управление учетными записями групп
      • Управление квотами пользователей/групп
      • Управление сетевым доступом
      • Управление монтированием образов дисков
       
      Управление загрузками
      • Расписание загрузок по HTTP/FTP
      • Загрузка Peer to peer (P2P)
      Мультимедиа
      • DLNA-сервер
      • iTunes-сервер
      • Приложение My Surveillance (видеонаблюдение)
      • Пакеты приложений Addons
       
      Управление резервным копированием
      • Расписание резервного копирования с ПК на NAS (D-Link ShareCenter Sync)
      • Расписание локального резервного копирования
      • Расписание удаленного резервного копирования
      • Поддержка функции Apple Time Machine
      • Резервное копирование USB-устройств
      • Резервное копирование хранилища Cloud (Amazon S3) 
       
      Управление устройством
      • Поддержка браузера:
        + Internet Explorer 7 или выше
        + Mozilla Firefox 3 или выше
        + Apple Safari 4 или выше
      • Мастер установки системы (Win / Mac)
      • Утилита D-Link Storage (Win / Mac)
      • Уведомления по e-mail
      • Уведомления по SMS
      • Журнал системный/FTP
      • Функциональные возможности принт-сервера
       
      Управление питанием
      • Режим сохранения энергии
      • Автоматическое восстановление питания
      • Выключение питания по расписанию
      • Управление скоростью вентилятора
      • D-Link Green Ethernet
      • Поддержка подключения к ИБП (через USB)
       
      Удаленный совместный доступ к файлам
      • Файловый Web-сервер
      • FTP-сервер
      • WebDAV
      • Доступ с мобильного устройства
      • Доступ с портала mydlink
       
      Совместный доступ к файлам
      • Макс. количество учетных записей пользователей: 256 пользователей
      • Макс. количество учетных записей групп: 32 группы
      • Макс. количество общих папок: 128 папок
      • Макс. количество одновременных Samba-соединений: 64 соединения
      • Макс. количество одновременных FTP-соединений: 10 соединений.
       


    • By Ivan_pro100_5
      Кто сможет настроить и установить биллинг за фин.помощь. сумму в личку
    • By Інет.укр
      Продам старенький NAS на  борту 4x250Gb hdd
      ціна 999грн можливий торг






    • By Oleg2018
      При тестовой проверке в дебаг режиме вываливается pap: WARNING: Authentication will fail unless a "known good" password is available и в результате запрос игнорирует. Понимаю что не воспринимает пароль. Все делал строго по инструкции. Кто сталкивался и как решал?
    • By Oleg2018
      Связка ubilling + nas (cisco ASR 1002) + кучаген работает, клиентская машина ип получает, пинги на 8.8.8.8 идут а вот интернета нет. На запрос nslookup  получаю ответ dns request timed out Can`t find server name for address 8.8.8.8/ю Помогите разобраться 
×