Биллинговая система Nodeny

Главная категория => Nodeny 50 => Тема начата: Elisium от 12 Февраля 2011, 00:27:04


Название: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 12 Февраля 2011, 00:27:04
Люди-человеки помогите!
Полдня ломаю голову - внятного решения .. да что там решения - причины даже не вижу ...
Ниже много текста - по простому не получается написать .. ((((

Предыстория:
Есть шлюз. На шлюзе стоит две сетевухи - одна смотрит в сегмент с серверами (серый ип), вторая - в инет (белый ип).
Из полезного софта дамминет и нат на пф.
Также на нем висят сателлиты доступа и авторизации.
Оба сателлита конфигурятся с помощью общего файлика sat.cfg.
В файлике в качестве данных указаны данные БД локального биллинга.
Биллинг. Одна сетевуха воткнута в сегмент с серверами. Тоесть один ифейс у шлюза и ифейс у биллинга в одном сегменте сети.
В данной конфигурации все отличненько пашет без проблем не перегружаясь уже почти с полгода.

Теперь ближе к телу...
Возникла некая .. ээ .. необходимость перенести базу биллинга подальше из ее исторического месторасположения (сегмент серверов) в отдаленное место в интернете.
Тоесть теперь схема такая:
Код:
Сервера -> Шлюз -> ИНЕТ -> БД_биллинга.
Клиенты -----|
Во всех нужных конфигах были изменены ТОЛЬКО ИПЫ БД БИЛЛИНГА. ВСЁ.
Правила фаервола были соответствующим образом подкорректированы.
База успешно перенеслась, все зависящие от нее модули (номейк и доступа, несколько самописных модулей) завелись успешно.
Также успешно поднялся и сателлит авторизации: прибиндился к порту, соединился с базой, ошибок в логе нет- все норм.
НО!!!!!!! Ни один клиент из локальной сети не может авторизироваться с помощью авторизатора (ключика)!

Включаю nol2auth.pl -v.
Смотрю в лог. Соединение с БД успешно, тарифы/направления загружены успешно. А дальше идет только вот ОЧЕНЬ МНОГО вот этого:
Код:
nol2auth:               # === Пакет от 192.168.13.29
nol2auth:               # Запрос на авторизацию. Тип авторизации: логин+пароль+ip. ID запроса=25a747198. Зашифрованный ключ послан в ответ
ВАЖНО !!! Строки бегут примерно со скоростью 20-30 строк в секунду
Через несколько минут начинает писать такое:
Код:
nol2auth:               # === Пакет от 192.168.21.112
nol2auth:               # === Последний раз информация о клиенте (id=) была получена так давно, что мы ее удаляем. Если сейчас не будут получены данные клиента, то это будет воспринято, что такого ip в базе данных нет
Потом авторизатор начинает всех кидать в бан-лист (((
До 2го шага авторизации не доходит...
Тоесть НИКАКИХ сообщений об успешной авторизации НЕТ ((((( Ключ, само собой, черный.

Делаю ход конем - возвращаю в файле sat.cfg ип СТАРОЙ ЛОКАЛЬНОЙ БАЗЫ на место, перезапускаю сателлит авторизации.
ВСЕ ключи у клиентов через 5 секунд зеленые .. ((((((((
НО - опять же смотрю в лог. Так вот, в ЭТОМ случае строки бегут, наверное, 200 строк в секунду, если не больше...

Пинги к локальной БД 1 мс, к удаленной - 50 мс.
Параметры для Агент L2-авторизации пробовал ставить такие:
Код:
это количество секунд не мучаем СУБД - 5/15/30 сек
Код:
время в секундах, чаще которого для конкретного клиента не будут получаться данные из БД. Это защита от чрезмерного обращения к БД. 10 секунд оптимально. Меньше 5 не рекомендуется - 10/20/30

ПОДСКАЖИТЕ, КАК можно побороть этот авторизатор ???!!!!


Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 12 Февраля 2011, 00:52:23
http://forum.nodeny.com.ua/index.php?topic=532.0

Такая же ситуация, решения не отписано ...

