Jump to content
Local
supportod

Ubilling + насколько отдаленных NAS от биллинга на FreeBSD

Recommended Posts

Здравствуйте.

 

По плану сети, предусмотрено несколько NAS серверов.

Использую мануал на офсайте.

Подпилил немного nas_preconf.tar.gz для работы на FreeBSD 10.2

 

Возникли вопросы:

 

1) Для каждого NAS предусмотрен только один "внешний" (белый) IP?

#NAT
${FwCMD} nat 1 config log if EXTERNAL_INTERFACE reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) via EXTERNAL_INTERFACE
${FwCMD} add 6001 nat 1 ip from any to EXTERNAL_IP via EXTERNAL_INTERFACE
# in 6001 rule must be my external IP

2) Несколько "внешних" IP не предусмотрено by design ?

 

3) Пробовал ли кто-то добавить pf для NAT  IP из table(2) в пул (сеть /28-/29) белых IP ?

 

4) Что делать с DHCP на NAS серверах?

  • Использовать DHCP-relay в сторону DHCP на биллинге?
  • Использовать свою копию DHCPd с синхронизацией конфига с биллинга?
  • Использовать свою копию DHCPd, настроив как slave от DHCP на биллинге?

5) Шейпинг привязан только ко внутреннему интерфейсу:

#Shape
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via INTERNAL_INTERFACE out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via INTERNAL_INTERFACE in

А если из внутренней сети приходит несколько VLAN ?

Описывать каждый VLAN?

 

6) Кто принимает Netlow поток на биллинге? Stargazer или softflowd ?

 

7) В каком формате Netflow коллектор на биллинге готов принимать netflow с NASов? v5, v9, v10?

 

8) Корректно ли он примет несколько Netflow потоков с разных NAS ?

 

9) В каких единицах измерения указывается скорости тарифных планов в Ubilling? В dnswitch.php я нашел Kbit/s. В Kbit/s?

 

Спасибо за грамотные ответы :)

 

Share this post


Link to post
Share on other sites

 

 

Q: Какой минимальный уровень должен быть у администратора, чтобы установить и поддерживать Ubilling?

A: Администратор должен иметь хотя бы какой-то опыт администрирования Unix-like систем, не пугаться консоли, быть способным пользоваться текстовым редактором типа vim или nano, иметь минимальные знания о функционировании сети, конфигурации таких штук как ipfw, dummynet, DHCP, DNS, Apache, MySQL. Ну и конечно уметь читать не будучи при этом олигофреном.

фаервол непонимать? нат сами не может подымать? бай дефолт там фаер шоб поехало из карбоки, хотя у флая с таким фаером насы по 1к абонов разгребают

разницу коллектора и сенсора тоже не? софтфлоуд - сенсор если шо

по маске интерфейса правила в фаерволе тоже не? в том числе шейпинг

 

 

В dnswitch.php я нашел Kbit/s. В Kbit/s?

как выставишь в OnConnect\dnswitch так и будет, главное что б совпадало, бай дефолт килобиты

нетфлоу в в5 - а там как осилишь

Share this post


Link to post
Share on other sites
фаервол непонимать? нат сами не может подымать?

 

Ага. Понял. Публичная бесплатная Ubiliing работает только со строго определенными простыми схемами сети.

 

 

 

бай дефолт там фаер шоб поехало из карбоки, хотя у флая с таким фаером насы по 1к абонов разгребают

И все 1k абонентов натятся в 1 публичный IP? :)

 

 

 

разницу коллектора и сенсора тоже не? софтфлоуд - сенсор если шо

Да, уже прочитал описание. Пичально использовать  не поддерживаемый софт с 2011 года :(

 

 

 

по маске интерфейса правила в фаерволе тоже не? в том числе шейпинг

 

Осталось как-то с биллингом согласовать разделение клиентов по вланом, иначе будет куча пайпов на неиспользуемых интерфейсах.

 

 

 

как выставишь в OnConnect\dnswitch так и будет, главное что б совпадало, бай дефолт килобиты

Понял.

