Jump to content
Local
mgo

Ubilling + NAS на FreeBSD бортжурнал починаючого адміна

Recommended Posts

а я б пайпы смотрел

Share this post


Link to post
Share on other sites

 

 

dummynet скомпилирован в ядре
 

возможно после перезагрузки применились параметры /etc/sysctl.conf , 

для шейпинга там должна присутствовать строчка

net.inet.ip.dummynet.io_fast=1

Share this post


Link to post
Share on other sites

Доброе утро.

 

 

 

NAS  на чем? микрот?

Нет - rscriptd.

 

 

 

dummynet скомпилирован в ядре

Конечно же.

 

 

 

net.inet.ip.dummynet.io_fast=1

Так и есть, присутствует.

 

 

 

а я б пайпы смотрел

А вот том-то и дело, что ipfw pipe show ровным счётом ничего не выдаёт.

Share this post


Link to post
Share on other sites

 

 

А вот том-то и дело, что ipfw pipe show ровным счётом ничего не выдаёт.

где смотрим? на НАСе или на билинге? 

Share this post


Link to post
Share on other sites
# cat /etc/sysctl.conf
# custom NAS config
net.inet.ip.fw.one_pass=1
net.inet.tcp.nolocaltimewait=1
net.inet.ip.portrange.randomized=0
net.inet.ip.portrange.first=1024
net.inet.ip.portrange.last=65535
net.inet.ip.forwarding=1
net.inet.ip.dummynet.io_fast=1
 
# hardcore
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
net.inet.icmp.drop_redirect=1
#net.inet.icmp.log_redirect=0
#net.inet.ip.redirect=0
#net.inet.ip.sourceroute=0
#net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
net.inet.tcp.drop_synfin=1
net.inet.tcp.syncookies=1
net.inet.tcp.msl=15000
 
Тюнингов больше никаких.
 

 

# cat /boot/loader.conf
kern.hz="1000"
ipfw_load="YES"
net.inet.ip.fastforwarding=1
net.inet.ip.fw.default_to_accept="1"
libalias_load="YES"
ipfw_nat_load="YES"
dummynet_load="YES"
# ногами сильно не пинать
pf_load="YES"
 
#some tuning
hw.em.rxd=4096
hw.em.txd=4096
hw.em.rx_process_limit=4096
hw.em.max_interrupt_rate=32000
 
kern.ipc.nmbclusters=34768
kern.ipc.nmbufs=141072
 
net.link.ifqmaxlen=10240
 
net.isr.direct=1
net.isr.defaultqlimit=4096
net.isr.direct_force=1
net.isr.dispatch=direct
net.isr.bindthreads=0
net.isr.numthreads=4
net.isr.maxthreads=8
net.isr.maxprot=8
net.isr.maxqlimit=10240
 
#hw.intr_storm_threshold=9000
 
Edited by ISK

Share this post


Link to post
Share on other sites

 

 

где смотрим? на НАСе или на билинге? 

на NAS конечно же. 

Share this post


Link to post
Share on other sites

И да, напоследок же: #cat /etc/firewall.conf

 

#!/bin/sh
 
# Interfaces setup
LAN_IF="em1"
WAN_IF="em0"
 
# Netflow stats (Ubilling external IP must be here)
/usr/local/sbin/softflowd -i ${LAN_IF} -n 5.155.155.250:42111
 
# Firewall command
FwCMD="/sbin/ipfw -q"
 
${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush
${FwCMD} table all flush
 
# Networks define
${FwCMD} table 2 add 192.168.100.0/23
${FwCMD} table 2 add 192.168.200.0/23
${FwCMD} table 9 add 192.168.100.0/23
${FwCMD} table 9 add 192.168.200.0/23
${FwCMD} table 9 add 5.155.155.3/32
${FwCMD} table 9 add 5.155.155.5/32
 
# Me and my Ubilling server
${FwCMD} table 33 add 192.168.15.2/31
${FwCMD} table 33 add 192.168.100.1/31
${FwCMD} table 33 add 192.168.200.1/31
 