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Efendy от 12 Февраля 2011, 04:07:22
Сделай tcpdump с фильтром по одному из клиентских адресов и порту 7723

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium_forget_passwd(( от 12 Февраля 2011, 14:03:04
Код:
tcpdump -nli em2 "host 192.168.14.95 and udp port 7723"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em2, link-type EN10MB (Ethernet), capture size 96 bytes
12:58:42.295970 IP 192.168.14.95.1462 > 10.0.121.3.7723: UDP, length 9
12:58:47.281731 IP 192.168.14.95.1463 > 10.0.121.3.7723: UDP, length 9
12:58:52.438594 IP 192.168.14.95.1464 > 10.0.121.3.7723: UDP, length 9
12:58:57.460020 IP 192.168.14.95.1465 > 10.0.121.3.7723: UDP, length 9
12:59:02.725802 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:06.955225 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:12.364503 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:22.651156 IP 192.168.14.95.1470 > 10.0.121.3.7723: UDP, length 9
12:59:27.714546 IP 192.168.14.95.1471 > 10.0.121.3.7723: UDP, length 9
12:59:32.709328 IP 192.168.14.95.1472 > 10.0.121.3.7723: UDP, length 9
12:59:37.784225 IP 192.168.14.95.1475 > 10.0.121.3.7723: UDP, length 9
12:59:42.830941 IP 192.168.14.95.1476 > 10.0.121.3.7723: UDP, length 9
12:59:49.280255 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:53.420018 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:57.930522 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
13:00:08.016199 IP 192.168.14.95.1481 > 10.0.121.3.7723: UDP, length 9
13:00:13.122833 IP 192.168.14.95.1482 > 10.0.121.3.7723: UDP, length 9
13:00:18.116690 IP 192.168.14.95.1483 > 10.0.121.3.7723: UDP, length 9

Судя по этому, 9 байт - запрос авторизации, 27 байт - отсылка ключа.
В рабочем варианте (со старой базой) есть еще 87 байт, когда с авторизацией все ок.

п.с. напоминаю, что кроме ИПа БД не меняется НИЧЕГО ((

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 12 Февраля 2011, 14:21:06
Оффтоп:
Наконец вспомнил пароль на учетку ((

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 12 Февраля 2011, 21:51:49
Ни у кого нет никаких идей ???
Нужно разрулить ситуацию к следующей неделе, а никаких идей, кроме как "типа медленный канал" к удаленной базе, нет ((

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Efendy от 13 Февраля 2011, 10:03:10
Судя по tcpdump идет запрос, ответа нет, повторный запрос, ответа нет, еще один, и уже тогда идут 3 ответа, из-за этого рассинхронизация. Смотри откуда такие задержки - может где-то фаерволом они искусственно формируются...

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 13 Февраля 2011, 11:47:43
Фаерволы везде (для тестов) отключены - allow ip from any to any.
Пинги к локальному и удаленному серверам соответственно 1 и 50 мс.
Единственная разница - удаленная БД находится ЗА НАТом, который расположен на шлюзе с агентом авторизации.
Но другим то агентам (доступа и ядру) это совсем не мешает.

п.с. Если ответы приходят С ЗАДЕРЖКОЙ, где в агенте авторизации можно сделать изменения, что бы ответы ждало "подольше" ??

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Efendy от 13 Февраля 2011, 23:14:46
Агент авторизации не задерживает ответы, а отправляет сразу. Либо банит из-за слишком большого потока либо отвечает сразу. По tcpdump-у видно, что он отвечает на все пакеты, значит не банит. Что задерживает ответы - не видно отсюда

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 15 Февраля 2011, 13:52:55
В общем, что выяснилось дополнительно:
С утра ключики зеленые. К обеду - черные.
Тоесть, авторизатор ВСЕ ТАКИ авторизирует клиентов, но если поток запросов от них не превышает какойто величины.
Потом начинается прошлая история - бан-лист, черные ключи итд.

Авторизатор за каждым запросом от клиента лезет в базу ?
Мысли, кроме как недостаточной (???) производительности у удаленной базы, нету ((

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 15 Февраля 2011, 16:16:33
Хм .. поставил базу на выделенный сервак в УА-Иксе.
Пинг 3 мс.
Все летает (((

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: versus от 16 Февраля 2011, 12:55:57
Смотри в сторону взбешившегося свича, нагрузки на бд, нагрузки на сети, нет ли подмена арп запросам, нет ли ложного сервера  в сети. Вирусная обстьановка. Все это с этой стороны экрана мы проверить не можем.

Название: Re: Сателлит авторизации НЕ авторизирует.
Отправлено: Elisium от 16 Февраля 2011, 14:43:33
Да нет там никакой нагрузки ..
Агент авторизации стоит СРАЗУ на шлюзе. Весь канал свободен, шлюз почти напрямую в БГП.
На нашем же собственном хостинге все работает идеально.
Так что из подозрений пока только одно - используемый ВДС хостинг.
Попробую сначала поменять его на другой, если результат такой же - бум думать дальше ..


Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines