Миграция с 50.32

[Efendy]

сначала нужно проверить, что работает без  биллинга: ipfw add 1 allow ip from any to any

[NTE]

Без биллинга все работает.
Проверил сразу.
rc.firewall из "коробки" так сказать...
поменян только внешний иньерфейс и добавлен в табличку 101 айпи этого тестового сервера 10.0.0.6

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifOut='igb0'
#ifOut='re0 ng0 ng1'

use_ipcad_divert=YES


ifVia=''
ifRecv=''
tmp_or=''
for i in $ifOut
  do
    ifVia="${ifVia}${tmp_or}via $i"
    ifRecv="${ifRecv}${tmp_or}recv $i"
    tmp_or=' or '
 done

${f} -f flush

# dns, www.liqpay.com, liqpay.com
${f} table 100 add 8.8.8.8
${f} table 100 add 50.16.196.80
${f} table 100 add 107.21.122.223

# mysql slave server cs.csmoney.net
${f} table 101 add 50.17.182.68
${f} table 101 add 10.0.0.6
${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any { $ifVia }

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any { $ifRecv }
if [ $use_ipcad_divert ]; then
  ${f} add 420 divert 1 ip from any to any
  ${f} add 450 divert 2 ip from any to any
fi
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
if [ $use_ipcad_divert ]; then
  ${f} add 510 divert 1 ip from any to any
fi
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 22,80,443,5006
${f} add 2030 allow tcp from "table(101)" to any
${f} add 2050 deny ip from any to any { $ifVia }
${f} add 2060 allow udp from any to any 53,7723

${f} add 2100 deny ip from any to any
${f} add 4500 allow ip from any to "table(100)"
${f} add 32490 deny ip from any to any

${f} add 32500 allow ip from "table(100)" to any

[NTE]

Сорри.. наврал

Работал нормально до колдовства с нодени
А сейчас даже с

Код:

ipfw add 1 allow ip from any to any

не открывает страницы, хотя сайты по имени пингуются...
Где-то накосячил, ща поразбираюсь

[NTE]

С НАТом косяк был.
Все пашет, учетка управляется с центрального сервера.
Такой вопрос..
На NAS-сервере я запускаю только ДВА процесса: noserver.pl и nokernel.pl -m=collectors (ipcad установлен не на нем же)
А nokernel.pl с основными модулями ( в том числе и модулем authtraf) запущен на сервере с базой.

Правильно?

[elite]

С НАТом косяк был.
Все пашет, учетка управляется с центрального сервера.
Такой вопрос..
На NAS-сервере я запускаю только ДВА процесса: noserver.pl и nokernel.pl -m=collectors (ipcad установлен не на нем же)
А nokernel.pl с основными модулями ( в том числе и модулем authtraf) запущен на сервере с базой.

Правильно?

необязательно, можно запускать nokernel.pl -m=collectors на сервере с базой
но я настоятельно рекомендую линукс

[NTE]

Если nokernel.pl -m=collectors -d будет запущен на сервере с базой, а сам ipcad на NAS сервере.
в rc.farewall сервера с базой закомментировать строку #use_ipcad_divert=YES
а в collectors.cfg прописать айпи сервера NAS??

Код:

{
                 type => 'ipcad',
                 addr => '10.0.0.6',
                 rsh => '/usr/bin/rsh',
             },

Ща попробую на фряхе, а потом займусь линуксом. Там же придется скрипт нодени управления фаерволом переделывать под iptables, ну и сам конфиг для iptables.

[NTE]

Вроде все заработало.. Попробую вечером дать нагрузку..

В Нодени+ есть кнопка "информация о мак"


Подскажите пожалуйста. какой модуль за это отвечает.
А то последняя информация от 14 числа только.


Видимо что-то легло...

[NTE]

Добрый день!

Вот сегодня утром запустил в работу распределенную систему. (на обоих серверах FreeBSD 10.3 пока что)
На стороне NASа запущен коллектор трафа.
Доступ в интернет абоны получили, скорость режется и т.д.

Но... Когда смотришь последнюю авторизацию у абонента


Длительность авторизации рвет на куски и пишет "меньше минуты" и не пишет МАК адрес, с каким абонент был авторизован, хотя раньше МАК записывался (когда все было на одном сервере):



Подскажите пожалуйста куда копнуть.

