Перейти до

UHW


Рекомендованные сообщения

 

Sep  2 09:51:59  dhcpd: DHCPDISCOVER from 08:00:27:ea:42:7b via em1: network ourisp: no free leases

а  /usr/local/etc/multinet/dhcpd.conf точно соответствует тому, что нарисовано в шаблонах?

Ссылка на сообщение
Поделиться на других сайтах

Спасибо за наводку, с dhcp разобрался, только редирект не работает, если ручками ввести адрес uhw то все работает оборудование активируется.

Не подскажите куда копать?

Ссылка на сообщение
Поделиться на других сайтах

 

Спасибо за наводку, с dhcp разобрался,

айпишки неизвестному железу уже выдает?

 

 

только редирект не работает, если ручками ввести адрес uhw то все работает оборудование активируется.

ipfw show?

Ссылка на сообщение
Поделиться на других сайтах

 

Спасибо за наводку, с dhcp разобрался,

айпишки неизвестному железу уже выдает?

 

да, выдает

 

 

только редирект не работает, если ручками ввести адрес uhw то все работает оборудование активируется.

ipfw show?

 

 

root@:~ # ipfw show
00005    0       0 fwd 127.0.0.1,80 ip from 10.10.1.0/24 to not me dst-port 80
06000 1580  110842 nat 1 ip from table(2) to not table(9) via em0
06001 3464 2816407 nat 1 ip from any to 192.168.1.105 via em0
12000 1693  126719 pipe tablearg ip from table(3) to any via em1 in
12001 2163 2712553 pipe tablearg ip from any to table(4) via em1 out
65533    0       0 deny ip from table(2) to any via em1
65534    5    1372 deny ip from any to table(2) via em1
65535 2813 1136688 allow ip from any to any
Ссылка на сообщение
Поделиться на других сайтах
00005    0       0 fwd 127.0.0.1,80 ip from 10.10.1.0/24 to not me dst-port 80

У вас ничего и не попадает в форвард. Пробуйте ходить из под неизвестного юзера с выданной ему айпишкой из подсети 10.10.1.0/24 и смотреть при этом tcpdump на интерфейсе em1.

Ссылка на сообщение
Поделиться на других сайтах

Редирект работает если к сайту обратится по IP-адресу, то есть в адресной строке браузера пишу 8.8.8.8 - срабатывает редирект, если по имени - не работает.

 

вот кусок дампа с em1

 13:24:32.753569 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [.], ack 1, win 64240, length 0

13:24:32.753818 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [P.], ack 1, win 64240, length 327
13:24:32.782842 IP 10.10.1.1.80 > 10.10.1.103.1056: Flags [.], ack 328, win 65535, length 1460
13:24:32.783162 IP 10.10.1.1.80 > 10.10.1.103.1056: Flags [.], ack 328, win 65535, length 1460
13:24:32.783218 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [.], ack 2921, win 64240, length 0
13:24:32.790270 IP 10.10.1.1.80 > 10.10.1.103.1056: Flags [.], ack 328, win 65535, length 1460
13:24:32.790342 IP 10.10.1.1.80 > 10.10.1.103.1056: Flags [P.], ack 328, win 65535, length 256
13:24:32.790353 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [.], ack 4381, win 64240, length 0
13:24:32.873480 IP 10.10.1.103.1055 > 8.8.8.8.80: Flags [.], ack 361, win 63880, length 0
13:24:32.975043 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [.], ack 4637, win 63984, length 0
13:24:33.002945 IP 10.10.1.103.57157 > 10.10.1.1.53: 7116+ A? ubilling.net.ua. (33)
13:24:33.002997 IP 10.10.1.1 > 10.10.1.103: ICMP 10.10.1.1 udp port 53 unreachable, length 36
13:24:33.005565 IP 10.10.1.103.137 > 10.10.1.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:24:33.779422 IP 10.10.1.103.137 > 10.10.1.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:24:34.535069 IP 10.10.1.103.137 > 10.10.1.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:24:37.722659 IP 10.10.1.103.1055 > 8.8.8.8.80: Flags [F.], seq 296, ack 361, win 63880, length 0
13:24:37.722743 IP 8.8.8.8.80 > 10.10.1.103.1055: Flags [.], ack 297, win 65535, length 0
13:24:37.722980 IP 8.8.8.8.80 > 10.10.1.103.1055: Flags [F.], seq 361, ack 297, win 65535, length 0
13:24:37.723338 IP 10.10.1.103.1055 > 8.8.8.8.80: Flags [.], ack 362, win 63880, length 0
13:24:37.837911 IP 10.10.1.1.80 > 10.10.1.103.1056: Flags [F.], seq 4637, ack 328, win 65535, length 0
13:24:37.838089 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [.], ack 4638, win 63984, length 0
13:24:37.838288 IP 10.10.1.103.1056 > 10.10.1.1.80: Flags [F.], seq 328, ack 4638, win 63984, length 0
13:24:37.838324 IP 10.10.1.1.80 > 10.10.1.103.1056: Flags [.], ack 329, win 65534, length 0
Ссылка на сообщение
Поделиться на других сайтах

