Jump to content
Local
mgo

Ubilling + NAS на FreeBSD бортжурнал починаючого адміна

Recommended Posts

прошу допомоги, залишилося малость....

радіус передає атрибути

Sending Access-Accept of id 208 to 192.168.0.61 port 10496
        Framed-IP-Address = 192.168.144.250
        Framed-IP-Netmask = 255.255.255.255
        mpd-pipe += "1=bw 10480Kbyte/s"
        mpd-pipe += "5=bw 10480Kbyte/s"
        mpd-table-static += "3=192.168.144.250"
        MS-CHAP2-Success = 0x01533d37453045414541313831424536323843424136443838443532413044464431453039343134424432
        MS-MPPE-Recv-Key = 0x0d7082dc48e5977b1c606f9241cc6718
        MS-MPPE-Send-Key = 0x8e073b99ed1850b04be2f173b0621831
        MS-MPPE-Encryption-Policy = 0x00000001
        MS-MPPE-Encryption-Types = 0x00000006
 
 
 ipfw pipe show
10000:  83.840 Mbit/s    0 ms burst 0
q141072  50 sl. 0 flows (1 buckets) sched 75536 weight 0 lmax 0 pri 0 droptail
 sched 75536 type FIFO flags 0x0 0 buckets 0 active
10001:  83.840 Mbit/s    0 ms burst 0
q141073  50 sl. 0 flows (1 buckets) sched 75537 weight 0 lmax 0 pri 0 droptail
 sched 75537 type FIFO flags 0x0 0 buckets 0 active
 
ipfw table all list
---table(2)---
192.168.174.0/24 0
---table(3)---
192.168.144.250/32 0
---table(9)---
192.168.0.61/32 0
 
звідки береться 83.840 Mbit/s ?
 
 
Edited by PartizanGZ

Share this post


Link to post
Share on other sites

Доброго времени суток.

 

Вот столкнулся с такой проблемой: ввёл на одном из NAS вторую подсеть (разбиваем сеть потихоньку), поднял 2 экземпляра NAT (белые IP навешаны алиасами), и концептуально всё работает. Кроме одной детали - 2-я подсеть не шейпится. При переводе тестового компа обратно с в 1-ю подсеть - всё работает адекватно - комп получает настройки по DHCP, работает и кушать не просит. При переводе опять во 2-ю - получает, работает, но шейпер фурычить отказывается.

 

После разбора полётов, вижу, что со стороны биллинга при отработке OnConnect всё происходит нормально - требуемый IP попадает в таблицы 3 и 4 как полагается. Но шейпит-то NAS, а в нём как раз при переводе во 2-ю подсеть - нужный айпишник в таблицах 3 и 4 НЕ ПОЯВЛЯЕТСЯ. Скрипт OnConnect не менялся. Есть подозрение на неправильное правило с пайпами, но по идее они для всех таблиц должны действовать...

 

Вопрос: ЧЯДНТ?

 

/etc/firewall.conf выглядит так:

 

#!/bin/sh
 
# Interfaces setup
LAN_IF="em1"
WAN_IF="em0"
 
# Netflow stats (Ubilling external IP must be here)
/usr/local/sbin/softflowd -i ${LAN_IF} -n 192.168.100.2:42111
 
# Firewall command
FwCMD="/sbin/ipfw -q"
 
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} table all flush
 
# Networks define
${FwCMD} table 9 add 192.168.100.0/23
${FwCMD} table 9 add 192.168.200.0/23
${FwCMD} table 9 add 5.4.3.3/32
${FwCMD} table 9 add 5.4.3.5/32
 
# NAT2
${FwCMD} nat 1 config log ip 5.4.3.3 reset same_ports deny_in
${FwCMD} nat 2 config log ip 5.4.3.5 reset same_ports deny_in
${FwCMD} table 30 add 192.168.100.0/23 1
${FwCMD} table 30 add 192.168.200.0/23 2
${FwCMD} table 31 add 5.4.3.3 1
${FwCMD} table 31 add 5.4.3.5 2
${FwCMD} add 6000 nat tablearg ip from table\(30\) to not table\(9\) via ${WAN_IF}
${FwCMD} add 6001 nat tablearg ip from any to table\(31\) via ${WAN_IF}
 
# Shape
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in
 
# Security and BitTorrent block rules
${FwCMD} add 3 deny ip6 from any to any
${FwCMD} add 3 deny all from any to any dst-port 1337,2710,3277,5351,6889-6999,7266,7272,49001 via ${LAN_IF} in
 
