Mikrotik (RouterOS 6.5) Проблема с мониторингом

Платформа Mikrotik
Ответить
maxtr
Сообщения: 22
Зарегистрирован: Пн сен 21, 2009 5:43 pm

Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение maxtr »

Использую два NAS FreeBSD+MPD на одном Abills 0.53b на другом только MPD. Трафик режу RADIUS парами для MPD все работает 200-300 сессий. Обновил вчера Abills до 0.55 (Визуально обновилось но в нижнем левом углу светится 0.53b) все работает нормально.

Решил добавить еще NAS Mikrotik CCR1036-12G-4S версия RouterOS 6.5, настроил все согласно http://abills.net.ua/wiki/doku.php/abil ... ikrotik:ru такую схема:

Mikrotik PPTP, скорость режу RADIUS парами (Mikrotik-Rate-Limit="512k/512k") для Mikrotik. VPN поднимаются (правда Radius time out пришлось поставить 3000 ms), скорость режется, все ок, в Abills в логах клиента авторизация проходит:
2013-10-22 10:53:19 LOG_INFO AUTH test CID: 10.110.255.254 GT: 0.21784 Mikrotik
Но в мониторинге кроме двух NAS (старых) нового NAS "Mikrotik" нет! И пользователь получается не в онлайне.
Логика DV работает при негативном депозите не пускает.

Firewall на Mikrotik пустой, ничего не запрещает, на NAS c Abills:

${ipfw} add deny udp from any 135-139 to any via ${InCard}
${ipfw} add deny tcp from any 135-139,445 to any via ${InCard}
${ipfw} add deny udp from any to any 135-139 via ${InCard}
${ipfw} add deny tcp from any to any 135-139,445 via ${InCard}
${ipfw} add deny ip from any to me 3306 via ${InCard}
${ipfw} add deny ip from any to me 3306 via ${OutCard}
${ipfw} add deny ip from any to me 80 via ${InCard}
${ipfw} add deny ip from any to me 80 via ${OutCard}
${ipfw} add deny ip from any to me 22 via ${InCard}
${ipfw} add deny ip from any to me 22 via ${OutCard}
${ipfw} add deny ip from any to me 21 via ${InCard}
${ipfw} add deny ip from any to me 21 via ${OutCard}

Все остальное разрешено.

~AsmodeuS~
Site Admin
Сообщения: 5746
Зарегистрирован: Пт янв 28, 2005 3:11 pm
Контактная информация:

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение ~AsmodeuS~ »

проверте приходят ли аккаунтинг пакеты от микротика

maxtr
Сообщения: 22
Зарегистрирован: Пн сен 21, 2009 5:43 pm

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение maxtr »

~AsmodeuS~ писал(а):проверте приходят ли аккаунтинг пакеты от микротика
Честно говоря не совсем понял как это сделать