# NAT2 migrated to PF
#${FwCMD} nat 1 config log ip 5.155.155.3 reset same_ports deny_in
#${FwCMD} nat 2 config log ip 5.155.155.5 reset same_ports deny_in
#${FwCMD} table 30 add 192.168.100.0/23 1
#${FwCMD} table 30 add 192.168.200.0/23 2
#${FwCMD} table 31 add 5.155.155.3 1
#${FwCMD} table 31 add 5.155.155.5 2
#${FwCMD} add 6000 nat tablearg ip from table\(30\) to not table\(9\) via ${WAN_IF}
#${FwCMD} add 6001 nat tablearg ip from any to table\(31\) via ${WAN_IF}
 
# Shape
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in
 
# Security and BitTorrent block rules
${FwCMD} add 3 deny ip6 from any to any
${FwCMD} add 3 deny all from any to any dst-port 1337,2710,3277,5351,6889-6999,7266,7272
 
# Allow access to me and my Ubilling server
${FwCMD} add 101 allow all from table\(33\) to any
${FwCMD} add 101 allow all from any to table\(33\)
 
# Allow access over SSH from LAN and deny SSH snd DNS from Internet to me
${FwCMD} add 9 allow ip from any to me dst-port 22 via ${LAN_IF}
${FwCMD} add 10 deny all from any to me dst-port 22,53 via ${WAN_IF}
 
# Debtors forwarding and DNS rule
${FwCMD} add 4 allow ip from table\(2\) to me dst-port 80,443 via ${LAN_IF}
${FwCMD} add 4 allow ip from me to table\(2\) src-port 80,443 via ${LAN_IF}
${FwCMD} add 4 allow ip from table\(2\) to 192.168.15.2 dst-port 53 via ${LAN_IF}
${FwCMD} add 4 allow ip from 192.168.15.2 to table\(2\) src-port 53 via ${LAN_IF}
#${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 80
#${FwCMD} add 7 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 443
 
${FwCMD} table 7 add 127.0.0.1
${FwCMD} table 7 add 192.168.100.1
${FwCMD} table 7 add 192.168.100.2
${FwCMD} table 7 add 192.168.200.1
${FwCMD} table 7 add 192.168.200.2
${FwCMD} add 5 skipto 8 ip from table\(47\) to table\(7\)
${FwCMD} add 5 skipto 8 ip from table\(7\) to table\(47\)
 
# Allow access to my http for all
${FwCMD} add 62000 allow tcp from any to me dst-port 80
${FwCMD} add 62000 allow tcp from me to any src-port 80
 
# Default block policy
#${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any
 
# ==== CUSTOM FIREWALL CONFIG ====
 
${FwCMD} add 62100 allow tcp from table\(2\) to table\(17\) dst-port 80
${FwCMD} add 62100 allow tcp from table\(17\) to table\(2\) src-port 80
 
Вроде же всё норм. Но пайпы пустые и шейпинг не пашет:(

Share this post


Link to post
Share on other sites

Всем добрый день

Не подскажете информация на ссилке еще актуално,можно с этой статей создать удаленный микротик нас

https://nixrecords.wordpress.com/2015/07/20/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-remote-mikrotik-nas-%D0%B8%D0%B7-ubilling/

Не используйте бридж на микротике, а используйте встроенный свич.

Все пакеты в бридже обрабатываются программно. Была попытка сделать hw-offload для бридже на RouterOS 6.30.rc36, но она провалилась.

 

На самом микротике можно поднять кучу внутренних интерфейсов с абонентскими подсетями, как на каждом порту, так и несколько сетей на одном порту.

 

Если абоненты на микротике находятся в разных сетях с Ubilling, то не будет работать arp ping, поиск MAC адреса и т.п.

Но управление DHCP, firewall и queue работает.

Share this post


Link to post
Share on other sites

 

Всем добрый день

Не подскажете информация на ссилке еще актуално,можно с этой статей создать удаленный микротик нас

https://nixrecords.wordpress.com/2015/07/20/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-remote-mikrotik-nas-%D0%B8%D0%B7-ubilling/

Не используйте бридж на микротике, а используйте встроенный свич.