 

Редирект работает если к сайту обратится по IP-адресу, то есть в адресной строке браузера пишу 8.8.8.8 - срабатывает редирект, если по имени - не работает.

Мораль - не работает DNS. Откройте доступ для этой подсети к нему. Типа как тут: http://wiki.ubilling.net.ua/doku.php?id=debtredir

Ссылка на сообщение
Поделиться на других сайтах
  • 7 months later...

Добрый вечер. 

Затянул UHW на удаленный NAS, лог DHCP сливается, но пишет, что не может найти мак. В чем может быть проблема? 

Ссылка на сообщение
Поделиться на других сайтах

странное дело с переадресацией

если в конце фаера всем давать дени, то она не работает

а если перед этим чтото такое:


${FwCMD} add 65501 deny all from 192.168.0.0/16 to any via vlan*
${FwCMD} add 65502 allow tcp from any to 192.168.0.0/16 via vlan*
${FwCMD} add 65534 deny log all from any to any

 

то в инет тачку не пускает, куда надо переадресация есть, но судя по TCPdump'у запросы через нат улетают в интернет
мне не жалко. но бывают же ботнеты, которым ответ не нужен, достаточно запросы кидать
 
тожесамое с кабинетом должниковых юзверей, почемуто работает только если " allow tcp from any to ип/сеть via vlan* " прописано
хотя до самого НАТа всё шо ему надо есть
 
${FwCMD} add fwd 1.1.1.1,80 ip from table\(47\) to not me dst-port 80
${FwCMD} add fwd 1.1.1.1,80 ip from 192.168.0.0/16 to not me dst-port 80
${FwCMD} add allow ip from any to me 80
${FwCMD} add allow ip from me 80 to any
Ссылка на сообщение
Поделиться на других сайтах

${FwCMD} add 65534 deny all from any to any

В мене така політика стінки, все працює, все завертається. 

 

 

${FwCMD} add 65501 deny all from 192.168.0.0/16 to any via vlan

 

все решта, що йде з 192.168.0.0/16 після цього правила, робить щось схоже на ось це: dash3.gif

 

${FwCMD} add fwd 1.1.1.1,80 ip from table\(47\) to not me dst-port 80

${FwCMD} add fwd 1.1.1.1,80 ip from 192.168.0.0/16 to not me dst-port 80

а що оце воно має робити? Послати всіх з 47 таблиці (чи з 192.бу.бу.бу/16) на 1.1.1.1:80? Такі речі ipfw не робить в цьому випадку. 

Відредаговано testinua
Ссылка на сообщение
Поделиться на других сайтах

да щоб усi с рiзних вланiв попадали в один ip бiллiнгу/днс я зробив

ifconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"
усе робить, але без

${FwCMD} add 65502 allow tcp from any to 192.168.0.0/16 via vlan*
переадресацii нема, а з цим траффiк має запроси через нат

 

вот что попадает через это правило

 

root@ubilling:/home/office # cat /var/log/security | grep 65502
Apr 30 09:39:26 ubilling kernel: ipfw: 65502 Accept TCP 213.180.204.3:80 192.168.10.101:1783 out via vlan10
Apr 30 09:39:26 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1785 out via vlan10
Apr 30 09:39:26 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1786 out via vlan10
Apr 30 09:39:26 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1787 out via vlan10
Apr 30 09:39:26 ubilling kernel: ipfw: 65502 Accept TCP 213.180.204.3:80 192.168.10.101:1783 out via vlan10
Apr 30 09:39:46 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1785 out via vlan10
Apr 30 09:39:46 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1786 out via vlan10
Apr 30 09:39:46 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1785 out via vlan10
Apr 30 09:39:46 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1786 out via vlan10
Apr 30 09:39:46 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1787 out via vlan10
Apr 30 09:39:46 ubilling kernel: ipfw: 65502 Accept TCP 178.154.131.217:80 192.168.10.101:1787 out via vlan10
Відредаговано RockManX
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

RockManX

ipfw НЕ завертає пакети нікуда, окрім на loopback.