 

 

 

нетфлоу в в5 - а там как осилишь

Используется v5. Остальные версии пока не использовали и не тестили?

Edited by supportod

Share this post


Link to post
Share on other sites

 

 

Ага. Понял. Публичная бесплатная Ubiliing работает только со строго определенными простыми схемами сети.

не к чему всё усложнять, если оно работает, хочется чего-то своего - всегда пожалуйста. имхо строить наты всегда была обязанность админа и никак не биллинга

 

 

И все 1k абонентов натятся в 1 публичный IP?
 

у него вполне себе

у меня одна белая ипишка на \25 серых, обсуждалось уже не одну сотню раз, каждый сам себе выберает как натить

 

 

Да, у же прочитал описание. Пичально использовать  не поддерживаемый софт с 2011 года

оно от этого перестало собирать нетфлоу и отправлять на сенсор? О_о

оно не требует настроек, по факту кроме как запустить его на интерфейсе, и да оно работает не сильно нагружая систему

есть алтернативы? желательно собраным пакетом и с конфигом - пойдет в ветку если оно того стоит

 

 

Осталось как-то с биллингом согласовать разделение клиентов по вланом, иначе будет куча пайпов на неиспользуемых интерфейсах.

ну бред же, ну

хоспаде дело биллинга добавить ипишку в 3 и 4 таблицу при шейпе - всё остальное не его проблемы

шейпится по маске!!111! интерфейса в виде

 

via vlan*

 

 

 

Используется v5. Остальные версии пока не использовали и не тестили?
 

там в5 чисто что б траф посчитать, в другом виде оно мало кому нужно, но если хочется всегда пожалуйста

Share this post


Link to post
Share on other sites

ок. Я понял, буду тестировать.

 

Остается вопрос №4 открытым.

Share this post


Link to post
Share on other sites

 

 

Остается вопрос №4 открытым.

Я relay использую. Правда на микротиках, но всё отлично.

Share this post


Link to post
Share on other sites

 

 

Остается вопрос №4 открытым.

 

Раньше реелел с NASа, от такой схемы отказался, сейчас релею свичами.

Share this post


Link to post
Share on other sites

 

Остается вопрос №4 открытым.

 

Раньше реелел с NASа, от такой схемы отказался, сейчас релею свичами.

 

ну там ещё были у кого-то попытки строить тунели и заставлять дхцп слушать этот тунель, типо eoip

Share this post


Link to post
Share on other sites
ну там ещё были у кого-то попытки строить тунели и заставлять дхцп слушать этот тунель, типо eoip

тунель успішно собі їде 

як eoip  так і фірмовий на freebsd

ifconfig gif0 create

ifconfig gif0 mtu 1500 //по дефолту 1280 і невлазить в брідж з мережевков.

ifconfig gif0 tunnel    1.2.3.4    5.6.7.8    up

 

тунель піднімаю в rc.local

Edited by mgo

Share this post


Link to post
Share on other sites

 

ну там ещё были у кого-то попытки строить тунели и заставлять дхцп слушать этот тунель, типо eoip

тунель успішно собі їде 

як eoip  так і фірмовий на freebsd

ifconfig gif0 create

ifconfig gif0 mtu 1500 //по дефолту 1280 і невлазить в брідж з мережевков.

ifconfig gif0 tunnel    1.2.3.4    5.6.7.8    up

 

тунель піднімаю в rc.local

 

А можно поконкретнее. Что то у меня не получается... Поднял GRE-туннели. 

rc.conf на nas'e

 

 

cloned_interfaces="gre0 vlan101 vlan102"

ifconfig_gre0="inet 10.3.5.2 10.3.5.1 netmask 255.255.255.252 tunnel xx.xx.xx.xx yy.yy.yy.yy"

#ifconfig_bridge0="addm gre0 addm em0 addm vlan101"

 

ststic_routes="net1"

route_net1="-net 192.168.0.0/16 10.3.5.1"

 

dhcrelay_enable="YES"

dhcrelay_flags="-a"

dhcrelay_servers="10.3.5.1"

dhcrelay_ifaces="vlan101"