Все пакеты в бридже обрабатываются программно. Была попытка сделать hw-offload для бридже на RouterOS 6.30.rc36, но она провалилась.

 

На самом микротике можно поднять кучу внутренних интерфейсов с абонентскими подсетями, как на каждом порту, так и несколько сетей на одном порту.

 

Если абоненты на микротике находятся в разных сетях с Ubilling, то не будет работать arp ping, поиск MAC адреса и т.п.

Но управление DHCP, firewall и queue работает.

 

Спасибо за ответь,сделал экперимент,на мой взглядь лучше делать нас как в доке убиллинга микротик в качестве нас,там все просто

Share this post


Link to post
Share on other sites

Привет  

 

Подключили абонента все работало нормально, но в один момент начал не получать по дхцп 
в логи пишет 


Jul 22 23:23:29 Ubilling dhcpd: DHCPDISCOVER from e4:be:ed:50:6f:e5 via em0
Jul 22 23:23:29 Ubilling dhcpd: DHCPOFFER on 172.16.0.12 to e4:be:ed:50:6f:e5 via em0

куда копать ?  до этого работало нормально все


 

Share this post


Link to post
Share on other sites

спасибо, проблема решилась ))

Чем решилась и в чем проблема была хотя бы напиши

Share this post


Link to post
Share on other sites

Проблема с пон портом, сейчас ищем решение.  Интересная ситуация, виден мак роутера, но биллинг  не может присвоить по ДХЦП айпишку.  Впервые с таким встречаюсь. после перезагрузки всей пон карты все работает.  

Share this post


Link to post
Share on other sites

при попытке сменить скорость тарифа в билинге выскочила ошибка:

 

wrong data input: INSERT INTO `speeds` ( `id` , `tariff` , `speeddown` , `speedup` , `burstdownload` , `burstupload` , `bursttimedownload` , `burstimetupload` ) VALUES ( NULL , 'Home_extra', '0', '0', '', '', '', '' );

 

 

и в данный момент тариф без скорости, что случилось?

Share this post


Link to post
Share on other sites

аналогично убил еще один тариф, создал новый тариф, но при попытке установить скорость выскакивает та же ошибка..... 

Share this post


Link to post
Share on other sites

 

 

и в данный момент тариф без скорости, что случилось?

Криво обновились походу. Причем давно уже.

 

Покажите

1. и show create table `speeds`

2. cat /usr/local/www/apache24/data/billing/RELEASE

Share this post


Link to post
Share on other sites

 

 

show create table `speeds`

я не "силен" в мускуле, команда не "полная"?

 

 

 

cat /usr/local/www/apache24/data/billing/RELEASE

0.8.2 rev 5482

 

в ближайшее время обновлюсь до 0.8.3 

Share this post


Link to post
Share on other sites

 

 

Криво обновились походу.

оно!

Понадеялся на менеджер обновлений.....

Ввел вручную все рекомендации и все заработало. 

Share this post


Link to post
Share on other sites

1. Полная, полная. Вот ткнитее ее в девконсоль и просмотрите, чего она показывает. Мускуль так и учится :)

2. Та пора бы, там вагон хороших вещей, включая починки того, что мы сломали в 0.8.2.

Edited by nightfly

Share this post


Link to post
Share on other sites

підкажіть по абонплаті: 

якщо абонплата знімається раз в місяць, 5-го числа, чому в модулі Рух коштів, при залишку на рахунку 3грн пише: Поточний стан рахунку: 3, чого повинно вистачити, ще на 28 днів використання послуги або достатньо до 01.09.2017 згідно тарифу pon-50 (150 / місяць)

Як поправити?

Share this post


Link to post
Share on other sites

 

 

1. Полная, полная. Вот ткнитее ее в девконсоль и просмотрите, чего она показывает. Мускуль так и учится

я пробовал через командную строку, а нужно через консоль разработчика. 