 

 

 

вот что попадает через это правило

А що не так? Правило дозволяе tcp пакети на vlan* + як я розумію, це Ubilling з перебраним ядромю Версія десь до 0.5***.

Якщо ви не розумієте, як працюють правила ipfw - копіпостом не вийде зробити щось, чого ви самі не знаєте.

Ссылка на сообщение
Поделиться на других сайтах

RockManX

ipfw НЕ завертає пакети нікуда, окрім на loopback.

 

 

 

вот что попадает через это правило

А що не так? Правило дозволяе tcp пакети на vlan* + як я розумію, це Ubilling з перебраним ядромю Версія десь до 0.5***.

Якщо ви не розумієте, як працюють правила ipfw - копіпостом не вийде зробити щось, чого ви самі не знаєте.

 

у меня оно на loopback`е и висит, в другое место и не надо

убилинг последний, ничем не пересобраный

вот в вики про перенаправление должников есть

${FwCMD} delete 65534

а там было правило запрещающее трафик отовсюду в сетку пользователей по пользовательскому интерфейсу

соответственно без него должники не перенаправляются, что и следовало доказать

Ссылка на сообщение
Поделиться на других сайтах

ubilling kernel

А чому тоді так? Наскільки мені відомо, останні версії UB не перекручують ядро, чи я помиляюсь? 

 

${FwCMD} add fwd 1.1.1.1,80 ip from table\(47\) to not me dst-port 80

${FwCMD} add fwd 1.1.1.1,80 ip from 192.168.0.0/16 to not me dst-port 80

і це loopback?

 

а там было правило запрещающее трафик отовсюду в сетку пользователей по пользовательскому интерфейсу

це логічно... Те що не попало в НАТ - те все сміття ні кому не потрібне.

Ссылка на сообщение
Поделиться на других сайтах

А чому тоді так? Наскільки мені відомо, останні версії UB не перекручують ядро, чи я помиляюсь? 

убилинг - тогдашнее название сервере (хостнейм), кернел - источник записи в логе

 

і це loopback?

 

да, ведь есть

ifconfig_lo0_alias0="inet 1.1.1.1 netmask 255.255.255.255"

це логічно... Те що не попало в НАТ - те все сміття ні кому не потрібне.

 

судя по адресам источника и интерфейсу, через нат оно какраз прошло

Відредаговано RockManX
Ссылка на сообщение
Поделиться на других сайтах

 

да, ведь есть

http://ru.wikipedia.org/wiki/Loopback

 

На системах Unix, интерфейс loopback обычно имеет имя lo или lo0.

вот на lo0 оно и заворачивает, просто ип другой, которому я через локальный неймсервер красивый домен прикручиваю

если loopback ассоциируется только с 127.0.0.1 и localhost, то это очень узкая точка зрения

Ссылка на сообщение
Поделиться на других сайтах
  • 2 years later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від mac
      Глюк в тому, що один (так - тільки один) mac адрес onu існує в білінгу у вигляді строки. Це трохи заважає.
      olt - bdcom gepon.
      Наскільки зрозумів, це виключно проблема реалізації snmpwalk у freebsd, де snmpwalk може на свій розсуд віддати mac адресу не як hex-string, а як звичайний string.
      Можливо snmpwalk тригериться на якомусь символі, мені невідомо.
       
