Перейти до

Несколько сетей на одном Ubilling сервере


Рекомендованные сообщения

Все настроил, но только на одну сеть. Тоесть шейпинг NAT и биллинг
будут на одном сервере. Сеть надо на 500-600 абонентов. Сервер имеет
внутренний адрес "172.16.0.1/24" и внешний "192.168.0.110" Cейчас покажу
что сделал и что из этого получилось >>> 

(файлы прикреплены)

 

 

 

получается на внутренний интерфейс подаю 3 IP адреса (сейчас парочка
закоментировано) но с компьютеров из подсетей 172.16.1.0 и 172.16.2.0
не получается выйти в интернет. Сервер они пингуют (и IP адреса
поднимаются (в ifconfig все видно)) но вот
через сервер не проходят не знаю в чем дело. Может кто нить подскажет ?

post-31690-0-25212400-1401893772_thumb.jpg

post-31690-0-72996100-1401893778_thumb.jpg

post-31690-0-97705300-1401893783_thumb.jpg

post-31690-0-91994700-1401893788_thumb.jpg

firewall.txt

rc.txt

Ссылка на сообщение
Поделиться на других сайтах

 

закоментировано) но с компьютеров из подсетей 172.16.1.0 и 172.16.2.0

не получается выйти в интернет. Сервер они пингуют (и IP адреса

поднимаются (в ifconfig все видно)) но вот

через сервер не проходят не знаю в чем дело. Может кто нить подскажет ?

 

А НАТить и контролировать полиси доступа на эти сети кто будет?

${FwCMD} table 2 add 172.16.1.0/24
${FwCMD} table 2 add 172.16.2.0/24
Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах

${FwCMD} add 4 allow all from 172.16.0.0/24 to me via igb1
${FwCMD} add 4 allow all from me to 172.16.0.0/24 via igb1

заходи, бери что хочешь...

если все три сети на однов интерфейсе, то непонятно как ты их контролировать собрался

если просто нужна одна большая сеть, то 172.16.0.0/22 диапазон бери

Ссылка на сообщение
Поделиться на других сайтах

 

если просто нужна одна большая сеть, то 172.16.0.0/22 диапазон бери

В фаере - да, резонно порезать широкой маской и забыть.

А вот выделять по мере заполнения, мелкими пулами по /24-23 какраз норм, в плане дальнейших перспектив размазывания по НАС-ам.

Ссылка на сообщение
Поделиться на других сайтах

 

 

если просто нужна одна большая сеть, то 172.16.0.0/22 диапазон бери

В фаере - да, резонно порезать широкой маской и забыть.

А вот выделять по мере заполнения, мелкими пулами по /24-23 какраз норм, в плане дальнейших перспектив размазывания по НАС-ам.

 

добавил в firewall.conf строки

 

${FwCMD} table 2 add 172.16.1.0/24

${FwCMD} table 2 add 172.16.2.0/24 

 

все запустилось даже вроди бы контролировать получается.

 

Спасибо :-)

Ссылка на сообщение
Поделиться на других сайтах


${FwCMD} add 4 allow all from 172.16.0.0/24 to me via igb1
${FwCMD} add 4 allow all from me to 172.16.0.0/24 via igb1

заходи, бери что хочешь...

если все три сети на однов интерфейсе, то непонятно как ты их контролировать собрался

если просто нужна одна большая сеть, то 172.16.0.0/22 диапазон бери

 

Без этих строк доступ к личному кабинету из внутренней сети когда деньги кончаются получается невозможен :-(

Ссылка на сообщение
Поделиться на других сайтах

 

Без этих строк доступ к личному кабинету из внутренней сети когда деньги кончаются получается невозможен :-(

${FwCMD} add 4 allow all from table\(2\) to конкретный_адрес_rf dst-port 80 via igb1
${FwCMD} add 4 allow all from конкретный_адрес src-port 80 to table\(2\) via igb1
Ссылка на сообщение
Поделиться на других сайтах

 

 

Без этих строк доступ к личному кабинету из внутренней сети когда деньги кончаются получается невозможен :-(



${FwCMD} add 4 allow all from table\(2\) to конкретный_адрес_rf dst-port 80 via igb1
${FwCMD} add 4 allow all from конкретный_адрес src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.0.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.0.0/24 src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.1.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.1.0/24 src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.2.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.2.0/24 src-port 80 to table\(2\) via igb1

конкретный адрес это адрес сервера в разных подсетях ?

