Просмотр сообщений
|
Страниц: [1] 2
|
1
|
Главная категория / Курилка / Re: freebsd, vlan'ы, маршрутизация
|
: 23 Февраля 2022, 14:29:45
|
спасибо, уже разобрался, проблема действительно была с маршрутами на бордере дорисовал static route x.x.104.0/22 next-hop 10.21.0.1 и перенастроил rc.conf, кокос начал расти. Собирался сегодня как раз отписаться, в чем была проблема
|
|
|
2
|
Главная категория / Курилка / Re: freebsd, vlan'ы, маршрутизация
|
: 22 Февраля 2022, 12:02:25
|
с анонсами все нормально, в RIPe есть запись RoA: x.x.104.0/22ASxxxx , чтобы пропускало все more specific анонсы вплоть до /24. адреса рабочие. Я наверное не правильно выразился. Есть пул адресов /22, полностью настроен рабочий. Пользуем нодени+ с пппое и эти ипы. Есть группа юриков которых не устраивает пппое, и вот руководство поставило задачу, включать их статикой на реал ипы. Соответственно подключать их на прямую к нашему бордеру, ну совсем ни комильфо, без какого либо контроля и надзора. Поэтому решили на отдельном сервере, поднять отдельный влан, запихнуть туда часть реальных адресов и выставить этот сервер шлюзом. И вот попали в эту заковыку.
зы: к примеру есть реальный адрес x.x.104.29, прописанный на ifconfig_igb1="inet x.x.104.29 netmask 255.255.255.0" он работает и выходит в инет, делаю загоняю его во влан
ifconfig_vlan704="inet x.x.104.29 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500" пускаю на машину влан704, прописываю x.x.104.29 шлюзом, с машины шлюз пингуется, а инета нет получается с влана нет выхода в инет, если меняю на серый ип
ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500" все работает инет приходит, номер влана и маска на данные момент не имеют значения, это как пример
ззы: в настройках ifconfig_vlan пробовал менять интерфейс на igb1, чтоб крутилось все на одном, менять маску для проверки на полную /22 пустить адреса через нат binat pass on $ext_if from x.x.104.0/22 to any -> x.x.104.29/22 Получается с влана нет выхода в инет, при чем только на реальном ип
|
|
|
3
|
Главная категория / Курилка / Re: freebsd, vlan'ы, маршрутизация
|
: 22 Февраля 2022, 09:25:53
|
простите, как то вылетело, используем bgp full view, ипы крутятся на нашей AS. В том то и дело должно работать, но не работает, и что не так не понятно, уже пробовал навесить на один интерфейс, и все равно не работает, пытался прописать маршруты, говорит маршрут уже есть
route: writing to routing socket: File exists add net x.x.x.0: gateway x.x.x.x fib 0: route already in table
хз что не так, мысли уже кончаются, но думаю косяк где то в маршрутах, нужно как то, направить трафик влана в инет
|
|
|
4
|
Главная категория / Курилка / freebsd, vlan'ы, маршрутизация
|
: 21 Февраля 2022, 11:31:54
|
Доброго времени! Есть не большой пул реальных ip адресов, задача разделить их в несколько вланов, чтоб можно было их прописывать статикой, и этот сервер выступал шлюзом, но кокос не растет rc.conf cloned_interfaces="vlan20 vlan703 vlan704 vlan705" ifconfig_igb0="up"
ifconfig_igb1="inet x.x.104.29 netmask 255.255.255.0" ifconfig_lo0_alias0="inet 10.255.0.29 netmask 255.255.255.255"
ifconfig_vlan20="inet 10.200.0.29 netmask 255.255.0.0 vlan 20 vlandev igb0 mtu 1500" ifconfig_vlan703="inet x.x.105.25 netmask 255.255.255.0 vlan 703 vlandev igb0 mtu 1500" ifconfig_vlan704="inet x.x.106.5 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500" ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500"
