два pppoe сервера

[smersh]

Есть два пппое-наса в одном сегменте, оба прописаны в биллинге. Как сделать чтобы клиент авторизовался на том сервере который ему разрешен в биллинге? А то сейчас у меня получается следующая картина: если первым ответил не тот нас, который ему назначен, то ошибка 691, и в биллинге
2011-08-31 02:15:45 LOG_WARNING: AUTH [test] NAS: 1 (10.0.0.254) You are not authorized to log in 1 (10.0.0.254) CID: 0027220e384

Если кто-нибудь реализовал подобное, поделитесь пожалуйста...

[zakachkin]

как вариант выдержка из mana

-S name
Offer a service named name. Multiple -S options may be specified; each one causes the named service to be advertised in a Service-Name tag in the PADO frame. The first -S option specifies the default service, and is used if the PPPoE client requests a Service-Name of length zero

[~AsmodeuS~]

дать разные названияи клиентам жостко у себяпрописывать их

[smersh]

как вариант выдержка из mana

-S name
Offer a service named name. Multiple -S options may be specified; each one causes the named service to be advertised in a Service-Name tag in the PADO frame. The first -S option specifies the default service, and is used if the PPPoE client requests a Service-Name of length zero

Видите ли в чем дело, в клиентском оборудовании нет возможности задать имя пппое-сервиса, только логин и пароль, если Вы об этом.

[~AsmodeuS~]

как вариант выдержка из mana

-S name
Offer a service named name. Multiple -S options may be specified; each one causes the named service to be advertised in a Service-Name tag in the PADO frame. The first -S option specifies the default service, and is used if the PPPoE client requests a Service-Name of length zero

Видите ли в чем дело, в клиентском оборудовании нет возможности задать имя пппое-сервиса, только логин и пароль, если Вы об этом.

что за оборудование ?

[smersh]

что за оборудование ?

Ubiquity Nanostation Loco M2 и Loco M5

[~AsmodeuS~]

думаю поможет статическое обявление маков через модуль dhcp можно сделать

[sopov]

Так а смысл нескольких брасов в одном бродкаст домене с разными именами служб? Вы же лишаетесь таких плюшек как распределение нагрузки и резервирование.

[smersh]

Так а смысл нескольких брасов в одном бродкаст домене с разными именами служб? Вы же лишаетесь таких плюшек как распределение нагрузки и резервирование.

Так как раз в этом задача и состоит.. Не получается. Вобщем есть два инет-коннекта, один оптический с внешним статическим ипом, и адсл с серым 192.168.137.*. пытался сделать по аналогии с http://abills.net.ua/wiki/doku.php/abil ... er:2way:ru, с езернет-ипами работает, с "впн" - рисует болты. Да и как бы баласировка не особо нужна, нужно просто натить один пул на один канал, другой на другой.


int_if="igb1"
ext_if="igb0"
ext_if2="vlan137"
internal_net0="10.0.0.0/24"
external_addr="6*.1**.4*.2**"
internal_addr="10.0.0.254"
ext_gw="6*.1**.4*.2**"
ext_gw2="192.168.137.1"
vpn_net="172.16.0.0/16"
set optimization normal
set block-policy drop