 

или одного адреса достаточно ?

 

в первой строке не понял надо ли было "rf" ставить или это опечатка ? 

Ссылка на сообщение
Поделиться на других сайтах

 

конкретный адрес это адрес сервера в разных подсетях ?

 

или одного адреса достаточно ?

На каком слушаете кабинет, на тот и рисуете. Очевидно же.

 

 

в первой строке не понял надо ли было "rf" ставить или это опечатка ?

Опечатка. Я даже затрудняюсь придумать, для чего логически могла бы быть такая синтаксическая конструкция в рамках ipfw.

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах

 

 

конкретный адрес это адрес сервера в разных подсетях ?

 

или одного адреса достаточно ?

На каком слушаете кабинет, на тот и рисуете. Очевидно же.

 

 

в первой строке не понял надо ли было "rf" ставить или это опечатка ?

Опечатка. Я даже затрудняюсь придумать, для чего логически могла бы быть такая синтаксическая конструкция в рамках ipfw.

Там же нет никакой логики, сплошные заклинания вуду.

Ссылка на сообщение
Поделиться на других сайтах

 

 

 

конкретный адрес это адрес сервера в разных подсетях ?

 

или одного адреса достаточно ?

На каком слушаете кабинет, на тот и рисуете. Очевидно же.

 

 

в первой строке не понял надо ли было "rf" ставить или это опечатка ?

Опечатка. Я даже затрудняюсь придумать, для чего логически могла бы быть такая синтаксическая конструкция в рамках ipfw.

Там же нет никакой логики, сплошные заклинания вуду.

 

а как же твой tc ?))там вообще без поллитра и делать нечего

Ссылка на сообщение
Поделиться на других сайтах

а как же твой tc ?))там вообще без поллитра и делать нечего

А давно tc фаерволом стал?) iptables как раз таки канонически прост и правилен.
Ссылка на сообщение
Поделиться на других сайтах

iptables как раз таки канонически прост и правилен.

также прост как квантовая физика для наркоманов

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.0.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.0.0/24 src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.1.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.1.0/24 src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.2.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.2.0/24 src-port 80 to table\(2\) via igb1

конкретный адрес это адрес сервера в разных подсетях ?

 

или одного адреса достаточно ?

достаточно

${FwCMD} add 4 allow all from table\(2\) to me dst-port 80 via igb1

${FwCMD} add 4 allow all from me src-port 80 to table\(2\) via igb1

Ссылка на сообщение
Поделиться на других сайтах

 

iptables как раз таки канонически прост и правилен.

также прост как квантовая физика для наркоманов

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.0.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.0.0/24 src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.1.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.1.0/24 src-port 80 to table\(2\) via igb1

 

${FwCMD} add 4 allow all from table\(2\) to 172.16.2.0/24 dst-port 80 via igb1

${FwCMD} add 4 allow all from 172.16.2.0/24 src-port 80 to table\(2\) via igb1

конкретный адрес это адрес сервера в разных подсетях ?

 

или одного адреса достаточно ?

достаточно

${FwCMD} add 4 allow all from table\(2\) to me dst-port 80 via igb1

${FwCMD} add 4 allow all from me src-port 80 to table\(2\) via igb1

 

Спасибо :-)

Ссылка на сообщение
Поделиться на других сайтах

Кстати забыл спросить, а сколько абонентов выдержит сервер (на одном сервере Нат + биллинг + шейпинг) ? Именно вот в такой связке.

 

Если разнести по серверам доступа это все понятно что все разгрузится ... но вот когда стоит задумываться об этом ? 1000 абонентов ? 2000 ?

 

Знаю что траффик инспектор на винде выдерживает порядка 600 абонентов активных (звонил в суппорт интересовался) ну а тут все таки фришка :-)))

Ссылка на сообщение
Поделиться на других сайтах

 

Кстати забыл спросить, а сколько абонентов выдержит сервер (на одном сервере Нат + биллинг + шейпинг) ? Именно вот в такой связке.

Абстрактный сферический сервер намазанный жидким вакуумом?  Также подозреваю, что абоненты тоже должны быть сферическими как и тарифы их - строго астрало-ориентированными.

 

Перестаньте уже игнорировать документацию. Там все эти вещи русским языком вполне себе доступно освещены.