defaultrouter="x.x.104.1" gateway_enable="YES"
firewall_enable="YES" firewall_type="OPEN" #firewall_logging="YES" pf_enable="YES" pf_rules="/etc/pf.conf"
sshd_enable="YES"
pf.conf ext_if = "igb1"
set limit states 16000000 set optimization aggressive set limit frags 1000000 set limit src-nodes 200000 set limit table-entries 1000000
nat pass on $ext_if from 10.0.0.0/8 to any -> x.x.104.29
в фаервол прописываю правила ${f} add 28 allow all from 10.210.0.10 to any ${f} add 28 allow all from any to 10.210.0.10
${f} add 29 allow all from x.x.105.45 to any ${f} add 29 allow all from any to x.x.105.45
${f} add 30 allow all from x.x.106.15 to any ${f} add 30 allow all from any to x.x.106.15
и вот в чем беда, с серыми адресами все работает, на машине в 705 влане с адресом 10.210.0.10, все работает инет есть все как положено, а в 703 и 704 влане инета нет, в чем беда не могу разобраться, в фаервол пробовал прописать ipfw add 26allow ip from x.x.104.1/24 to x.x.105.1/24 ipfw add 27 allow ip from x.x.105.1/24 to x.x.104.1/24 вообще отключал фаервол, эффекта ни какого, т.к ip реальные в нате нет смысла они должны сразу выходить в мир, но на всякий случай пробовал добавить в pf binat pass on $ext_if from x.x.105.0/24 to any -> x.x.105.25/24 так же не дало результата. прошу помощи у знающих людей, может кто знает в чем может быть заковырка зы: влан 20 это управление
|
|
|
5
|
Главная категория / Курилка / Re: Тормозит потоковое видео
|
: 02 Февраля 2022, 10:03:32
|
rc.firewall #!/bin/sh - f='/sbin/ipfw'
ifOut='ixl1' #ifOut='re0 ng0 ng1'
ifVia='' ifRecv='' tmp_or='' for i in $ifOut do ifVia="${ifVia}${tmp_or}via $i" ifRecv="${ifRecv}${tmp_or}recv $i" tmp_or=' or ' done
${f} -f flush
#8282 ${f} table 22 add 10.20.0.0/16 ${f} table 22 add 92.242.103.0/28
# dns, www/liqpay/com, liqpay/com ${f} table 100 add 8.8.8.8 ${f} table 100 add 50.16.196.80
# mysql slave server cs/csmoney/net ${f} table 101 add 95.47.104.50
#reading blacklist from file to table 33 cat /etc/blacklist | egrep -v "^$|^#" | { while read ip; do ${f} -f table 33 add $ip; done; }
#deny BLACKLISTED addresses ${f} add 15 reset ip from any to "table(33)" ${f} add 15 deny ip from "table(33)" to any #end DENY
#123 ${f} table 123 add 10.0.0.0/8 ${f} table 123 add 95.47.104.0/22 ${f} table 123 add 92.242.103.160/28
#allow telnet to MPD console from vlan6 ${f} add 1 allow ip from me to me 5006 ${f} add 13 allow tcp from "table(123)" to me 5006 ${f} add 13 allow tcp from 10.20.0.0/16 to me 5005 ${f} add 14 deny ip from any to me 5005,5006
${f} add 2 allow tcp from "table(22)" to me 8282 ${f} add 2 allow tcp from me 8282 to "table(22)"
${f} add 5 allow tcp from 10.20.0.4 to me 8282 ${f} add 5 allow tcp from me 8282 to 10.20.0.4
#Cacti ${f} add 6 allow udp from 10.20.0.0/16 to me 161 ${f} add 6 allow udp from me 161 to 10.20.0.0/16
#Access to bill and site for abonents ${f} add 9 allow tcp from any to 95.47.104.2 443 ${f} add 9 allow tcp from 95.47.104.2 443 to any ${f} add 9 allow tcp from any to 95.47.104.2 80 ${f} add 9 allow tcp from 95.47.104.2 80 to any ${f} add 10 allow tcp from 95.47.104.4 80 to any ${f} add 10 allow tcp from any to 95.47.104.4 80 #end section ${f} add 16 allow ip from "table(123)" to me 80,443 ${f} add 17 deny ip from any to me 80,443