 

 

на биллинге

 

 

cloned_interfaces="gre0"

ifconfig_gre0="inet 10.3.5.1 10.3.5.2 netmask 255.255.255.252 tunnel yy.yy.yy.yy xx.xx.xx.xx"

 

ststic_routes="net1 net2 net3"
route_net2="-net 192.168.0.0/16 10.3.5.2"
 
dhcpd_ifaces="bce0 gre0"

 
nas пингует биллинг по туннелю и биллинг пингует nas
tcpdump показывает, что запросы по тоннелю приходят, но DHCP на них не реагирует.
16:05:44.869202 IP 10.3.5.2.bootps > 10.3.5.1.bootps: BOOTP/DHCP, Request from 14:d6:4d:89:8a:1a (oui Unknown), length 300
 
фрагмент firewall.conf - на обоих машинах они идентичны. 

#GRE

${fwcmd} add 10 allow gre from any to any

 
Поделитесь опытом и ткните мордочкой, где и что я упустил!
Edited by Andromeda

Share this post


Link to post
Share on other sites
А можно поконкретнее. Что то у меня не получается... Поднял GRE-туннели. 

поконкретніше?

я про GRE-тунель нічого не говорив, ви собі його підняли, от і розбирайтеся з ним. 

ifconfig gif0 create
ifconfig gif0 mtu 1500 //по дефолту 1280 і невлазить в брідж з мережевков.
ifconfig gif0 tunnel    1.2.3.4    5.6.7.8    up

оце щастя вставляєм в файл /etc/rc.local і перегружаємся

 

1.2.3.4 - адрес який стоїть тут

5.6.7.8 - адрес який стоїть там

якщо записати навпаки пахати небуде 

man bridge почитайте чи що.

 

і релеї непотрібні тоді

 

 

 

10.156.121.66 адрес НАС 

233.125.29.140  адрес білінга

rc.local на НАС-і

 cat /etc/rc.local
ifconfig gif0 create
ifconfig gif0 tunnel 10.156.121.66 233.125.29.140  up
ifconfig gif0 mtu 1500
ifconfig bridge0 addm gif0 up

ifconfig em1 up
ifconfig bridge0 addm em1 up

ifconfig em2 up
ifconfig bridge0 addm em2 up

ifconfig em3 up
ifconfig bridge0 addm em3 up

ifconfig bridge0 private em1 private em2 private em3 up 
//прапорець private, в бріджі пакети небігають між інтерфейсами на яких висить private

/etc/rscriptd/debtors.php

rc.local на білінгу

 cat /etc/rc.local
ifconfig gif0 create
ifconfig gif0 tunnel 233.125.29.140 10.156.121.66 up
ifconfig gif0 mtu 1500
ifconfig bridge0 addm gif0 up
Edited by mgo

Share this post


Link to post
Share on other sites

 

А можно поконкретнее. Что то у меня не получается... Поднял GRE-туннели. 

поконкретніше?

я про GRE-тунель нічого не говорив, ви собі його підняли, от і розбирайтеся з ним. 

ifconfig gif0 create
ifconfig gif0 mtu 1500 //по дефолту 1280 і невлазить в брідж з мережевков.
ifconfig gif0 tunnel    1.2.3.4    5.6.7.8    up

оце щастя вставляєм в файл /etc/rc.local і перегружаємся

 

1.2.3.4 - адрес який стоїть тут

5.6.7.8 - адрес який стоїть там

якщо записати навпаки пахати небуде 

man bridge почитайте чи що.