 

 

Если разнести по серверам доступа это все понятно что все разгрузится ... но вот когда стоит задумываться об этом ? 1000 абонентов ? 2000 ?

Думаю, с полной уверенностью можно сказать, что точное пороговое значение будет где-то между N и X абонентов. Хотя нет... N - маловато, пускай лучше будет M.

 

 

 

 

Знаю что траффик инспектор на винде выдерживает порядка 600 абонентов активных (звонил в суппорт интересовался)

На самом деле, то есть в реальной жизни TI загибается дета уже между первой и второй сотней активных тушек.

Что к слову, вполне неплохо, учитывая, что оно к операторским АСР не имеет вообще никакого отношения, и ориентировано строго на лимитирование доступа к вкантактикам офисных планктончиков в их уютных офисиках где редко бывает больше полутора пациентов (да-да, о их целевой группе потребителей даже их сайт свидетельствует, но кто ж читать то будет?).

м@#аки, пытающиеся использовать заведомо не предназначенные для провайдерской деятельности продукты - все так же остаются мудаками. Sad but true.

 

 

ну а тут все таки фришка :-)))

Фришка-хуuшка  блжад. Маловато скобок в смайлегах.

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Сервер используется "HP ProLiant DL160 G6, 2 процессора Intel Quad-Core L5520 2.26GHz, 24GB DRAM". На нем собственно сейчас все работает и в качестве примера для дальнейшей работы возьмем его же. 

 

Документацию читал несколько раз ... особенно когда косяки полезли. Сейчас перелистал и не нашел по нагрузке ничего. Интересует именно нагрузка по кол-ву абонентов. Кстати сколько пропускная способность софт-роутера примерно ? сетевые адаптеры HP NC362i Dual Port Gigabit Server Adapter

 

Про сервера доступа вопрос актуален теперь сервер известен :-)

 

Про TI ... хм.... меня так усиленно убеждали что он выдержит 600 абонентов, а на серверном оборудовании темболее.

 

Фришка довольно стабильная штука для софт роутера если не ковырять где не надо :-) 

Відредаговано Alex9959
Ссылка на сообщение
Поделиться на других сайтах

Про TI ... хм.... меня так усиленно убеждали что он выдержит 600 абонентов, а на серверном оборудовании темболее.

А ты не слушай фантазии упертого фанатика. У нас стояло 2 сервера ТИ уровня core quad2, по 600-700 сессий тянули на ура(тормоза начинались ближе к 1к). А у соседей ТИ до сих пор живет, сотен 5 сессий с современными 100м тарифами жует.
Ссылка на сообщение
Поделиться на других сайтах

 

Про TI ... хм.... меня так усиленно убеждали что он выдержит 600 абонентов, а на серверном оборудовании темболее.

А ты не слушай фантазии упертого фанатика. У нас стояло 2 сервера ТИ уровня core quad2, по 600-700 сессий тянули на ура(тормоза начинались ближе к 1к). А у соседей ТИ до сих пор живет, сотен 5 сессий с современными 100м тарифами жует.

 

Круто то как. Бросаю все и перехожу на TI.

Ссылка на сообщение
Поделиться на других сайтах

Правильно, наконец-то решился. Если что - подскажу где скачать :)

Еще кряк еще пожалуйста выложите, а то как я понял лицуха на 5 абонентов 142$ стоит - я столько в год не зарабатываю. И да - если еще можно на винду. По "скочать бисплатно без СМС" ничего не гуглиться.

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

А НАТить и контролировать полиси доступа на эти сети кто будет?

${FwCMD} table 2 add 172.16.1.0/24

${FwCMD} table 2 add 172.16.2.0/24

 

как такое делать в убунту? также хочу добавить сеть в убилинг :172.16.1.0/24 , боюсь неправильно вписать правило. 

Ссылка на сообщение
Поделиться на других сайтах

Ви не бійтеся, а пробуйте

доречі непоганий варіант зробити широку маску



 ${FwCMD} table 2 add 172.16.1.0/22 

(172.16.0.0-172.16.3.255)
Відредаговано mgo
Ссылка на сообщение
Поделиться на других сайтах

 

Ви не бійтеся, а пробуйте

доречі непоганий варіант зробити широку маску



 ${FwCMD} table 2 add 172.16.1.0/22 

(172.16.0.0-172.16.3.255)

це хороше рішення. 

 

але мені потрібно якось добавити це правило у iptables?, як це праильно зробити для убілінг на убунту 12 ?