Share this post


Link to post
Share on other sites

 

 

я пробовал через командную строку, а нужно через консоль разработчика.

:D

 

Share this post


Link to post
Share on other sites

как правильно очистить старые записи UHW? в журнале DHCP пишет:

 

Aug 8 19:35:20 Billing dhcpd: uid lease 172.32.0.170 for client xx:xx:xx:xx:xx:xx is duplicate on ourisp

Aug 8 19:35:20 Billing dhcpd: DHCPREQUEST for 172.16.1.99 from xx:xx:xx:xx:xx:xx via igb1

Aug 8 19:35:20 Billing dhcpd: DHCPACK on 172.16.1.99 to xx:xx:xx:xx:xx:xx via igb1

Edited by a_n_h

Share this post


Link to post
Share on other sites

как правильно очистить старые записи UHW? в журнале DHCP пишет:

 

Aug 8 19:35:20 Billing dhcpd: uid lease 172.32.0.170 for client xx:xx:xx:xx:xx:xx is duplicate on ourisp

Aug 8 19:35:20 Billing dhcpd: DHCPREQUEST for 172.16.1.99 from xx:xx:xx:xx:xx:xx via igb1

Aug 8 19:35:20 Billing dhcpd: DHCPACK on 172.16.1.99 to xx:xx:xx:xx:xx:xx via igb1

rm -rf /var/db/dhcpd.leases* && /usr/local/etc/rc.d/isc-dhcpd restart

И уменьшите время лизы

Share this post


Link to post
Share on other sites

 

 

rm -rf /var/db/dhcpd.leases* && /usr/local/etc/rc.d/isc-dhcpd restart
 

спасибо за ответ,

а смысл:

 

 

И уменьшите время лизы
 

у меня "по умолчанию" 1 час, сколько нужно "оптимально"?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By nightfly
      Не поверите, но оказалось так, что сегодня - отличный день для первого в этом году релиза. А именно Ubilling 1.0.4 rev 7269 yokai
       