# Allow access to my Ubilling server
${FwCMD} add 101 allow all from 192.168.100.2 to any
${FwCMD} add 101 allow all from any to 192.168.100.2
${FwCMD} add 101 allow all from 192.168.200.2 to any
${FwCMD} add 101 allow all from any to 192.168.200.2
 
# Allow access to me
${FwCMD} add 102 allow all from 192.168.100.1 to any
${FwCMD} add 102 allow all from any to 192.168.100.1
${FwCMD} add 102 allow all from 192.168.200.1 to any
${FwCMD} add 102 allow all from any to 192.168.200.1
 
# Allow access over SSH from LAN and deny SSH snd DNS from Internet to me
${FwCMD} add 9 allow ip from any to me dst-port 22 via ${LAN_IF}
${FwCMD} add 10 deny all from any to me dst-port 22,53 via ${WAN_IF}
 
# Debtors forwarding
${FwCMD} add 4 allow ip from table\(30\) to me dst-port 80 via ${LAN_IF}
${FwCMD} add 4 allow ip from me to table\(30\) src-port 80 via ${LAN_IF}
${FwCMD} add 4 allow ip from table\(31\) to me dst-port 80 via ${LAN_IF}
${FwCMD} add 4 allow ip from me to table\(31\) src-port 80 via ${LAN_IF}
${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80
${FwCMD} add 7 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 443
 
${FwCMD} table 7 add 127.0.0.1
${FwCMD} table 7 add 192.168.100.1
${FwCMD} table 7 add 192.168.100.2
${FwCMD} table 7 add 192.168.200.1
${FwCMD} table 7 add 192.168.200.2
${FwCMD} add 5 skipto 8 ip from table\(47\) to table\(7\)
${FwCMD} add 5 skipto 8 ip from table\(7\) to table\(47\)
 
# Allow access to my http for all
${FwCMD} add 62000 allow tcp from any to me dst-port 80
${FwCMD} add 62000 allow tcp from me to any src-port 80
 
# Default block policy
#${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any
 
# ==== CUSTOM FIREWALL CONFIG ====
 
${FwCMD} add 62100 allow tcp from table\(2\) to table\(17\) dst-port 80
${FwCMD} add 62100 allow tcp from table\(17\) to table\(2\) src-port 80
Edited by ISK

Share this post


Link to post
Share on other sites

Я вот боюсь спросить, вдруг камнями будут бить за очевидные вопросы.

Сеть для наса то добавили?

И возможно новая сеть не сможет инициализироваться до перезапуска старгейзера.

Вроде ж уже кучу раз обсуждалось.

Share this post


Link to post
Share on other sites
Сеть для наса то добавили?

Сеть, услугу, шаблон DHCP, NAS для подсети, очевидно же... 

 

 

И возможно новая сеть не сможет инициализироваться до перезапуска старгейзера. Вроде ж уже кучу раз обсуждалось

 

Дык в том-то и дело - работает ВСЁ кроме шейпера. И да, в биллинге айпи в таблицах 3 и 4 есть, а в НАСе - НЕТ.

 

Если бы всё было так очевидно, я бы не задавал вопросов. :unsure:

Edited by ISK

Share this post


Link to post
Share on other sites

А чего ему работать, если в 3 и 4 их нету?

Как уже сказал l1ght - проверьте доступность наса с rscriptd биллингом, перезапустите старгейзер и пырьтесь в tail -f /var/stargazer/allconnect.log.

 

PS куда и зачем вы пропили 2-ю табличку, я так и не понял.

Share this post


Link to post
Share on other sites

Просто пропил и всё. :)  Она ж всё равно не нужна - натятся теперь 30 и 31 таблицы и вроде адекватно.

 

Спасибо за советы, ув. гуру, ВСЁ заработало! Таки да, забыл перезапустить stargazer... :facepalm:

Edited by ISK

Share this post


Link to post
Share on other sites

По поиску в доке не нашел настроек модуля "Движения средств"

Ранее данный модуль показывал при размытой АП снятия средств. Stargazer логирует, Ubilling только помесячные начисления.

Share this post


Link to post
Share on other sites

 

По поиску в доке не нашел настроек модуля "Движения средств"

Там ровно две опции влияющих на этот модуль - SPREAD_FEE а также STG_LOG_PATH.

 

http://wiki.ubilling.net.ua/doku.php?id=alteriniconf

 

 

Да, так и есть, но результат к сожалению тот же.

Да, я понимаю всю иронию миграции с FreeBSD на Ubuntu, да и еще в контейнер ovz. Все побитые пути вроде почекал и кое как все дышит. Но логи все так же не пишутся каждый день в Ubilling.