в який конфіг це вписати , і що саме для 172,16,1,0/24 щоб там був інтернет ? я новачок.

 

якщо треба викладу якісь файли скріни.  

 

 

 

 

Відредаговано kissbohda
Ссылка на сообщение
Поделиться на других сайтах

убунту незнаю, виж самі вибрали собі цю систему, мабудь тому що суперпупер її знали.

якщо ні то неварто було ігнорувати FAQ

nightfly мабудь на  bsd уже й підказавби.

 

Q: Какая ОС является наиболее предпочтительной для работы биллинга или NAS?
A: FreeBSD.

Q: А как же Linux? У нас тут Debian/Ubuntu/Gentoo/Centos/Slackware/Arch/OpenSUSE/Fedora[ну или еще какой-то из сотни популярных дистрибутивов]
A: Да, пожалуйста без проблем - у многих вполне себе отлично все работает на Linux. В самом Ubilling платформозависимого кода практически нет. Но вникать в «особенности» каждого конкретного дистрибутива у нас нету никакого желания. Поэтому рекомендуемой и поддерживаемой нами системой все равно остается только FreeBSD.

 

особисто я виходжу з цеї ситуації так:

коли збираю NAS то указую широку маску 172.16.0.0/19 атой /16

уже у процесі накидаю аліаси на юзер інтерфейс

172.16.0.1/24 і сервіс с. Пупкіно

172.16.1.1/24              с. Криве

172.16.2.1/24              с. Закріївці

...

і все чудово їде

Відредаговано mgo
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від sanyadnepr
      Приветствую всех.
      Подскажите пожалуйста где копнуть и нет ли проблемы со стороны протокола взаимодействия сити24 или возможно не учтена необходимая проверка в модуле сити24 в Ubilling, пока писал понял что похоже в проверке payID, но это не точно.  
      Недавно обнаружилось с сити24 начали прилетать дубликаты платежей, в целом платежей мало, два одинаковых запроса Pay с одинаковым transactionID и payID в одну секунду одному платежному ID при этом биллинг "думает" примерно чуть больше минуты и отвечает одним ответом <result>0</result>, сити24 утверждает что ответ они не получили и по протоколу дальше повторяет запросы дублем, биллинг ответ и так по кругу, сити24 спрашивает каким образом с одинаковым payID от сити24 билл продолжает обрабатывать запросы и пополнять абоненту счет раз в 5 минут примерно, на одну и туже сумму, ведь этот payID уже был обработан предполагают сити24 согласно протоколу.
      Конечно есть вопрос к сити24 зачем они дублем присылают два запроса, но они отвечают что эта ситуация учтена в протоколе и проблема на стороне биллинга, потому что он пополняет счет по уже обработанному одинаковому payID.
      При этом transactionID в дублях одинаковый, но с каждым новым дублем разный.
      Если зафаерволить запросы от сити24, но оставить возможность отвечать то после блокировки билл отправляет 2-3 минуты 6 ответов <account>0001</account>  <result>0</result>.
      После снятия блокировки, дубли и платежи нескольких проблемных абонентов прилетают так же по кругу, при этом и с некоторыми новыми пополнениями происходит аналогичная ситуация.
      В openpayz в платежах transactionID и не видно payID.
    • Від nightfly
      Ubilling 1.4.3 rev 9058 The Bladewood Grove
       