      Коротко о изменениях:
      Изменения в структуре БД. см. дамп. alter.ini: новая опция VISOR_IN_PROFILE включающая контролы навигации в Visor. alter.ini: новая опция SMARTUP_ENABLED включающая базовую интеграцию со SmartUP alter.ini: новая необязательная опция ASTERISK_GET_FULL_CDR_CEL_DATA указывающая, что из таблиц астериска CEL и CDR следует доставать абсолютно все записи, не игнорируя записей со статусами «no answer», «hangup», «musiconhold». alter.ini: новая необязательная опция ASTERISK_SC_CHECK_ENABLED указывает, что не нужно просто брать и ставить абоненту кредит, а стоит сначала проверить целесообразность этого действия и доступность для данного лицевого счета. alter.ini: новая необязательная опция ASTERISK_SC_TARIFFSALLOWED имеет точно такое же значение, как и опция SC_TARIFFSALLOWED из userstats.ini alter.ini: новая опция ENVY_ENABLED включающая зависть. alter.ini: новая необязательная опция SMARTUP_NOCACHE отключающая использование кэшированных данных в SmartUP. Модуль «Отчет по АРПУ»: теперь должен чуть меньше разваливаться. Модуль «Редактор crontab»: теперь форматирование примечаний более вменяемое. Модуль «УКВ»: в отчеты добавлен контрол быстрого перехода в отчет по деталям подключения КТВ. Модуль «Visor»: минорные исправления юзабилити. Модуль «Профиль пользователя»: теперь умеет опционально показывать ссылку навигации в профиль связанного пользователя видеонаблюдения. Mikrotik API: кастомный API порт теперь используется не только расширенным конфигуратором микротикоНАСов, но динамическим шейпером для Mikrotik, и самим Старгейзером(при работе с Mikrotik через API, естественно). Модуль Это ловушка!: добавлена нотификация о ошибках связанных с невозможностью прочитать данные из источника. Модуль «Профиль пользователя»: небольшая оптимизация производительности. Модуль Склад: в отчеты для инвентаризации добавлено разделение на ТМЦ которые реально находятся на складе и забронированы. Новый модуль «Исправление необработанных платежей»: теперь доступен при просмотре платежей за конкретную дату. Новый модуль Зависть: позволяет сохранять конфиги ваших сетевых устройств и хранить их сколько нужно в архиве. Модуль «Теги пользователей»: логирование добавления и удаления тегов пользователям приведено к общему виду. Модуль «Живи с этим»: теперь текущие запланированные задачи запланированные на прошлое подсвечены красным, запланированные на сегодня - оранжевым. Модуль TrinityTV: исправлено добавление устройств по коду из административного интерфейса. Модуль «TrinityTV»: исправлено логирование при удалении устройств. Модуль «TrinityTV»: исправлено быстродействие показа списка подписок, при включении опции TRINITYTV_RDEVS. Модуль «TrinityTV»: добавлен отчет по присвоенным пользователям устройствам. Кабинет пользователя: обновлены оповещения модуля «OmegaTV». Кабинет пользователя: исправлены контролы модуля Megogo в Chrome для скина paper. Кабинет пользователя: исправлены контролы модулей TrinityTV и SweetTV для скина paper. RemoteAPI: новый вызов smartup. RemoteAPI: к вызову Asterisk добавлена новая возможность приостановки(заморозки) услуги абонента с проверкой на целесообразность и доступность этого действия для данного лицевого счета. RemoteAPI: установка кредита путем Asterisk вызова теперь так же умеет проверять целесообразность и доступность этого действия для данного лицевого счета. Контролируется опциями alter.ini ASTERISK_SC_CHECK_ENABLED и ASTERISK_SC_TARIFFSALLOWED. Сервер DHCP: Исправлена работа Option 82 для ZTE. Теперь поддерживает GPON (Serial number) в качестве идентификатора ONT. Выбор идентификатора основан на том к какой OLT привязана ONT, в свою очередь проверяем SNMP шаблон для нужного OLT. Если GPON - подставляем Serial Number, если EPON - подставляем MAC ONU. Глобально: в контролах выбора года теперь стало на один больше. Глобально: в контролах выбора даты улучшена подсветка текущей, выбранной и выбираемой дат.  
      Как всегда ссылочки здесь, и никуда не делись:
      Почитать полный чейнджлог: http://wiki.ubilling.net.ua/doku.php?id=changelog2020#rev_7269
      Ознакомиться с рекомендациями к обновлению: http://wiki.ubilling.net.ua/doku.php?id=relnotes#section104
      Потрогать руками демку: http://ubilling.net.ua/?module=fnpages&pid=demo
       

       
    • By esystems
      Доброе время суток
       
      Посдскажите пожалуйста как реализовать, так чтоб когда у пользователя закончились деньги на балансе ubilling. То появлялся сайт с информацыей что у Вас закончились средсва и вам нужно  перейти на сайт или зайти в личный кабинет и произвести оплату?
    • By Небесный
      Есть нужда сделать 3шт. NAS паралельно.
      1 NAS - роутер в мировую сеть.
      2 NAS - внутренние сервисы.
      3 NAS - внутренние сервисы.
      Не хочу внутренние сервисы пускать через первый НАС, дабы не нагружать, решил установить rscriptd на другие серваки, и что-бы они работали паралельно.
      Так вот в чем вопрос: "Может ли старгейзер работать паралельно с тремя rscriptd, если одна и така же сеть указана на всех трех НАС"?
       
      Пока пробую только Биллинг+НАС1+НАС2, третий пока не трогаю, дай разобраться с двумя НАСами.