scrub in all

nat on $ext_if from $vpn_net to any -> ($ext_if)
nat on $ext_if from 10.0.0.244 to any -> ($ext_if)
nat on $ext_if from 10.0.0.248 to any -> ($ext_if)
nat on $ext_if from 10.0.5.73 to any -> ($ext_if)
nat on $ext_if from 10.0.0.252 to any -> ($ext_if)
nat on $ext_if from 192.168.121.0/24 to any -> ($ext_if)
nat on $ext_if from 10.0.0.36 to any -> ($ext_if)
nat on $ext_if from 10.0.0.247 to any -> ($ext_if)
nat on $ext_if from 10.0.0.245 to any -> ($ext_if)
nat on $ext_if from 10.0.0.246 to any -> ($ext_if)
nat on $ext_if from 10.0.0.109 to any -> ($ext_if)
nat on $ext_if from 10.0.0.44 to any -> ($ext_if)
nat on $ext_if from 10.0.0.251 to any -> ($ext_if)
nat on $ext_if from 10.0.0.237 to any -> ($ext_if)
nat on $ext_if from 10.0.0.25 to any -> ($ext_if)
nat on $ext_if from 10.0.5.79 to any -> ($ext_if)
nat on $ext_if from 10.0.0.239 to any -> ($ext_if)
nat on $ext_if from 10.0.0.221 to any -> ($ext_if)
nat on $ext_if from 10.0.0.232 to any -> ($ext_if)
nat on $ext_if from 10.0.0.233 to any -> ($ext_if)
nat on $ext_if from 10.0.0.234 to any -> ($ext_if)
nat on $ext_if from 10.0.0.222 to any -> ($ext_if)
nat on $ext_if from 10.0.5.0/24 to 178.208.83.28 -> ($ext_if)
nat on $ext_if2 from 192.168.102.0/24 to any -> ($ext_if2)
nat on $ext_if from 192.168.102.0/24 to any -> ($ext_if)
nat on $ext_if2 from 192.168.122.3 to any -> ($ext_if2)
nat on $ext_if from 10.0.2.2/32 to any -> ($ext_if)
nat on $ext_if from 10.0.3.2/32 to any -> ($ext_if)

rdr on $ext_if proto tcp from any to $external_addr port 25025 -> 10.0.0.234 port 25025


pass in all
block in on $int_if from 192.168.122.3 to any
block out on $ext_if
block out on $ext_if2

pass in on $int_if route-to \
{ ($ext_if2 $ext_gw2) } round-robin \
proto tcp from 192.168.122.3 to any modulate state
pass in on $int_if route-to \
{ ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from 192.168.122.3 to any keep state

pass out on $ext_if proto tcp from any to any flags S/SA modulate state
pass out on $ext_if proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
flags S/SA keep state \
(max-src-conn-rate 3/30, overload <ssh-brut> flush global)
block drop in quick on $ext_if from <ssh-brut>
pass out on $ext_if route-to ($ext_if2 $ext_gw2) from $ext_if2 to any
pass out on $ext_if2 route-to ($ext_if $ext_gw) from $ext_if to any

вобщем, с таким конфигом ситуация следующая: с 192.168.122.3 пакеты доходят до 192.168.137.1 а дальше - болт на восемь.

Где моя ошибка?

[sopov]

Вот вам рабочий конфиг

Код: Выделить всё

set optimization aggressive

set limit states 100000
set limit src-nodes 100000
# Указываем используемые сетевые интерфейсы:

ext_if_a = "fxp0"

ext_if_b = "fxp1"

# Для каждого из каналов задаем IP-адрес шлюза:

ext_gw_a = "ip шлюза а"

ext_gw_b = "ip шлюза б"

ext_ip_a = "ip интерфейса а"

ext_ip_b = "ip интерфейса б"

scrub in all fragment reassemble
#Правило позволяет натить ходить на определенные хосты "от имени" другого ip.
nat on $ext_if_a inet from { сеть_или_ip_из_пула } to { ip_куда_ходить } -> какой_ip_подставить
#Правило позволяет натить трафик для определенных портов через разные каналы
nat on $ext_if_a inet from { сеть_или_ip_из_пула } to any port { 80, 81, 8080 } -> $ext_ip_b
#Весь трафик через канал а
nat on $ext_if_a inet from { сеть_или_ip_из_пула } to any -> $ext_ip_a
#Весь трафик через канал б
nat on $ext_if_a inet from { сеть_или_ip_из_пула } to any -> $ext_ip_b

pass in all
pass out all

#Ограничиваем до 200 "состояний" на ip
pass from { сеть_или_ip_из_пула } to any keep state (source-track rule, max-src-states 200)
#Ограничиваем до 800 установленных сессий для "вредного" клиента
pass from { ip_клиента } to any keep state (max 800)
#Это правило служебное - оставте без изменений
pass out route-to ($ext_if_b $ext_gw_b) inet from ($ext_if_b) to !(self:network) modulate state

[smersh]

Вот вам рабочий конфиг

sopov, огромное Вам спасибо! все заработало...
только вот немного не понял почему так:

nat on $ext_if_a inet from { сеть_или_ip_из_пула } to any -> $ext_ip_b

а именно почему нат на одном интерфейсе а ип - с другого..

[sopov]

Незачто.. Потому что маршрут по умолчанию только один и обычно ссылается на первый интерфейс.