      Зміни в структурі БД. alter.ini: нові опції OPHANIMFLOW_ENABLED та OPHANIMFLOW_URLS котрі вмикають та керують інтеграцією з OphanimFlow. alter:ini: нова опція PHOTOSTORAGE_POSTPROCESSING, що вмикає післяобробку зображень при завантаженні в Сховище зображень. alter:ini: нова опція PHOTOSTORAGE_WATERMARK, що вмикає розміщення вотермарки на всіх зображеннях, що завантажуються. alter:ini: нова опція PHOTOSTORAGE_RECOMPRESS, що вмикає зміну компрессії завантажених зображень. alter:ini: нова опція PHOTOSTORAGE_AUTORESIZE, що вмикає автоматичне та лагідне масштабування зображень конячих розмірів. alter:ini: нова опція PHOTOSTORAGE_DRAWIMGINFO, що вмикає вдруковування в зображення відлагоджувальної інформації. alter.ini: нова опція ONDEMAND_CHARTS, що вмикає відкладене завантаження графіків завантаження користувацької смуги. userstats.ini: нова опція OPHANIM_ENABLED, що вмикає інтеграцію OphanimFlow в кабінеті користувача. Модуль Заздрість: тепер авторизаційні дані пристроїв, не відображаються в списку пристроїв. Модуль “Заздрість”: при створенні та редагуванні пристроїв, для полів “пароль” та “enable пароль” тепер використовуються інпути паролів. Модуль “Заздрість”: заздрісним пристроям додано нове поле “Порт”. Тепер в скриптах можна використовувати, відповідний макрос {PORT}. Модуль “Статистика трафіку користувача”: проведено радикальний рефакторинг. Модуль “Статистика трафіку користувача”: додано опційну можливість, відображення трафіку отриманого з OphanimFlow. Модуль “Статистика трафіку користувача”: виправлено проблему невірного відображення залишку коштів на кінець місяця, при використанні Ішимури. Модуль “Статистика трафіку користувача”: додано можливість відображення графіків за останню годину з OphanimFlow. Модуль “Користувачі”: додано опційну можливість, відображення трафіку отриманого з OphanimFlow. Модуль “Сховище зображень”: тепер додатково перевіряє завантажувані зображення на тему їх валідності. Модуль “Фінансові операції”: виправлено відображення суми платежів користувача. Remote API: новий виклик ophanimtraff, який просто бере і синхронізує локальну БД з віддаленими джерелами OphanimFlow. Remote API: виклик userbynum тепер також опційно містить поле з “Платіжним ID” користувача. Глобально: у всіх полях вводу паролів, окрім форми входу, тепер відображається елемент керування “показати/приховати” пароль. Кабінет користувача: в модулі “Трафік” додано опційну можливість, відображення трафіку отриманого з OphanimFlow. Кабінет користувача: в модулі “Трафік” виправлено проблему невірного відображення залишку коштів на кінець місяця, при використанні Ішимури. Кабінет користувача: в модулі “Відеоспостереження” для NVR WolfRecorder замінено розділювач попередньо заповнених даних авторизації. OpenPayz: додано frontend portmonemulti, для отримання платежів від різних контрагентів. Інформацію по контрагентам бере з біллінгу, також використовую розширену інформацію контрагента. Платіжна система в контрагенті мусить бути створена, як PORTMONE 1984tech: додано функціонал генерації RPZ для isc-bind, спасибі @misterromanbush  
      Повний чейнджлог
      Оновлена демка
       

    • Від mac
      Здається, після оновлення PHP 7.4 до PHP 8.2 feesharvester припинив працювати:
       
      /usr/local/bin/curl "http://127.0.0.1/billing/?module=remoteapi&key={SERIAL}&action=feesharvester" <br /> <b>Fatal error</b>: Uncaught TypeError: Unsupported operand types: string - string in {UBPATH}/billing/api/libs/api.fundsflow.php:570 Stack trace: #0 {UBPATH}/billing/modules/remoteapi/feesharvester.php(22): FundsFlow-&gt;harvestFees('2024-01') ...  
      Невеличке розслідування врешті з'ясувало, що це через наявність пробілу у деяких логінах абонентів. Як так сталося? Тому що інколи був неуважно додан трейлінг пробіл до номеру будинка і цей пробіл потрапив до логіну абоненту. Логін абоненту неможливо змінити ніяким чином штатними засобами. Я не розглядаю створення нового абонента для усунення помілки.

      Був обран такий шлях вирішення проблеми. Заміну функції php explode() знайшов у мережі. Мабуть це станеться в нагоді:

       
      diff api.fundsflow.php.bak api.fundsflow.php.new 559c559 < $eachfee = explode(' ', $eachline); --- > $eachfee = preg_split("~(?<!\\\\)(?:\\\\{2})*'[^'\\\\]*(?:\\\\.[^'\\\\]*)*'(*SKIP)(*F)|\s+~s" , $eachline);  
    • Від Dilan
      Собственно ищу кто сделает такую связку с нуля под ключ. Тз высылаю в личку. Заранее спасибо.
    • Від ukrtelekom
      Доброго часу!
      Шукається адміністратор віддалений для разової роботи по коригуванню працюючого Ubilling з мікротами. Якщо стосунки зклєяться- то до постійної додаткової копійки. 
      Всім заздалегідь дякую. Хейти, бажано не писати. Контакти в приватні повідомлення або O73283344O
×
×
  • Створити нове...