Это на сервере с базой:

Код:

# ps ax | grep nodeny | grep pl | grep -v grep
 917 v0- S      0:57,50 /usr/bin/perl /usr/local/nodeny/nokernel.pl -d
 918 v0- S      9:42,79 /usr/bin/perl /usr/local/nodeny/noserver.pl -d
 919 v0- S      2:17,07 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=collectors -d
 920 v0- S      0:16,17 /usr/bin/perl /usr/local/nodeny/nokernel.pl -m=authtraf -d

Модуль authtraf - запущен отдельным процессом.

Это на сервере доступа:

Код:

# ps ax | grep nodeny | grep pl | grep -v grep
1197 v0- S       9:08.26 /usr/bin/perl /usr/local/nodeny/noserver.pl -d

Код:

]# perl nokernel.pl -L
Start. Flag -h for help
loading /usr/local/nodeny/sat.cfg

MODULE                   AUTORUN?
authtraf                    -
system_clean               YES
collectors                  -
services                   YES
notifications               -
tmppays                    YES
balance                    YES
auth                       YES
system_check               YES
websession                 YES
authserver                  -
cap                         -
make_config                 -

Спасибо!

[NTE]

А этот код с сервера с базой:

Код:

# perl nokernel.pl -L
Start. Flag -h for help
loading /usr/local/nodeny/sat.cfg

MODULE                   AUTORUN?
authtraf                    -
auth                       YES
tmppays                    YES
services                   YES
system_clean               YES
cap                         -
system_check               YES
notifications               -
balance                    YES
authserver                  -
collectors                  -
make_config                 -
websession                 YES

В админке по этому фильтру, то пусто:


то показывает авторизованных:

[Efendy]

Мак не показывает, потому что мы с тобой недавно отключили модуль arp-пингования:

Код:

my $mac = '';

[NTE]

Да, понял.

Но вот почему так показывает "Авторизованы всегда онлайн"? То пустой фильтр, то есть авторизованные.
Причем если постоянно обновлять админку их количество увеличивается постепенно, потом постепенно уменьшается пока никого не останется )))

[Efendy]

Если авторизация в NoDeny не обновляется некоторое время (параметр timeout секунд в файле /usr/local/nodeny/kernel/auth.cfg), то она (авторизация) пропадает. По умолчанию timeout = 150 - это 2 с половиной минуты. Если за этот период не будет трафика - авторизация удаляется, появится трафик - появится авторизация. Если человек открыл сайт и читает его 3 минуты - авторизация пропадет, откроет новую страницу - появится.

Фишка в том, что режим "всегда онлайн" - это костыль для тех, кто ну никак не может либо настроить нормальную авторизацию, либо подстроить свою схему работы либо по иным необъективным причинам. В нормальной сети лучше отказаться от  "всегда онлайн". Как при "всегда онлайн" понять что комп авторизован? Вообще, что понимать под авторизацией если как таковой авторизации нет? Либо пинать (пинговать) комп либо смотреть на его проявления (есть ли трафик).

Модуль authtraf пытается изобразить авторизацию. Комп включен - он авторизован или нет? Комп включен, но у него неверные настройки (весь трафик блочится фаерволом и он фактически не получает инет) - он авторизован или нет? И т.д. аналогичные вопросы.

Я надеюсь вы поняли, что проблема не в недоработке модуля, а в том, что есть какие-то объективные причины в нашем мире, по которым некоторые вещи невозможны.

Если ты все же хочешь остаться на этом костыле и не хочешь видеть рваные авторизации - увеличь параметр timeout, но этим ты получишь лаг в том, что комп будет уже выключен, а ключик будет светиться, что он авторизован.

[NTE]

понял, спасибо! ))

Если поставить модуль дхцп и раздавать МАК+IP, абонентов, которые в работе, можно видеть в админке?

[NodenY45]

Не могу найти HOW TO по миграции с 50.32 в мануале.
Помогите.
Или тут вариант "как получится"?

[Cell]

Не могу найти HOW TO по миграции с 50.32 в мануале.
Помогите.
Или тут вариант "как получится"?

ООО, тебя ждет много приятных минут секса. Впрочем, если подготовка есть, то справиться реально, нужно лишь уметь читать логи и самое главное понимать что в них написано. Я  такую миграцию осуществил ну раз может 10 или чуть больше, но не было ни одного одинакового случая. Поэтому братский совет - тренироваться на тестовой базе. Т.е. текущую тупо скопировать в тестовую и над ней уже проводить пробу.