 

і релеї непотрібні тоді

 

 

 

10.156.121.66 адрес НАС 

233.125.29.140  адрес білінга

rc.local на НАС-і

 cat /etc/rc.local
ifconfig gif0 create
ifconfig gif0 tunnel 10.156.121.66 233.125.29.140  up
ifconfig gif0 mtu 1500
ifconfig bridge0 addm gif0 up

ifconfig em1 up
ifconfig bridge0 addm em1 up

ifconfig em2 up
ifconfig bridge0 addm em2 up

ifconfig em3 up
ifconfig bridge0 addm em3 up

ifconfig bridge0 private em1 private em2 private em3 up 
//прапорець private, в бріджі пакети небігають між інтерфейсами на яких висить private

/etc/rscriptd/debtors.php

rc.local на білінгу

 cat /etc/rc.local
ifconfig gif0 create
ifconfig gif0 tunnel 233.125.29.140 10.156.121.66 up
ifconfig gif0 mtu 1500
ifconfig bridge0 addm gif0 up

 

Огромное спасибо! Очень доходчиво!

Share this post


Link to post
Share on other sites

 

А можно поконкретнее. Что то у меня не получается... Поднял GRE-туннели. 

поконкретніше?

я про GRE-тунель нічого не говорив, ви собі його підняли, от і розбирайтеся з ним. 

ifconfig gif0 create
ifconfig gif0 mtu 1500 //по дефолту 1280 і невлазить в брідж з мережевков.
ifconfig gif0 tunnel    1.2.3.4    5.6.7.8    up

оце щастя вставляєм в файл /etc/rc.local і перегружаємся

 

1.2.3.4 - адрес який стоїть тут

5.6.7.8 - адрес який стоїть там

якщо записати навпаки пахати небуде 

man bridge почитайте чи що.

 

і релеї непотрібні тоді

 

 

 

10.156.121.66 адрес НАС 

233.125.29.140  адрес білінга

rc.local на НАС-і

 cat /etc/rc.local
ifconfig gif0 create
ifconfig gif0 tunnel 10.156.121.66 233.125.29.140  up
ifconfig gif0 mtu 1500
ifconfig bridge0 addm gif0 up

ifconfig em1 up
ifconfig bridge0 addm em1 up

ifconfig em2 up
ifconfig bridge0 addm em2 up

ifconfig em3 up
ifconfig bridge0 addm em3 up

ifconfig bridge0 private em1 private em2 private em3 up 
//прапорець private, в бріджі пакети небігають між інтерфейсами на яких висить private

/etc/rscriptd/debtors.php

rc.local на білінгу

 cat /etc/rc.local
ifconfig gif0 create
ifconfig gif0 tunnel 233.125.29.140 10.156.121.66 up
ifconfig gif0 mtu 1500
ifconfig bridge0 addm gif0 up

 

Значить так... Ще раз дякую вам! Викинув GRE-туннель. З якоїсь причини я не зміг добавити його в брідж. Що тільки я не пробував - invalid argument і все... Підняв GIF - все запрацювало! Так що моя вам щира подяка за пораду!

Share this post


Link to post
Share on other sites

И снова здрасте!

Назрела вторая часть Марлезонского балета. Вроде все настроил, но тут обнаружился досадный факт: при добавлении на интерфейс флагов private собственно ничего не происходит! Пакеты между ними как бегали так и бегают! Конфиг аналогичный, с тем лишь отличием, что вместо физических интерфейсов у меня виртуальные. Более того, после добавления в bridge с неработающим флагом private сама суть вланов теряется (что не удивительно). Становится без разницы на каком интерфейсе свитча назначен влан. Короче DHCP пашет, но при этом никакой организации. С физическими интерфейсами все работает, но тогда юзверя во вланах остаются без автоматических айпишек. А это печалька. К сожалению инфы по этой теме крайне мало. Вроде все по man bridge и советам, но работает не так как надо.... Короче, нид хелп. Кстати, вопрос у меня простой. Стоит продолжать копать private или фаером все разрулить. А если честно, хотелось бы добить именно private vlan, потому что это я еще не делал.... 

Share this post


Link to post
Share on other sites

ви докинули в бріджа  транк інтерфейс і вілани?

тіпа em0, em0.01 ...

якщо так, попробуйте викинути транк звідти (em0)

Edited by mgo

Share this post


Link to post
Share on other sites

ви докинули в бріджа  транк інтерфейс і вілани?

тіпа em0, em0.01 ...