${f} add 11 allow ip from me to 95.47.104.2 ${f} add 11 allow ip from 95.47.104.2 to me ${f} add 11 allow tcp from me to 95.47.104.2 ${f} add 11 allow tcp from 95.47.104.2 to me ###### ${f} add 18 allow ip from 10.20.0.52 to any ${f} add 18 allow ip from any to 10.20.0.52 ###### # NTP ${f} add 38 allow udp from "table(123)" to me 123 ${f} add 38 allow udp from me 123 to "table(123)"
${f} add 50 deny tcp from any to me 22 ${f} add 51 allow tcp from me 22 to any
#allow some icmp ${f} add 70 allow icmp from 92.242.103.160/28 to me in icmptype 8 ${f} add 71 allow icmp from 95.47.104.0/22 to me in icmptype 8 ${f} add 72 allow icmp from 10.0.0.0/8 to me in icmptype 8 ${f} add 73 allow icmp from me to any in icmptype 8
#deny section ${f} add 45 deny ip from 10.10.0.0/16 to 10.10.0.0/16 ${f} add 89 deny icmp from any to me in icmptype 8 ${f} add 90 deny ip from any to me 80,161,162,443,8282,5005,5006 #deny section end
${f} add 110 allow ip from any to any via lo0 ${f} add 120 skipto 1000 ip from me to any ${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${f} add 160 skipto 2000 ip from any to me
${f} add 200 skipto 500 ip from any to any { $ifVia }
${f} add 300 skipto 4500 ip from any to any in
${f} add 400 skipto 450 ip from any to any { $ifRecv } #if [ $use_ipcad_divert ]; then # ${f} add 420 divert 1 ip from any to any # ${f} add 450 divert 2 ip from any to any #fi ${f} add 490 allow ip from any to any
${f} add 500 skipto 32500 ip from any to any in #if [ $use_ipcad_divert ]; then # ${f} add 510 divert 1 ip from any to any #fi ${f} add 540 allow ip from any to any
${f} add 1000 allow udp from any 53,7723 to any ${f} add 1010 allow tcp from any to any setup keep-state ${f} add 1020 allow udp from any to any keep-state ${f} add 1100 allow ip from any to any
${f} add 2000 check-state ${f} add 2010 allow icmp from any to any ${f} add 2020 allow tcp from any to any 22,80,443,5006 ${f} add 2030 allow tcp from "table(101)" to any 3306 ${f} add 2050 deny ip from any to any { $ifVia } ${f} add 2060 allow udp from any to any 53,7723
${f} add 2100 deny ip from any to any
${f} add 4500 allow ip from any to "table(100)" ${f} add 32490 deny ip from any to any ${f} add 32500 allow ip from "table(100)" to any простите пришлось подкорректировать ругался на ссылки
|
|
|
6
|
Главная категория / Курилка / Тормозит потоковое видео
|
: 02 Февраля 2022, 10:00:42
|
Доброго времени! Возникла проблема с потоковым видео, скажу сразу своего iptv не имеем из-за обилия таковых на рынке, но в последнее время абоны начали жаловаться, на то что в вечернее время не возможно смотреть смарт тв (тормозит, виснет или разваливается). При чем при проверки скорости на спидтесте все отлично, при загрузках на торент, просмотре фильмов на ресурсах или еще чего-то, все прекрасно, проблема именно в потоковом видео. Я так полагаю проблема в однопотоке, так как большая часть всего этого работает в многопотоке,и имеют большое количество точек доступа, в отличии от телевидения которое висит на одном потоке. Вопрос в следующем может кто сталкивался с такой проблемой и знает что нужно в нынешних реалих донастроить на серверах или оборудовании. Тариф в сети 100 и 250Мб Сетевые 10G, средняя нагрузка на сервер 1-1,5Гб Процессоры Intel Core i5 Skylake, Coffee Lake и Ryzen 9 3900X, ОЗУ 8-32Гб Оборудование зоопарк ядро Juniper, остальное оборудование zyxel, d-link"и и Эльтексы По серверам База отдельно и несколько Пппое насов на freebsd один 10.2, остальные 11.2 и 12.0 проблема на всех, настроены все идентично pf.conf ext_if = "ixl1"
