спасибо, уже разобрался, проблема действительно была с маршрутами на бордере
дорисовал
static route x.x.104.0/22 next-hop 10.21.0.1
и перенастроил rc.conf, кокос начал расти. Собирался сегодня как раз отписаться, в чем была проблема

с анонсами все нормально, в RIPe есть запись RoA: x.x.104.0/22ASxxxx , чтобы пропускало все more specific анонсы вплоть до /24.
адреса рабочие.
Я наверное не правильно выразился. Есть пул адресов /22, полностью настроен рабочий. Пользуем нодени+ с пппое и эти ипы.
Есть группа юриков которых не устраивает пппое, и вот руководство поставило задачу, включать их статикой на реал ипы. Соответственно  подключать их на прямую к нашему бордеру, ну совсем ни комильфо, без какого либо контроля и надзора. Поэтому решили на отдельном сервере, поднять отдельный влан, запихнуть туда часть реальных адресов и выставить этот сервер шлюзом. И вот попали в эту заковыку.

зы: к примеру есть реальный адрес x.x.104.29, прописанный на
ifconfig_igb1="inet x.x.104.29  netmask 255.255.255.0"
он работает и выходит в инет,
делаю загоняю его во влан

ifconfig_vlan704="inet x.x.104.29 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500"
пускаю на машину влан704, прописываю x.x.104.29 шлюзом, с машины шлюз пингуется, а инета нет
получается с влана нет выхода в инет, если меняю на серый ип

ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500"
все работает инет приходит, номер влана и маска на данные момент не имеют значения, это как пример

ззы: в настройках ifconfig_vlan пробовал менять интерфейс на igb1, чтоб крутилось все на одном, менять маску для проверки на полную /22
пустить адреса через нат
binat pass on $ext_if from x.x.104.0/22 to any -> x.x.104.29/22
Получается с влана нет выхода в инет, при чем только на реальном ип

простите, как то вылетело, используем bgp full view, ипы крутятся на нашей AS.
В том то и дело должно работать, но не работает, и что не так не понятно, уже пробовал навесить на один интерфейс, и все равно не работает, пытался прописать маршруты, говорит маршрут уже есть

route: writing to routing socket: File exists
add net x.x.x.0: gateway x.x.x.x fib 0: route already in table

хз что не так, мысли уже кончаются, но думаю косяк где то в маршрутах, нужно как то, направить трафик влана в инет

Доброго времени!
Есть не большой пул реальных ip адресов, задача разделить их в несколько вланов, чтоб можно было их прописывать статикой, и этот сервер выступал шлюзом, но кокос не растет
rc.conf

Код:

cloned_interfaces="vlan20 vlan703 vlan704 vlan705"
ifconfig_igb0="up"

ifconfig_igb1="inet x.x.104.29  netmask 255.255.255.0"
ifconfig_lo0_alias0="inet 10.255.0.29 netmask 255.255.255.255"

ifconfig_vlan20="inet 10.200.0.29 netmask 255.255.0.0 vlan 20 vlandev igb0 mtu 1500"
ifconfig_vlan703="inet x.x.105.25 netmask 255.255.255.0 vlan 703 vlandev igb0 mtu 1500"
ifconfig_vlan704="inet x.x.106.5 netmask 255.255.255.0 vlan 704 vlandev igb0 mtu 1500"
ifconfig_vlan705="inet 10.210.0.1 netmask 255.255.240.0 vlan 705 vlandev igb0 mtu 1500"

defaultrouter="x.x.104.1"
gateway_enable="YES"

firewall_enable="YES"
firewall_type="OPEN"
#firewall_logging="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"

sshd_enable="YES"

pf.conf

Код:

ext_if = "igb1"

set limit states 16000000
set optimization aggressive
set limit frags 1000000
set limit src-nodes 200000
set limit table-entries 1000000

nat pass on $ext_if from 10.0.0.0/8 to any -> x.x.104.29

в фаервол прописываю правила

Код:

${f} add 28 allow all from 10.210.0.10 to any
${f} add 28 allow all from any to 10.210.0.10

${f} add 29 allow all from x.x.105.45 to any
${f} add 29 allow all from any to x.x.105.45

${f} add 30 allow all from x.x.106.15 to any
${f} add 30 allow all from any to x.x.106.15

и вот в чем беда, с серыми адресами все работает, на машине в 705 влане с адресом 10.210.0.10, все работает инет есть все как положено, а в 703 и 704 влане инета нет, в чем беда не могу разобраться, в фаервол пробовал прописать

ipfw add 26allow ip from x.x.104.1/24 to x.x.105.1/24
ipfw add 27 allow ip from x.x.105.1/24 to x.x.104.1/24
вообще отключал фаервол, эффекта ни какого,
т.к ip реальные в нате нет смысла они должны сразу выходить в мир, но на всякий случай пробовал добавить в pf

binat pass on $ext_if from x.x.105.0/24 to any -> x.x.105.25/24

так же не дало результата.
прошу помощи у знающих людей, может кто знает в чем может быть заковырка
зы: влан 20 это управление

rc.firewall

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='ixl1'
#ifOut='re0 ng0 ng1'

ifVia=''
ifRecv=''
tmp_or=''
for i in $ifOut
  do
    ifVia="${ifVia}${tmp_or}via $i"
    ifRecv="${ifRecv}${tmp_or}recv $i"
    tmp_or=' or '
  done

${f} -f flush

#8282
${f} table 22 add 10.20.0.0/16
${f} table 22 add 92.242.103.0/28

# dns, www/liqpay/com, liqpay/com
${f} table 100 add 8.8.8.8
${f} table 100 add 50.16.196.80

# mysql slave server cs/csmoney/net
${f} table 101 add 95.47.104.50

#reading blacklist from file to table 33
cat /etc/blacklist | egrep -v "^$|^#" | { while read ip;
do
${f} -f table 33 add $ip;
done;
}

#deny BLACKLISTED addresses
${f} add 15 reset ip from any to "table(33)"
${f} add 15 deny ip from "table(33)" to any
#end DENY

#123
${f} table 123 add 10.0.0.0/8
${f} table 123 add 95.47.104.0/22
${f} table 123 add 92.242.103.160/28

#allow telnet to MPD console from vlan6
${f} add 1 allow ip from me to me 5006
${f} add 13 allow tcp from "table(123)" to me 5006
${f} add 13 allow tcp from 10.20.0.0/16 to me 5005
${f} add 14 deny ip from any to me 5005,5006

${f} add 2 allow tcp from "table(22)" to me 8282
${f} add 2 allow tcp from me 8282 to "table(22)"

${f} add 5 allow tcp from 10.20.0.4 to me 8282
${f} add 5 allow tcp from me 8282 to 10.20.0.4

#Cacti
${f} add 6 allow udp from 10.20.0.0/16 to me 161
${f} add 6 allow udp from me 161 to 10.20.0.0/16

#Access to bill and site for abonents
${f} add 9 allow tcp from any to 95.47.104.2 443
${f} add 9 allow tcp from 95.47.104.2 443 to any
${f} add 9 allow tcp from any to 95.47.104.2 80
${f} add 9 allow tcp from 95.47.104.2 80 to any
${f} add 10 allow tcp from 95.47.104.4 80 to any
${f} add 10 allow tcp from any to 95.47.104.4 80
#end section
${f} add 16 allow ip from "table(123)" to me 80,443
${f} add 17 deny ip from any to me 80,443

${f} add 11 allow ip from me to 95.47.104.2
${f} add 11 allow ip from 95.47.104.2 to me
${f} add 11 allow tcp from me to 95.47.104.2
${f} add 11 allow tcp from 95.47.104.2 to me
######
${f} add 18 allow ip from 10.20.0.52 to any
${f} add 18 allow ip from any to 10.20.0.52
######
# NTP
${f} add 38 allow udp from "table(123)" to me 123
${f} add 38 allow udp from me 123 to "table(123)"