Share this post


Link to post
Share on other sites

підскажіть будь ласка, щоб в кабінеті користувача в подробно ще відоражалося radius.log ?

Share this post


Link to post
Share on other sites

Привет,  что за ошибка возникает при выборе меню для смены мак ?

 

Warning: syntax error, unexpected $end, expecting TC_DOLLAR_CURLY or TC_QUOTED_STRING or '"' in ./config/alter.ini on line 495 in /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195

чего оно ругается не пойму, вроде как смотрел ничего нету криминального. 

Share this post


Link to post
Share on other sites

Привет,  что за ошибка возникает при выборе меню для смены мак ?

 

 

Warning: syntax error, unexpected $end, expecting TC_DOLLAR_CURLY or TC_QUOTED_STRING or '"' in ./config/alter.ini on line 495 in /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195
чего оно ругается не пойму, вроде как смотрел ничего нету криминального.

у вас че-то криминальное походу в alter.ini. Какая версия ubilling к слову?

Share this post


Link to post
Share on other sites

 

 

0.7.8 rev 5110

Закапывайте, оно давно сдохло.

 

Ну и смотрите, чего там у вас в alter.ini в 495 строке такого стремного.

Share this post


Link to post
Share on other sites

в том то и дело нету там ничего, последняя строка 494.  

В    

 /usr/local/www/apache24/data/billing/api/libs/api.networking.php on line 1195  

под 1195 строкой вот такие данные 
 

    $alter_conf=parse_ini_file(CONFIG_PATH.'alter.ini');

Edited by weekend

Share this post


Link to post
Share on other sites

заступорило на одній проблемі.....

чи можливо якось прикрутити логи логування абонента в білінг по логіх радіуса(pppoe)

без атрибута Calling-Station-Id проходе логування без первірки по маку

Auth: Login OK: [12345] (from client nas port 7 cli 00:0f:b0:5f:16:00)

з атрибутом Calling-Station-Id

Auth: Login incorrect: [12345/<via Auth-Type = MSCHAP>] (from client nas port 8 cli 00:0f:b0:5f:16:f2)

поки не бити з логу радіуса правильний мак(00:0f:b0:5f:16:f2) тоді все ок.....

вот питання, якби то цей лог побпчити десь в менюшці а не в консолі  :wacko:

мак в Неизвесниє мак адреса появляється, але вот кому він належить.....

Edited by PartizanGZ

Share this post


Link to post
Share on other sites

Всем привет
Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Share this post


Link to post
Share on other sites

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

Share this post


Link to post
Share on other sites

Добрый день, народ подскажите как правильно создать alias на vlan ?

так в rc.config

ifconfig_igb0="up"
cloned_interfaces="vlan500"
ifconfig_vlan500="vlan 500 vlandev igb0 10.10.10.1  netmask 255.255.252.0"

я так понимаю, что нужно дописать эту строчку ?
ifconfig_vlan500_alias0="vlan 500 vlandev igb0 172.32.0.1 netmask 255.255.240.0 up"

или

ifconfig_vlan500_alias0="inet 172.32.0.1 netmask 255.255.240.0"

Share this post


Link to post
Share on other sites

 

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

 

ок.понял,спасибо а тогда в доке про mikrotikapi

/ip service set api port=8728 address=10.0.0.254 disabled=no

вот это строку а именно вместо ип 10.0.0.254 нужно писать ип моего биллинга правилно ли я понял

Share this post


Link to post
Share on other sites

 

 

Всем привет

Ребят подскажете для подключение наса mikkrotik  с реалной IP,обязательно на сервере Ubilling имет 2 lan карт?

Нет, конечно!

 

ок.понял,спасибо а тогда в доке про mikrotikapi

/ip service set api port=8728 address=10.0.0.254 disabled=no

вот это строку а именно вместо ип 10.0.0.254 нужно писать ип моего биллинга правилно ли я понял

 

Мой вопрос понял,нужно было повнемательно читать документацию))

так вот осталось один вопрос про ип 10.0.0.1 10.0.0.254 

10.0.0.1 это bridge микротика а 10.0.0.254 это локалка сервера ubilling и у них на двиох маска 24,это для чего не подскажете

Edited by Vadimvad

Share this post


Link to post
Share on other sites

Всем добрый день
Не подскажете информация на ссилке еще актуално,можно с этой статей создать удаленный микротик нас
https://nixrecords.wordpress.com/2015/07/20/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-remote-mikrotik-nas-%D0%B8%D0%B7-ubilling/

Share this post


Link to post
Share on other sites

Добрый день, уважаемые гуру.