set limit states 16000000 set optimization aggressive set limit frags 1000000 set limit src-nodes 200000 set limit table-entries 1000000
nat pass on $ext_if from 10.0.0.0/8 to any -> 95.47.105.50
mpd.conf startup: set user admin passwd_mpd admin set console self 10.20.0.12 5005 set console open set web self 0.0.0.0 5006 set web open # set netflow peer 10.20.0.1 8889 set netflow self 10.20.0.12 60000 set netflow timeouts 5 15 #
default: load pppoe_server
pppoe_server: create bundle template B set ipcp ranges 10.255.0.12/32 127.0.0.2/32 set ipcp dns 10.255.0.12 8.8.8.8 8.8.4.4 # set iface enable netflow-in set iface enable netflow-out set iface enable netflow-once # set iface idle 0 set iface enable proxy-arp set iface enable tcpmssfix set ccp yes mppc set mppc yes e40 set mppc yes e56 set mppc yes e128 set mppc yes stateless set mppc yes compress set ecp disable dese-bis dese-old log * create link template common pppoe set link enable multilink set link action bundle B set link disable chap pap eap set link enable pap # set link mtu 1460 # set link mru 1460 load radius set pppoe service "*" create link template ixl0 common set link max-children 1000 set pppoe iface ixl0 set auth max-logins 1 set auth timeout 60 set link enable peer-as-calling set link enable incoming
create link template vlan6 common set pppoe iface vlan6 set link enable incoming
create link template vlan21 common set pppoe iface vlan21 set link enable incoming
create link template vlan22 common set pppoe iface vlan22 set link enable incoming .... create link template vlan300 common set pppoe iface vlan300 set link enable incoming
radius: set radius server 10.20.0.1 hardpass4_radius 1812 1813 set radius retries 1 set radius timeout 3 set radius me 10.20.0.12 set auth acct-update 45 set auth enable radius-auth set auth enable radius-acct set radius enable message-authentic
rc.conf hostname="ryzen"
cloned_interfaces="vlan6 vlan21 vlan22......vlan300"
ifconfig_ixl1="inet 95.47.105.50 netmask 255.255.252.0"
ifconfig_ixl0="UP" ifconfig_vlan6="inet 10.20.0.12 netmask 255.255.0.0 vlan 6 vlandev ixl0 mtu 1500" ifconfig_vlan21="vlan 21 vlandev ixl0 mtu 1500" ifconfig_vlan22="vlan 22 vlandev ixl0 mtu 1500" ..... ifconfig_vlan300="vlan 300 vlandev ixl0 mtu 1500"
#LOOPBACK ifconfig_lo0_alias0="inet 10.255.0.12 netmask 255.255.255.255"
defaultrouter="95.47.104.1"
#Firewall firewall_enable="YES" firewall_type="OPEN" #firewall_logging="YES" pf_enable="YES" pf_rules="/etc/pf.conf" pflog_enable="YES" pflog_logfile="/var/log/pflog" gateway_enable="YES"
#SSH sshd_enable="YES"
#DNS local_unbound_enable="YES"
#NTP ntpd_enable="YES" ntp_sync_on_start="YES"
#WEB apache24_enable="YES"
#SNMP snmpd_enable="YES" snmpd_conffile="/usr/local/etc/snmpd.conf" snmpd_flags="-a" snmptrap_enable="NO" snmptraps_flags="-a -p /var/run/snmptrapd.pid"
#MPD mpd_enable="YES"
#OTHER sendmail_enable="NO" dumpdev="NO" usbd_enable="YES" fsck_y_enable="YES" update_motd="NO" inetd_enable="YES" tcp_drop_ssynfin="YES"
Если нужен конфиг оборудования добавлю.Спасибо
|
|
|
10
|
Главная категория / Nodeny Plus / Re: нет доступа в веб интерфейс ни под админом ни под пользователем