${f} add 50 deny tcp from any to me 22
${f} add 51 allow tcp from me 22 to any


#allow some icmp
${f} add 70 allow icmp from 92.242.103.160/28 to me in icmptype 8
${f} add 71 allow icmp from 95.47.104.0/22 to me in icmptype 8
${f} add 72 allow icmp from 10.0.0.0/8 to me in icmptype 8
${f} add 73 allow icmp from me to any in icmptype 8

#deny section
${f} add 45 deny ip from 10.10.0.0/16 to 10.10.0.0/16
${f} add 89 deny icmp from any to me in icmptype 8
${f} add 90 deny ip from any to me 80,161,162,443,8282,5005,5006
#deny section end


${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any { $ifVia }

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any { $ifRecv }
#if [ $use_ipcad_divert ]; then
#  ${f} add 420 divert 1 ip from any to any
#  ${f} add 450 divert 2 ip from any to any
#fi
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
#if [ $use_ipcad_divert ]; then
#  ${f} add 510 divert 1 ip from any to any
#fi
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 22,80,443,5006
${f} add 2030 allow tcp from "table(101)" to any 3306
${f} add 2050 deny ip from any to any { $ifVia }
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any

${f} add 4500 allow ip from any to "table(100)"
${f} add 32490 deny ip from any to any
${f} add 32500 allow ip from "table(100)" to any

простите пришлось подкорректировать ругался на ссылки

Доброго времени!
Возникла проблема с потоковым видео, скажу сразу своего iptv не имеем из-за обилия таковых на рынке, но в последнее время абоны начали жаловаться, на то что в вечернее время не возможно смотреть смарт тв (тормозит, виснет или разваливается). При чем при проверки скорости на спидтесте все отлично, при загрузках на торент, просмотре фильмов на ресурсах или еще чего-то, все прекрасно, проблема именно в потоковом видео. Я так полагаю проблема в однопотоке, так как большая часть всего этого работает в многопотоке,и имеют большое количество точек доступа, в отличии от телевидения которое висит на одном потоке. Вопрос в следующем может кто сталкивался с такой проблемой и знает что нужно в нынешних реалих донастроить на серверах или оборудовании.
Тариф в сети 100 и 250Мб
Сетевые 10G, средняя нагрузка на сервер 1-1,5Гб
Процессоры Intel Core i5 Skylake, Coffee Lake и Ryzen 9 3900X, ОЗУ 8-32Гб
Оборудование зоопарк ядро Juniper, остальное оборудование zyxel, d-link"и и Эльтексы
По серверам База отдельно и несколько Пппое  насов на freebsd один 10.2, остальные 11.2 и 12.0 проблема на всех, настроены все идентично
pf.conf

Код:

ext_if = "ixl1"

set limit states 16000000
set optimization aggressive
set limit frags 1000000
set limit src-nodes 200000
set limit table-entries 1000000

nat pass on $ext_if from 10.0.0.0/8 to any -> 95.47.105.50

mpd.conf

Код:

startup:
    set user admin passwd_mpd admin
    set console self 10.20.0.12 5005
    set console open
    set web self 0.0.0.0 5006
    set web open
#
    set netflow peer 10.20.0.1 8889
    set netflow self 10.20.0.12 60000
    set netflow timeouts 5 15
#