Лог Radius:
rad_recv: Access-Request packet from host 192.168.244.130:55058, id=25, length=176
Service-Type = Framed-User
Framed-Protocol = PPP
NAS-Port = 38
NAS-Port-Type = Virtual
User-Name = "test"
Calling-Station-Id = "10.110.255.254"
Called-Station-Id = "10.110.0.1"
MS-CHAP-Challenge = 0x761901c0be16c9f2e0389969343476cb
MS-CHAP2-Response = 0x01008a1e45042d6738677f80865fde45a451000000000000000020e7b3a3e5cebe55eaf138ac14a8213e927e39889cc6fb5f
NAS-Identifier = "MikroTik"
NAS-IP-Address = 192.168.244.130
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 26
modcall[authorize]: module "preprocess" returns ok for request 26
Exec-Program output: User-Password == "testtest"
Exec-Program-Wait: value-pairs: User-Password == "testtest"
Exec-Program: returned: 0
modcall[authorize]: module "pre_auth" returns ok for request 26
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 26
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 26
users: Matched entry DEFAULT at line 1
modcall[authorize]: module "files" returns ok for request 26
modcall: leaving group authorize (returns ok) for request 26
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 26
rlm_mschap: Told to do MS-CHAPv2 for test with NT-Password
rlm_mschap: adding MS-CHAPv2 MPPE keys
modcall[authenticate]: module "mschap" returns ok for request 26
modcall: leaving group MS-CHAP (returns ok) for request 26
Exec-Program output: Acct-Interim-Interval = 300, Session-Timeout = 822180, Framed-IP-Address = 10.10.54.112, Framed-IP-Netmask = 255.255.255.255, Mikrotik-Rate-Limit = "512k/512k",
Exec-Program-Wait: value-pairs: Acct-Interim-Interval = 300, Session-Timeout = 822180, Framed-IP-Address = 10.10.54.112, Framed-IP-Netmask = 255.255.255.255, Mikrotik-Rate-Limit = "512k/512k",
Exec-Program: returned: 0
Sending Access-Accept of id 25 to 192.168.244.130 port 55058
MS-CHAP2-Success = 0x01533d45414645393833424244334233324632393133433944303936323138304430393131453930383232
MS-MPPE-Recv-Key = 0xef94c352be3e2fc9c6f6556ebecc7b68
MS-MPPE-Send-Key = 0xdf1cc4dcad93c6c5a5c09f05539f360b
MS-MPPE-Encryption-Policy = 0x00000001
MS-MPPE-Encryption-Types = 0x00000006
Acct-Interim-Interval = 300
Session-Timeout = 822180
Framed-IP-Address = 10.10.54.112
Framed-IP-Netmask = 255.255.255.255
Mikrotik-Rate-Limit = "512k/512k"
Finished request 26
Going to the next request
В админке Микротик после подключения:

Pending 0
Requests 1
Accepts 1
Rejects 0
Resends 0
Timeouts 0
Bad Replies 0
Last Request RTT 1110
Последний раз редактировалось maxtr Вт окт 22, 2013 11:50 am, всего редактировалось 1 раз.

maxtr
Сообщения: 22
Зарегистрирован: Пн сен 21, 2009 5:43 pm

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение maxtr »

Лог Radius со стороны Mikrotik
1 Jan/02/1970 02:03:38 memory radius, debug sending 1b:17 to 192.168.0.1:1812
2 Jan/02/1970 02:03:38 memory radius, debug, packet sending Access-Request with id 5 to 192.168.0.1:1812
3 Jan/02/1970 02:03:38 memory radius, debug, packet Signature = 0x23890087f7dd4fd5825490f87b68b5b3
4 Jan/02/1970 02:03:38 memory radius, debug, packet Service-Type = 2
5 Jan/02/1970 02:03:38 memory radius, debug, packet Framed-Protocol = 1
6 Jan/02/1970 02:03:38 memory radius, debug, packet NAS-Port = 18
7 Jan/02/1970 02:03:38 memory radius, debug, packet NAS-Port-Type = 5
8 Jan/02/1970 02:03:38 memory radius, debug, packet User-Name = "test"
9 Jan/02/1970 02:03:38 memory radius, debug, packet Calling-Station-Id = "10.110.255.254"
10 Jan/02/1970 02:03:38 memory radius, debug, packet Called-Station-Id = "10.110.0.1"
11 Jan/02/1970 02:03:38 memory radius, debug, packet MS-CHAP-Challenge = 0x4d066a6a38fb50e03ff03519f53d4f7b
12 Jan/02/1970 02:03:38 memory radius, debug, packet MS-CHAP2-Response = 0x01002741fc93bd886ed6abeeab5f825f
13 Jan/02/1970 02:03:38 memory radius, debug, packet 20cc0000000000000000d0b7824b5a47
14 Jan/02/1970 02:03:38 memory radius, debug, packet f3e8043a7c3c424def40c223b8d9d454
15 Jan/02/1970 02:03:38 memory radius, debug, packet f776
16 Jan/02/1970 02:03:38 memory radius, debug, packet NAS-Identifier = "MikroTik"
17 Jan/02/1970 02:03:38 memory radius, debug, packet NAS-IP-Address = 192.168.244.130
18 Jan/02/1970 02:03:40 memory radius, debug, packet received Access-Accept with id 5 from 192.168.0.1:1812
19 Jan/02/1970 02:03:40 memory radius, debug, packet Signature = 0xb3de3bb45656809d05a12f391ddb6046
20 Jan/02/1970 02:03:40 memory radius, debug, packet MS-CHAP2-Success = 0x01533d38443345373134434430443945
21 Jan/02/1970 02:03:40 memory radius, debug, packet 44303238373241393341444138393446
22 Jan/02/1970 02:03:40 memory radius, debug, packet 4135363032373244464633
23 Jan/02/1970 02:03:40 memory radius, debug, packet MS-MPPE-Recv-Key = 0x83c55cdd727c3da62e233630004b42d2
24 Jan/02/1970 02:03:40 memory radius, debug, packet 4584ac5d902e1f39cda36fd53556a730
25 Jan/02/1970 02:03:40 memory radius, debug, packet f559
26 Jan/02/1970 02:03:40 memory radius, debug, packet MS-MPPE-Send-Key = 0x8a44d9846375be09797b24fc1f25bef7
27 Jan/02/1970 02:03:40 memory radius, debug, packet 345b6e5d5df49d4a17491dcf9c1aa1e2
28 Jan/02/1970 02:03:40 memory radius, debug, packet bf30
29 Jan/02/1970 02:03:40 memory radius, debug, packet MS-MPPE-Encryption-Policy = 1
30 Jan/02/1970 02:03:40 memory radius, debug, packet MS-MPPE-Encryption-Type = 6
31 Jan/02/1970 02:03:40 memory radius, debug, packet Acct-Interim-Interval = 300
32 Jan/02/1970 02:03:40 memory radius, debug, packet Session-Timeout = 814492
33 Jan/02/1970 02:03:40 memory radius, debug, packet Framed-IP-Address = 10.10.25.131
34 Jan/02/1970 02:03:40 memory radius, debug, packet Framed-IP-Netmask = 255.255.255.255
35 Jan/02/1970 02:03:40 memory radius, debug, packet MT-Rate-Limit = "512k/512k"
36 Jan/02/1970 02:03:40 memory radius, debug received reply for 1b:17