|
: 31 Декабря 2020, 07:25:35
|
UP, та же проблема, не могу залогинется в админке, не под юзером не под админом если ввести не верный логин или пароль, то все как обычно, пишет не верный логин и пишет лог 31.12.2020 05:15 user id=0 ! 95.47.108.100. Неудачная попытка залогиниться под логином 29696 31.12.2020 06:28 user id=0 ! 178.133.36.61. Неудачная попытка залогиниться под логином kydinov 31.12.2020 07:00 user id=0 ! 91.216.61.18. Неудачная попытка залогиниться под логином 73367
если ввести все правилно, то просто остается на странице логи на и пароля, в логе даже нет записи о попытки входа все службы запущены, перезапуск не помогает не служб ни сервера # df -h Filesystem Size Used Avail Capacity Mounted on /dev/raid/r0p2 19G 719M 17G 4% / devfs 1,0K 1,0K 0B 100% /dev /dev/raid/r0p3 19G 32M 18G 0% /tmp /dev/raid/r0p4 39G 20G 15G 57% /usr /dev/raid/r0p5 3,3T 370G 2,6T 12% /var /dev/raid/r1p1 6,7T 1,7T 4,5T 27% /mnt
ps ax | grep no 17574 - Ss 1984:48,69 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d -m= 16285 v0- S 28618:38,01 /usr/bin/perl /usr/local/nodeny/noserver.pl -d 16286 v0- S 309929:34,33 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=cap 77808 11 S+ 0:00,00 grep no 45004 16 S 209:36,71 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d
ps ax | grep my 40025 - Is 0:00,02 /bin/sh /usr/local/bin/mysqld_safe --defaults-extra-file=/var/db/mysql/my.cnf --basedir=/usr/local --datadir=/var/db/mysql --pid-file=/var 40788 - S 21313:37,54 /usr/local/libexec/mysqld --defaults-extra-file=/var/db/mysql/my.cnf --basedir=/usr/local --datadir=/var/db/mysql --plugin-dir=/usr/local/ 77840 11 S+ 0:00,00 grep my
|
|
|
12
|
Главная категория / Общий раздел / агрегация или два интерфейса на mpd
|
: 06 Декабря 2017, 10:00:39
|
день добрый! В общем есть сервер с бд, и несколько насов с гигибитными сетевухами, появилась проблема со скоростью у абонентов, т.к. сетевухи упираются в потолок, взяли ещё пару гигабитных сетевух, агрегировали их freebsd 10.4, с другой стороны catalist 6500, но проблема осталась, больше гига не поднимаются изменили rc.conf cloned_interfaces="lagg0 lagg1" # WAN ifconfig_igb0="UP" ifconfig_igb3="UP" ifconfig_lagg0="laggproto lacp laggport igb0 laggport igb3 наш ip netmask 255.255.0.0" #LAN ifconfig_igb1="UP" ifconfig_igb2="UP" ifconfig_lagg1="laggproto lacp laggport igb1 laggport igb2"
rc.firewall pf.conf mpd.conf create link template lagg1 common set pppoe iface lagg1
после долгих гуглений, поняли что на freebsd агрегат нормально не отрабатывает, вот и возник вопрос может кто то с этим сталкивался, или может есть какой то вариант, настроить Mpd на два интерфейса, так чтоб к примеру igb0 ловила себе абонов, а igb3 себе иподнимали каждая по гигу , вот как то так
|
|
|
15
|
Главная категория / Модули NodenyPlus / Re: Модуль кредита
|
: 21 Февраля 2017, 11:57:24
|
Когда абонент идет в личный кабинет, NAS считает, что он пытается получить доступ в интернет. Скорее всего нужно ip сервера с личным кабинетом добавить в таблицу 100 ipfw
в таблицу 100 ipfw добавлен домен сервера(имя.ua),и раньше отрабатывало нормально, попробую именно ip, пока проблему решила вот так: ${f} add 9 allow tcp from any to my.ip 443 ${f} add 9 allow tcp from my.ip 443 to any ${f} add 9 allow tcp from any to my.ip 80 ${f} add 9 allow tcp from my.ip 80 to any
спасибо, за помощь
|
|
|
|