default:
    load pppoe_server

pppoe_server:
    create bundle template B
    set ipcp ranges 10.255.0.12/32 127.0.0.2/32
    set ipcp dns 10.255.0.12 8.8.8.8 8.8.4.4
#
    set iface enable netflow-in
    set iface enable netflow-out
    set iface enable netflow-once
#
    set iface idle 0
    set iface enable proxy-arp
    set iface enable tcpmssfix
    set ccp yes mppc
    set mppc yes e40
    set mppc yes e56
    set mppc yes e128
    set mppc yes stateless
    set mppc yes compress
    set ecp disable dese-bis dese-old
    log *
    create link template common pppoe
    set link enable multilink
    set link action bundle B
    set link disable chap pap eap
    set link enable pap
#    set link mtu 1460
#    set link mru 1460
    load radius
    set pppoe service "*"
    create link template ixl0 common
    set link max-children 1000
    set pppoe iface ixl0
    set auth max-logins 1
    set auth timeout 60
    set link enable peer-as-calling
    set link enable incoming

    create link template vlan6 common
    set pppoe iface vlan6
    set link enable incoming

    create link template vlan21 common
    set pppoe iface vlan21
    set link enable incoming

    create link template vlan22 common
    set pppoe iface vlan22
    set link enable incoming
....
    create link template vlan300 common
    set pppoe iface vlan300
    set link enable incoming

radius:
    set radius server 10.20.0.1 hardpass4_radius 1812 1813
    set radius retries 1
    set radius timeout 3
    set radius me 10.20.0.12
    set auth acct-update 45
    set auth enable radius-auth
    set auth enable radius-acct
    set radius enable message-authentic

rc.conf

Код:

hostname="ryzen"

cloned_interfaces="vlan6 vlan21 vlan22......vlan300"

ifconfig_ixl1="inet 95.47.105.50 netmask 255.255.252.0"

ifconfig_ixl0="UP"
ifconfig_vlan6="inet 10.20.0.12 netmask 255.255.0.0 vlan 6 vlandev ixl0 mtu 1500"
ifconfig_vlan21="vlan 21 vlandev ixl0 mtu 1500"
ifconfig_vlan22="vlan 22 vlandev ixl0 mtu 1500"
.....
ifconfig_vlan300="vlan 300 vlandev ixl0 mtu 1500"

#LOOPBACK
ifconfig_lo0_alias0="inet 10.255.0.12 netmask 255.255.255.255"

defaultrouter="95.47.104.1"

#Firewall
firewall_enable="YES"
firewall_type="OPEN"
#firewall_logging="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
gateway_enable="YES"

#SSH
sshd_enable="YES"

#DNS
local_unbound_enable="YES"

#NTP
ntpd_enable="YES"
ntp_sync_on_start="YES"

#WEB
apache24_enable="YES"

#SNMP
snmpd_enable="YES"
snmpd_conffile="/usr/local/etc/snmpd.conf"
snmpd_flags="-a"
snmptrap_enable="NO"
snmptraps_flags="-a -p /var/run/snmptrapd.pid"

#MPD
mpd_enable="YES"

#OTHER
sendmail_enable="NO"
dumpdev="NO"
usbd_enable="YES"
fsck_y_enable="YES"
update_motd="NO"
inetd_enable="YES"
tcp_drop_ssynfin="YES"

Если нужен конфиг оборудования добавлю.Спасибо

поставил до 2050, все нормально, проблем пока не замечено тестим на 3х браузерах (хром, опера, лиса)

пока решение, только откатить дату на вчера, но появляются другие траблы

в общем если изменить на сервере время, на вчера, то вход в биллинг происходит, но тогда проблема с платежами и авторизацией

в общем если изменить на сервере время, на вчера, то вход в биллинг происходит, но тогда проблема с платежами и авторизацией

UP, та же проблема, не могу залогинется в админке, не под юзером не под админом если ввести не верный логин или пароль, то все как обычно, пишет не верный логин и пишет лог

Код:

31.12.2020 05:15 user id=0 ! 95.47.108.100. Неудачная попытка залогиниться под логином 29696
31.12.2020 06:28 user id=0 ! 178.133.36.61. Неудачная попытка залогиниться под логином kydinov
31.12.2020 07:00 user id=0 ! 91.216.61.18. Неудачная попытка залогиниться под логином 73367