якщо так, попробуйте викинути транк звідти (em0)

не-не, в брижде только вланы, ну и туннель. Но ради эксперимента делал на бридж на интерфейсах. Но это только ради эксперимента... На интерфейсах все пашет. Но надо чтоб работало на вланах. Если транковый интерфейс кинуть в бридж к вланам по идее оно работать сможет, но так я не извращался....

Share this post


Link to post
Share on other sites

у мене нема досвіду роботи з віланами, що міг поміг.

 

зазвичай віланами на світчі рулиться, убілінг навіть уміє з ціско ото все автоматично робити.

обітцяли допиляти то все на фрю, але коли то буде нікому невідомо, навіть тому хто обітцяв :)

Share this post


Link to post
Share on other sites

у мене нема досвіду роботи з віланами, що міг поміг.

 

зазвичай віланами на світчі рулиться, убілінг навіть уміє з ціско ото все автоматично робити.

обітцяли допиляти то все на фрю, але коли то буде нікому невідомо, навіть тому хто обітцяв :)

vlan на юзера работает исключительно с циской

не буду я пилить под фрю\линукс

под линукс есть acell, у них там всё хорошо))

Share this post


Link to post
Share on other sites

у мене нема досвіду роботи з віланами, що міг поміг.

 

зазвичай віланами на світчі рулиться, убілінг навіть уміє з ціско ото все автоматично робити.

обітцяли допиляти то все на фрю, але коли то буде нікому невідомо, навіть тому хто обітцяв :)

Есть у меня цисак 3560g, но там я так понял надо использовать opt82, а в моем случае в faq написанно что то типа "недостаточно денег для использования функционала"))). Так что приходится изворачиваться....

Share this post


Link to post
Share on other sites

 

у мене нема досвіду роботи з віланами, що міг поміг.

 

зазвичай віланами на світчі рулиться, убілінг навіть уміє з ціско ото все автоматично робити.

обітцяли допиляти то все на фрю, але коли то буде нікому невідомо, навіть тому хто обітцяв :)

Есть у меня цисак 3560g, но там я так понял надо использовать opt82, а в моем случае в faq написанно что то типа "недостаточно денег для использования функционала"))). Так что приходится изворачиваться....

 

ну если сеть тупая - то да

если есть что-то что просто умеет вланы - вполне сгодится

всё что нужно от доступа повесить влан

дальше циска будет вешать опт82 и будет происходит авторизация по номеру влана и по циске откуда пришел запрос

Share this post


Link to post
Share on other sites

 

 

ну если сеть тупая - то да

Все гораздо печальнее... обнять и плакать...

Но вернемся к нашим баранам. Пакеты между вланами летят потому что в брижде находится gif0, который не private. Если сделать его private - вланы начинают работать корректно, но DHCP абонентам прилетать перестает... Варианты!? Ну кроме как убиться об стену....

Share this post


Link to post
Share on other sites

 

ну если сеть тупая - то да

Все гораздо печальнее... обнять и плакать...

Но вернемся к нашим баранам. Пакеты между вланами летят потому что в брижде находится gif0, который не private. Если сделать его private - вланы начинают работать корректно, но DHCP абонентам прилетать перестает... Варианты!? Ну кроме как убиться об стену....

 

вланы в бридж + дхцп релей на тунель, не? релей вроде можно пустить и без тунели по публичному инету))

Share this post


Link to post
Share on other sites

 

 

Пакеты между вланами летят потому что в брижде находится gif0

на білінгу повісьте на  gif0  приват, на НАС без привату

там десь завтик у вас, поексперементуйте з прапорцями на gif0 

https://www.freebsd.org/doc/handbook/network-bridging.html

Share this post


Link to post
Share on other sites

 

Пакеты между вланами летят потому что в брижде находится gif0

на білінгу повісьте на  gif0  приват, на НАС без привату

там десь завтик у вас, поексперементуйте з прапорцями на gif0 

https://www.freebsd.org/doc/handbook/network-bridging.html

 

Не допомогло. Поки на насі gif0 не приватний, пакети бігають поміж  вланами як заманеться.... А якщо приватний то дхцп не працює.