      # tcpdump -vv -i em0 udp port 161 and host olt and host ub | grep "3320.101.10.4.1.1.241 ... olt.snmp > ub.47940: [udp sum ok] { SNMPv2c C="*****" { GetResponse(44) R=93278354 E:3320.101.10.4.1.1.241="8LO"W*" } } ub.47940 > olt.snmp: [udp sum ok] { SNMPv2c C="*****" { GetNextRequest(34) R=93278355 E:3320.101.10.4.1.1.241 } } snmpwalk -c***** -v2c -t5 olt .1.3.6.1.4.1.3320.101.10.4.1.1 SNMPv2-SMI::enterprises.3320.101.10.4.1.1.241 = STRING: "8LO\"W*" snmpwalk -Ox -c***** -v2c -t5 olt .1.3.6.1.4.1.3320.101.10.4.1.1 SNMPv2-SMI::enterprises.3320.101.10.4.1.1.241 = Hex-STRING: 38 4C 4F 22 57 2A  
      Це стосується таких параметрів у snmp конфізі bdcom
       
      [signal] MACINDEX=".1.3.6.1.4.1.3320.101.10.4.1.1" [misc] ONUINDEX=".1.3.6.1.4.1.3320.101.11.1.1.3"  
      За для усунення глюку спробував трошки змінити код і завдати тип snmp параметру явно у ./api/libs/api.ponbdcom.php у function collect()
      Це працює. Мабуть станеться у нагоді:
       
      # diff api.ponbdcom.php{.new,.bak} 37c37 < $onuIndex = $this->snmp->walk('-Ox ' . $oltIp . ':' . self::SNMPPORT, $oltCommunity, $onuIndexOid, self::SNMPCACHE); --- > $onuIndex = $this->snmp->walk($oltIp . ':' . self::SNMPPORT, $oltCommunity, $onuIndexOid, self::SNMPCACHE); 91c91 < $macIndex = $this->snmp->walk('-Ox ' . $oltIp . ':' . self::SNMPPORT, $oltCommunity, $macIndexOID, self::SNMPCACHE); --- > $macIndex = $this->snmp->walk($oltIp . ':' . self::SNMPPORT, $oltCommunity, $macIndexOID, self::SNMPCACHE);  
      P.S. Створив тему, а зараз міркую: а може це глюк у ПЗ olt. Оновлю фірмваре olt та перевірю...
       

    • Від Plastilin
      Вітаю. Маю наступний комплект. Ubilling на Debian + Mikrotik CHR як маршрутизатор. Наче все запустилось, але виникло питання яке не вдається розрулити. Читав Wiki, ковиряв, читав знову Wiki, знову ковиряв - не допомогло.
      Чи можливо якось визначити конкретну IP адресу з пулу який видає Mikrotik клієнту через Radius? Мені пропонує обрати наступну вільну адресу з пулу при спробі зміни адреси?
      З цього з'являється додаткове питання, чи можливо контролювати доступ користувачам у яких IP назначений статично, тобто прописаний вручну? Наприклад при зміні статусу не активний - пхати до Firewall Mikrotik правила заборони доступу з IP адреси визначеної вручну, навіть якщо вона не отримана по DHCP.
       
      UPD: з першою частиною знайшов: IP_CUSTOM=1 в alter.ini 
    • Від ppv
      Потрібно було витерти одну мережу, всі абоненти з неї були перенесені в іншу. Але світить що 6 IP зайняті, хоча вона повністю вільна.
       
      ID    Мережа/CID           RВсього IP        Використано IP ▾           Вільно IPСервіс
      6      172.16.70.0/23        506                    6                                       500
       
      Підкажіть як правильно це підчистити щоб видалити мережу.
    • Від sanyadnepr
      Приветствую всех.
      Подскажите пожалуйста где копнуть и нет ли проблемы со стороны протокола взаимодействия сити24 или возможно не учтена необходимая проверка в модуле сити24 в Ubilling, пока писал понял что похоже в проверке payID, но это не точно.  
      Недавно обнаружилось с сити24 начали прилетать дубликаты платежей, в целом платежей мало, два одинаковых запроса Pay с одинаковым transactionID и payID в одну секунду одному платежному ID при этом биллинг "думает" примерно чуть больше минуты и отвечает одним ответом <result>0</result>, сити24 утверждает что ответ они не получили и по протоколу дальше повторяет запросы дублем, биллинг ответ и так по кругу, сити24 спрашивает каким образом с одинаковым payID от сити24 билл продолжает обрабатывать запросы и пополнять абоненту счет раз в 5 минут примерно, на одну и туже сумму, ведь этот payID уже был обработан предполагают сити24 согласно протоколу.
      Конечно есть вопрос к сити24 зачем они дублем присылают два запроса, но они отвечают что эта ситуация учтена в протоколе и проблема на стороне биллинга, потому что он пополняет счет по уже обработанному одинаковому payID.
      При этом transactionID в дублях одинаковый, но с каждым новым дублем разный.
      Если зафаерволить запросы от сити24, но оставить возможность отвечать то после блокировки билл отправляет 2-3 минуты 6 ответов <account>0001</account>  <result>0</result>.
      После снятия блокировки, дубли и платежи нескольких проблемных абонентов прилетают так же по кругу, при этом и с некоторыми новыми пополнениями происходит аналогичная ситуация.
      В openpayz в платежах transactionID и не видно payID.
    • Від nightfly
      Ubilling 1.4.3 rev 9058 The Bladewood Grove
       