      stargzer.conf
      LogFile = /var/log/stargazer.log PIDFile = /var/run/stargazer.pid Rules = /etc/stargazer/rules DetailStatWritePeriod = 1/6 StatWritePeriod = 30 DayFee = 1 DayFeeIsLastDay = no DayResetTraff = 1 SpreadFee = yes FreeMbAllowInet = no WriteFreeMbTraffCost = yes FullFee = yes <DirNames>     DirName0 = Internet     DirName1 =     DirName2 =     DirName3 =     DirName4 =     DirName5 =     DirName6 =     DirName7 =     DirName8 =     DirName9 = </DirNames> ExecutersNum = 2 ModulesPath = /usr/lib/stg MonitorDir=/var/stargazer/monitor FeeChargeType = 1 ReconnectOnTariffChange = yes <IncludeFile "conf-enabled.d/store_*.conf"> </IncludeFile> <Modules>     <IncludeFile "conf-enabled.d/mod_*.conf">     </IncludeFile> </Modules>  
      remote_nas.conf
      192.168.0.0/24 xxx.xxx.xxx.150 10.0.0.0/8 xxx.xxx.xxx.150 213.174.11.0/24 xxx.xxx.xxx.150 192.168.0.0/24 xxx.xxx.xxx.100 10.0.0.0/8 xxx.xxx.xxx.100 213.174.11.0/24 xxx.xxx.xxx.100 192.168.0.0/24 xxx.xxx.xxx.2 10.0.0.0/8 xxx.xxx.xxx.2 213.174.11.0/24 xxx.xxx.xxx.2  
       
      mod_remote_script.conf
      <Module remote_script>     SendPeriod = 10     SubnetFile = /etc/stargazer/remote_nas.conf     Password = 123456     UserParams = Tariff     Port = 9999 </Module>  
      На 1 NAS все работает, на 2 NAS не работает.
       
      Конфигурация 2 NAS
       
      LogFileName = /var/log/rscriptd.log ExecutersNum = 2 ConfigDir = /etc/rscriptd Password = 123456 Port = 9999 UserTimeout = 60 ScriptOnConnect = /etc/rscriptd/OnConnect ScriptOnDisconnect = /etc/rscriptd/OnDisconnect ps ax | grep stg
       6039 ?        S      0:00 stg-exec  6040 ?        S      0:00 stg-exec  6042 pts/1    S+     0:00 grep --color=auto stg  
       
      Есть подозрения, что старгейзер одну и ту же сеть не может на разные НАС пинать. Кто что скажет?
       
       
    • By Missterk
      Mikrotik ccr1036 - начинает сдыхать при трафике больше + - 2.8G наличие или отсутствие на нем Nat почти не влияет. (это около 3к авторизованных абонентов)
      Mikrotik ccr1072 - до предела еще не дошли, пережевывает 4G 3800-4500 авторизованных проц до 55% .(пока проблем нет но уже похоже подходит к концу еще мегов 500-1000 думаю прожует)
      Подключены в сеть одним 10G портом, также был ccr1036 с собранными в LACP 4шт по 1G портами, проблемы появлялись немного раньше чем 2.8G, естественно с коробки без легкого тюнинга они так не умеют
      Mikrotik ccr1072 - тупо как NAT в него стекается трафик от NAS`оф c разных сетей натит в разные пулы и так далее. Натит 15 гиг проц до 43% проблем нет.
      Из полезного:
      много ресурсов отжирает правила созданные по умолчанию хотспотом (заворот на себя 53 порта) поэтому создаем в шедулер правило которое будет его убивать при запуске микротика , если перезапустить хот спот руками то не забываем убить правило в фаерволе.
      /system scheduler add name=dns on-event=":delay 30;\r\ \n/ip firewall nat remove [find dynamic dst-port=\"53\"]\r\ \n/queue simple remove [find name~\"hs\"]" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup
      так-же увеличиваем очередь шейпера (default-small) примерно так
      /queue type set 9 pfifo-limit=200
      Если у вас на микротике дохрена абонов то не забываем увеличить время жизни ARP записи от стандартных 30сек до хотя бы 1-2 минуты иначе можно получить бродкастовый шторм не плохой.
       
      Копирайт www.ubilling.net.ua
       
    • By ydahaa
      Здравствуйте. Имеется небольшая сеть, на основе pfsense, pppoe server небольшой поднял. Заинтересовался ubilling поставил на сервачок) а как связать pfsense и ubilling хз, документашку читаю на сайте но что то не вижу ответа
      Подскажите пожалуйста
×