Биллинговая система Nodeny
23 Ноября 2024, 01:51:16 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1]
  Печать  
Автор Тема: Сателлит авторизации НЕ авторизирует.  (Прочитано 6901 раз)
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« : 12 Февраля 2011, 00:27:04 »

Люди-человеки помогите!
Полдня ломаю голову - внятного решения .. да что там решения - причины даже не вижу ...
Ниже много текста - по простому не получается написать .. ((((

Предыстория:
Есть шлюз. На шлюзе стоит две сетевухи - одна смотрит в сегмент с серверами (серый ип), вторая - в инет (белый ип).
Из полезного софта дамминет и нат на пф.
Также на нем висят сателлиты доступа и авторизации.
Оба сателлита конфигурятся с помощью общего файлика sat.cfg.
В файлике в качестве данных указаны данные БД локального биллинга.
Биллинг. Одна сетевуха воткнута в сегмент с серверами. Тоесть один ифейс у шлюза и ифейс у биллинга в одном сегменте сети.
В данной конфигурации все отличненько пашет без проблем не перегружаясь уже почти с полгода.

Теперь ближе к телу...
Возникла некая .. ээ .. необходимость перенести базу биллинга подальше из ее исторического месторасположения (сегмент серверов) в отдаленное место в интернете.
Тоесть теперь схема такая:
Код:
Сервера -> Шлюз -> ИНЕТ -> БД_биллинга.
Клиенты -----|
Во всех нужных конфигах были изменены ТОЛЬКО ИПЫ БД БИЛЛИНГА. ВСЁ.
Правила фаервола были соответствующим образом подкорректированы.
База успешно перенеслась, все зависящие от нее модули (номейк и доступа, несколько самописных модулей) завелись успешно.
Также успешно поднялся и сателлит авторизации: прибиндился к порту, соединился с базой, ошибок в логе нет- все норм.
НО!!!!!!! Ни один клиент из локальной сети не может авторизироваться с помощью авторизатора (ключика)!

Включаю nol2auth.pl -v.
Смотрю в лог. Соединение с БД успешно, тарифы/направления загружены успешно. А дальше идет только вот ОЧЕНЬ МНОГО вот этого:
Код:
nol2auth:               # === Пакет от 192.168.13.29
nol2auth:               # Запрос на авторизацию. Тип авторизации: логин+пароль+ip. ID запроса=25a747198. Зашифрованный ключ послан в ответ
ВАЖНО !!! Строки бегут примерно со скоростью 20-30 строк в секунду
Через несколько минут начинает писать такое:
Код:
nol2auth:               # === Пакет от 192.168.21.112
nol2auth:               # === Последний раз информация о клиенте (id=) была получена так давно, что мы ее удаляем. Если сейчас не будут получены данные клиента, то это будет воспринято, что такого ip в базе данных нет
Потом авторизатор начинает всех кидать в бан-лист (((
До 2го шага авторизации не доходит...
Тоесть НИКАКИХ сообщений об успешной авторизации НЕТ ((((( Ключ, само собой, черный.

Делаю ход конем - возвращаю в файле sat.cfg ип СТАРОЙ ЛОКАЛЬНОЙ БАЗЫ на место, перезапускаю сателлит авторизации.
ВСЕ ключи у клиентов через 5 секунд зеленые .. ((((((((
НО - опять же смотрю в лог. Так вот, в ЭТОМ случае строки бегут, наверное, 200 строк в секунду, если не больше...

Пинги к локальной БД 1 мс, к удаленной - 50 мс.
Параметры для Агент L2-авторизации пробовал ставить такие:
Код:
это количество секунд не мучаем СУБД - 5/15/30 сек
Код:
время в секундах, чаще которого для конкретного клиента не будут получаться данные из БД. Это защита от чрезмерного обращения к БД. 10 секунд оптимально. Меньше 5 не рекомендуется - 10/20/30

ПОДСКАЖИТЕ, КАК можно побороть этот авторизатор Непонимающий!!!!

Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #1 : 12 Февраля 2011, 00:52:23 »

http://forum.nodeny.com.ua/index.php?topic=532.0

Такая же ситуация, решения не отписано ...
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #2 : 12 Февраля 2011, 04:07:22 »

Сделай tcpdump с фильтром по одному из клиентских адресов и порту 7723
Записан
Elisium_forget_passwd((
Новичок
*

Карма: 0
Offline Offline

Сообщений: 2


Просмотр профиля
« Ответ #3 : 12 Февраля 2011, 14:03:04 »