 

По поводу моего недавнего обращения к Вам по поводу инициализации подсетей - да, всё работало, но ровно до того момента, когда случилась гроза и ВНЕЗАПНО отключилось питание (UPS  не выдержал). И, всё накрылось! Конечно не всё - всё работает, кроме шейпера. Перезапуск stargazer не помогает. В таблицах 3 и 4 соответствующий IP появляется, как со стороны биллинга, так и со стороны NAS, но шейпер упорно не хочет работать (dummynet скомпилирован в ядре).

 

Настройки фаервола не менялись. Со стороны биллинга тоже никаких настроек не менялось. 

 

ЧЯДНТ?

Edited by ISK

Share this post


Link to post
Share on other sites

 

 

стороны NAS

NAS  на чем? микрот? 

Share this post


Link to post
Share on other sites

 

 

NAS на чем? микрот?

ORLY?

 

 

 

В таблицах 3 и 4 соответствующий IP появляется

 

 

 

ЧЯДНТ?

# cat /etc/sysctl.conf

# cat /boot/loader.conf

 

#ipfw show

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By dimonian
      Не получается настроить SMSPILOT, все сделал по инструкции: включил собаку-посылаку, включил SMSZILLA, установил длину номера и код (раскоментировал строки и установил значение), вставил API-ключ, создал список номеров и у клиентов указал номера телефонов. При попытке отправить сообщение клиентам, номера не извлекаются (фильтр настроен, как "отправить всем"). При попытке отправить на номера из списка возникает ошибка Warning: strpos(): Empty needle in /usr/local/www/apache24/data/billing/api/libs/api.workaround.php on line 2813.
      Пробовал на чистом Биллинге, сообщения ставятся в очередь, но не отсылаются. На сервис смс не приходит запрос от Биллинга. Номера извлекаются из списка номеров но Notice: Undefined index: mobile in /usr/local/www/apache24/data/billing/api/libs/api.smszilla.php on line 3093
    • By vovvw
      Здравствуйте, господа форумчане. Помогите пожалуйста решить проблемку с убилингом:
      У абонов нет интернета на новой подсети. Айпи выдаются, шлюз пингуется, интернета нет.
      Система ubuntu 18.04
    • By dimonian
      при настройке smspilot возникла проблема, smszilla и собакапосылака включены, api указан- (баланс счета в биллинге виден)-однако сообщения ставятся в очередь но не отсылаются, на стороне smspilot запросов api нет. При некоторых манипуляциях с телефонами возникает ошибка: 
      Warning: strpos(): Empty needle in /usr/local/www/apache24/data/billing/api/libs/api.workaround.php on line 2813
      Прошу прощения за возможно глупый вопрос.
    • By DAnEq
      root@nas-bras:~/ubinstaller/nas_preconf # ./autosetup.sh ./autosetup.sh: Permission denied.
      ладно, мы не гордые
      root@nas-bras:~/ubinstaller/nas_preconf # sh autosetup.sh The package management tool is not yet installed on your system. Do you want to fetch and install it now? [y/N]: y Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/FreeBSD:11:amd64/quarterly, please wait... Verifying signature with trusted certificate pkg.freebsd.org.2013102301... done Installing pkg-1.11.1... Extracting pkg-1.11.1: 100% pkg-1.11.1 Package manager pkgng.installer: pkg2ng: not found NAS_120_64.tar.gz 100% of 99 MB 8287 kBps 00m12s x NAS_120_64/trafshow-5.2.3_2,1.txz далее куча сообщений подобного рода
      и потом
      Installing bandwidthd-2.0.1_11...
      pkg: wrong architecture: FreeBSD:12:amd64 instead of FreeBSD:11:amd64
      и так еще 62 пакета
       
      потом соответственно куча FAIL! not found No such file or directory
       
      но
       
      uname -a
      FreeBSD nas-bras 11.2-RELEASE FreeBSD 11.2-RELEASE #0 r335510: Fri Jun 22 04:32:14 UTC 2018     root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64

      такая же самая на которую на соседней виртуалке без проблем накатил убиллинг

      вопрос.
      что взять для наса ?
      11.0 или 11.1 ?
    • By reductor
      Помогите правильно настроить модуль "По ком звонит колокол" 
      Как правильно сделать запись в Кронтаб asterisk - возможен следующий запрос: /?module=remoteapi&key=[ubserial]&action=asterisk&number=[mobile_number]&param=[login|realname|swstatus]
×