      Зміни в структурі БД. alter.ini: нові опції OPHANIMFLOW_ENABLED та OPHANIMFLOW_URLS котрі вмикають та керують інтеграцією з OphanimFlow. alter:ini: нова опція PHOTOSTORAGE_POSTPROCESSING, що вмикає післяобробку зображень при завантаженні в Сховище зображень. alter:ini: нова опція PHOTOSTORAGE_WATERMARK, що вмикає розміщення вотермарки на всіх зображеннях, що завантажуються. alter:ini: нова опція PHOTOSTORAGE_RECOMPRESS, що вмикає зміну компрессії завантажених зображень. alter:ini: нова опція PHOTOSTORAGE_AUTORESIZE, що вмикає автоматичне та лагідне масштабування зображень конячих розмірів. alter:ini: нова опція PHOTOSTORAGE_DRAWIMGINFO, що вмикає вдруковування в зображення відлагоджувальної інформації. alter.ini: нова опція ONDEMAND_CHARTS, що вмикає відкладене завантаження графіків завантаження користувацької смуги. userstats.ini: нова опція OPHANIM_ENABLED, що вмикає інтеграцію OphanimFlow в кабінеті користувача. Модуль Заздрість: тепер авторизаційні дані пристроїв, не відображаються в списку пристроїв. Модуль “Заздрість”: при створенні та редагуванні пристроїв, для полів “пароль” та “enable пароль” тепер використовуються інпути паролів. Модуль “Заздрість”: заздрісним пристроям додано нове поле “Порт”. Тепер в скриптах можна використовувати, відповідний макрос {PORT}. Модуль “Статистика трафіку користувача”: проведено радикальний рефакторинг. Модуль “Статистика трафіку користувача”: додано опційну можливість, відображення трафіку отриманого з OphanimFlow. Модуль “Статистика трафіку користувача”: виправлено проблему невірного відображення залишку коштів на кінець місяця, при використанні Ішимури. Модуль “Статистика трафіку користувача”: додано можливість відображення графіків за останню годину з OphanimFlow. Модуль “Користувачі”: додано опційну можливість, відображення трафіку отриманого з OphanimFlow. Модуль “Сховище зображень”: тепер додатково перевіряє завантажувані зображення на тему їх валідності. Модуль “Фінансові операції”: виправлено відображення суми платежів користувача. Remote API: новий виклик ophanimtraff, який просто бере і синхронізує локальну БД з віддаленими джерелами OphanimFlow. Remote API: виклик userbynum тепер також опційно містить поле з “Платіжним ID” користувача. Глобально: у всіх полях вводу паролів, окрім форми входу, тепер відображається елемент керування “показати/приховати” пароль. Кабінет користувача: в модулі “Трафік” додано опційну можливість, відображення трафіку отриманого з OphanimFlow. Кабінет користувача: в модулі “Трафік” виправлено проблему невірного відображення залишку коштів на кінець місяця, при використанні Ішимури. Кабінет користувача: в модулі “Відеоспостереження” для NVR WolfRecorder замінено розділювач попередньо заповнених даних авторизації. OpenPayz: додано frontend portmonemulti, для отримання платежів від різних контрагентів. Інформацію по контрагентам бере з біллінгу, також використовую розширену інформацію контрагента. Платіжна система в контрагенті мусить бути створена, як PORTMONE 1984tech: додано функціонал генерації RPZ для isc-bind, спасибі @misterromanbush  
      Повний чейнджлог
      Оновлена демка
       

×
×
  • Створити нове...