Код:
tcpdump -nli em2 "host 192.168.14.95 and udp port 7723"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em2, link-type EN10MB (Ethernet), capture size 96 bytes
12:58:42.295970 IP 192.168.14.95.1462 > 10.0.121.3.7723: UDP, length 9
12:58:47.281731 IP 192.168.14.95.1463 > 10.0.121.3.7723: UDP, length 9
12:58:52.438594 IP 192.168.14.95.1464 > 10.0.121.3.7723: UDP, length 9
12:58:57.460020 IP 192.168.14.95.1465 > 10.0.121.3.7723: UDP, length 9
12:59:02.725802 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:06.955225 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:12.364503 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:22.651156 IP 192.168.14.95.1470 > 10.0.121.3.7723: UDP, length 9
12:59:27.714546 IP 192.168.14.95.1471 > 10.0.121.3.7723: UDP, length 9
12:59:32.709328 IP 192.168.14.95.1472 > 10.0.121.3.7723: UDP, length 9
12:59:37.784225 IP 192.168.14.95.1475 > 10.0.121.3.7723: UDP, length 9
12:59:42.830941 IP 192.168.14.95.1476 > 10.0.121.3.7723: UDP, length 9
12:59:49.280255 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:53.420018 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
12:59:57.930522 IP 10.0.121.3.7723 > 192.168.14.95.7723: UDP, length 27
13:00:08.016199 IP 192.168.14.95.1481 > 10.0.121.3.7723: UDP, length 9
13:00:13.122833 IP 192.168.14.95.1482 > 10.0.121.3.7723: UDP, length 9
13:00:18.116690 IP 192.168.14.95.1483 > 10.0.121.3.7723: UDP, length 9

Судя по этому, 9 байт - запрос авторизации, 27 байт - отсылка ключа.
В рабочем варианте (со старой базой) есть еще 87 байт, когда с авторизацией все ок.

п.с. напоминаю, что кроме ИПа БД не меняется НИЧЕГО ((
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #4 : 12 Февраля 2011, 14:21:06 »

Оффтоп:
Наконец вспомнил пароль на учетку ((
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #5 : 12 Февраля 2011, 21:51:49 »

Ни у кого нет никаких идей Непонимающий
Нужно разрулить ситуацию к следующей неделе, а никаких идей, кроме как "типа медленный канал" к удаленной базе, нет ((
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #6 : 13 Февраля 2011, 10:03:10 »

Судя по tcpdump идет запрос, ответа нет, повторный запрос, ответа нет, еще один, и уже тогда идут 3 ответа, из-за этого рассинхронизация. Смотри откуда такие задержки - может где-то фаерволом они искусственно формируются...
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #7 : 13 Февраля 2011, 11:47:43 »

Фаерволы везде (для тестов) отключены - allow ip from any to any.
Пинги к локальному и удаленному серверам соответственно 1 и 50 мс.
Единственная разница - удаленная БД находится ЗА НАТом, который расположен на шлюзе с агентом авторизации.
Но другим то агентам (доступа и ядру) это совсем не мешает.

п.с. Если ответы приходят С ЗАДЕРЖКОЙ, где в агенте авторизации можно сделать изменения, что бы ответы ждало "подольше" ??
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4790



Просмотр профиля
« Ответ #8 : 13 Февраля 2011, 23:14:46 »

Агент авторизации не задерживает ответы, а отправляет сразу. Либо банит из-за слишком большого потока либо отвечает сразу. По tcpdump-у видно, что он отвечает на все пакеты, значит не банит. Что задерживает ответы - не видно отсюда
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #9 : 15 Февраля 2011, 13:52:55 »

В общем, что выяснилось дополнительно:
С утра ключики зеленые. К обеду - черные.
Тоесть, авторизатор ВСЕ ТАКИ авторизирует клиентов, но если поток запросов от них не превышает какойто величины.
Потом начинается прошлая история - бан-лист, черные ключи итд.

Авторизатор за каждым запросом от клиента лезет в базу ?
Мысли, кроме как недостаточной (Непонимающий) производительности у удаленной базы, нету ((
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #10 : 15 Февраля 2011, 16:16:33 »

Хм .. поставил базу на выделенный сервак в УА-Иксе.
Пинг 3 мс.
Все летает (((
Записан
versus
Администратор
Спец
*****

Карма: 21
Offline Offline

Сообщений: 845


44306843
Просмотр профиля WWW Email
« Ответ #11 : 16 Февраля 2011, 12:55:57 »

Смотри в сторону взбешившегося свича, нагрузки на бд, нагрузки на сети, нет ли подмена арп запросам, нет ли ложного сервера  в сети. Вирусная обстьановка. Все это с этой стороны экрана мы проверить не можем.
Записан
Elisium
NoDeny
Старожил
*

Карма: 19
Offline Offline

Сообщений: 360


На форумах "спасибом" называется плюс к карме.


Просмотр профиля
« Ответ #12 : 16 Февраля 2011, 14:43:33 »

Да нет там никакой нагрузки ..
Агент авторизации стоит СРАЗУ на шлюзе. Весь канал свободен, шлюз почти напрямую в БГП.
На нашем же собственном хостинге все работает идеально.
Так что из подозрений пока только одно - используемый ВДС хостинг.
Попробую сначала поменять его на другой, если результат такой же - бум думать дальше ..
Записан
Страниц: [1]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!