 

 

вланы в бридж + дхцп релей на тунель, не? релей вроде можно пустить и без тунели по публичному инету))

Ночью попробую, отпишусь. 

Share this post


Link to post
Share on other sites

Тут просматривал форум, наткнулся на интересность.... 

http://local.com.ua/forum/topic/43565-ubilling-nas-на-freebsd-бортжурнал-починаючого-адміна/?p=447865

 

 

я хочу  відмовився від EoIP після того як  напиляли урапвління DHCP сервером з білінгу. менше інтерфейсів, менше сексу)
 

и

 

 

Она и была изначально, только незадокументированная, т.к не работала должным образом... сейчас, в принципе, всё хорошо и с версии 0.4.3 сможете использовать, а сейчас могу предложить опробовать это дело на досуге, обновившись до current версии и обновив все скрипты в папке /etc/stargazer/...
 

а можно куда нибудь фейсом ткнуть, чтобы почитать как оно работает? 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By ppv
      Після переїзду на оновлений сервер (відповідно змінилась версія з PHP Version 5.4.45 на  PHP Version 7.4.0), вискакує помилка.
       
      Notice: Trying to access array offset on value of type null in /usr/local/www/apache24/data/billing/api/libs/api.corporate.php on line 81
       
      Хтось може щось підкаже

    • By KJack
      Продам NAS  4x250Gb hdd ціна 900 грн 







    • By Serverator
      Многодисковые хранилища с поддержкой RAID. 
      Некоторые модели в стойку
      Все новое запакованое, гарантия.
      Интерфейс - USB, 1394, Thunderbolt, RJ45
      Количество в наличии  1-3шт каждой модели
       
      ЦЕНЫ 50% от рыночных!!
       
      Stardom SOHOTANK ST5610 ST5610-4S-U5 RAID 0, 1, 3, 5, 6, 10 miniSAS 4-Bay miniSAS Пристрій гарячого заміни RAID.   90ye
      STARDOM Deck 4-Bay eSATA + FW400 / 800 + USB 2.0 корпус1U Підтримка RAID 5.  100ye
      Stardom Sohotank ST8-S2P-4Sx8 8-накопичувач SATA JBOD Корпус із інтерфейсом eSATA   300ye
      STARDOM SD-MR2-WBS2 - SOHORAID MR2-WBS2. 80ye
      STARDOM SOHORAID MR2-WB3 2-Bay USB корпус RAID 80ye
      Stardom DeckRaid DR5-WBS3 300ye
      Stardom Decktank DT2-WBS  80ye
      Stardom SR6500-WB ext.SOHO-RAID, 5 x IDE HDD, RAID 0,1,3,5 1394b, USB2 150ye
      Stardom Sohoraid SR4-WBS3+  150ye
      Stardom Safe Capsule SC2-WB3 2-Bay 3,5 "" SATA Firewire 800 x 2 порти + USB 3.0 порт RAID 0,1.  50ye
      Капсула Stardom Safe SC2-B2 RAID 1 / JBOD 2 3,5 "накопичувач накопичувачів 1x USB 2.0 підсистема RAID1 / JBOD і USB-концентратор, сумісний з Mac.  50ye
      STARDOM Sohotank ST2-WB3 2-Bay USB-RAID масив USB 3.0 60ye
      Qnap NAS Server TS-101 Turbo Statio 100ye
      AKiTiO Neutrino Thunder Duo 2 x 1TB 2,5 "Thunderbolt x 2 Mac AK-NEU2-TIS-AKT1UH THUNDER DUO Thunderbolt.   80ye
      miniEPICa серія EP-D501-C3A 3,5- USB 3.0, eSATA, 1394b-SATA II RAID на 5 Bays 100ye
      Areca ARC-5040  350ye







    • By NETOS
      Всем привет. Подскажите пожалуйста, хочу перенести биллинг на другой сервер с другим ip. Что перенести кроме самой базы и конфигов? И ещё как с платежными системами будет установлена связь? На что может повлиять смена ip сервера?
×