если ввести все правилно, то просто остается на странице логи на и пароля, в логе даже нет записи о попытки входа
все службы запущены, перезапуск не помогает
не служб ни сервера

Код:

# df -h
Filesystem        Size    Used   Avail Capacity  Mounted on
/dev/raid/r0p2     19G    719M     17G     4%    /
devfs             1,0K    1,0K      0B   100%    /dev
/dev/raid/r0p3     19G     32M     18G     0%    /tmp
/dev/raid/r0p4     39G     20G     15G    57%    /usr
/dev/raid/r0p5    3,3T    370G    2,6T    12%    /var
/dev/raid/r1p1    6,7T    1,7T    4,5T    27%    /mnt

Код:

 ps ax | grep no
17574  -  Ss      1984:48,69 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d -m=
16285 v0- S      28618:38,01 /usr/bin/perl /usr/local/nodeny/noserver.pl -d
16286 v0- S     309929:34,33 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=cap
77808 11  S+         0:00,00 grep no
45004 16  S        209:36,71 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d

Код:

 ps ax | grep my
40025  -  Is         0:00,02 /bin/sh /usr/local/bin/mysqld_safe --defaults-extra-file=/var/db/mysql/my.cnf --basedir=/usr/local --datadir=/var/db/mysql --pid-file=/var
40788  -  S      21313:37,54 /usr/local/libexec/mysqld --defaults-extra-file=/var/db/mysql/my.cnf --basedir=/usr/local --datadir=/var/db/mysql --plugin-dir=/usr/local/
77840 11  S+         0:00,00 grep my

Товарищи!
Как обстоят дела с модулем, обещали в марте, уже апрель инфы ноль.

день добрый!
В общем есть сервер с бд, и несколько насов с гигибитными сетевухами, появилась проблема со скоростью у абонентов, т.к. сетевухи упираются в потолок, взяли ещё пару гигабитных сетевух, агрегировали их freebsd 10.4, с другой стороны catalist 6500, но проблема осталась, больше гига не поднимаются изменили
 rc.conf

Код:

cloned_interfaces="lagg0 lagg1"
# WAN
ifconfig_igb0="UP"
ifconfig_igb3="UP"
ifconfig_lagg0="laggproto lacp laggport igb0 laggport igb3 наш ip netmask
255.255.0.0"
#LAN
ifconfig_igb1="UP"
ifconfig_igb2="UP"
ifconfig_lagg1="laggproto lacp laggport igb1 laggport igb2"

rc.firewall

Код:

ifOut='lagg0'

pf.conf

Код:

ext_if = "lagg0"

mpd.conf

Код:

 create link template lagg1 common
set pppoe iface lagg1

после долгих гуглений, поняли что на freebsd агрегат нормально не отрабатывает, вот и возник вопрос может кто то с этим сталкивался, или может есть какой то вариант, настроить Mpd на два интерфейса, так чтоб к примеру igb0 ловила себе абонов, а igb3 себе иподнимали каждая по гигу , вот как то так

Спасибо!

Попросили - добавил фичу загрузки фото на точку топологии

эта функция ещё работает? раньше в при нажатии на точку, вроде был пункт,а сейчас ничего

Когда абонент идет в личный кабинет, NAS считает, что он пытается получить доступ в интернет. Скорее всего нужно ip сервера с личным кабинетом добавить в таблицу 100 ipfw

в таблицу 100 ipfw добавлен домен сервера(имя.ua),и раньше отрабатывало нормально, попробую именно ip, пока проблему решила вот так:

Код:

${f} add 9 allow tcp from any to my.ip 443
${f} add 9 allow tcp from my.ip 443 to any
${f} add 9 allow tcp from any to my.ip 80
${f} add 9 allow tcp from my.ip 80 to any

спасибо, за помощь