~AsmodeuS~
Site Admin
Сообщения: 5746
Зарегистрирован: Пт янв 28, 2005 3:11 pm
Контактная информация:

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение ~AsmodeuS~ »

есть пакеты Access а нужно еще Accounting

maxtr
Сообщения: 22
Зарегистрирован: Пн сен 21, 2009 5:43 pm

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение maxtr »

Это я туплю при настройки выполнил команду через консоль
/ppp aaa set accounting=yes use-radius=yes interim-update=300

а через Web интерфейс (PPP/Secrets/PPP_Authentication&Accounting) снял галочку Accounting а Use Radius отставил, думал что Accounting это авторизация через внутреннюю базу! Все работает спасибо за наводку!

maxtr
Сообщения: 22
Зарегистрирован: Пн сен 21, 2009 5:43 pm

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение maxtr »

RouterOS 6.6 + Abills 0.55 работает стабильно но заметил токую ситуацию, дублируются IP, довольно часто, что приводит к сбою правил шейпера:
ПортSort ДлительностьSort IP Sort ПолученоSort ОтправленоSort
12965 0:10:09 10.210.6.110 28.39 MB 1.31 MB
11947 2:09:40 10.203.3.101 194 Bt 54 Bt
9861 33:09:12 10.210.8.72 34.83 GB 34.79 GB
11949 2:09:14 10.202.6.131 91.57 MB 5.55 MB
11577 7:11:16 10.202.3.31 3.86 GB 389.95 MB
11695 5:27:58 10.202.5.126 368.12 MB 15.12 MB
11884 2:55:04 10.205.0.167 601.14 MB 15.91 MB
11992 1:40:23 10.203.5.152 5.24 MB 1.61 MB
12463 0:37:32 10.202.7.12 53.76 MB 4.09 MB
11878 2:57:15 10.203.6.65 35.67 MB 3.26 MB
12912 0:13:22 10.201.0.182 5.05 MB 795.29 Kb
12758 0:22:07 10.202.6.131 1.22 MB 31.57 Kb
11930 2:17:14 10.201.4.249 31.94 MB 3.50 MB
11515 8:08:19 10.203.2.95 743.78 MB 18.42 MB
12344 0:43:15 10.205.2.174 118.48 MB 15.74 MB

maxtr
Сообщения: 22
Зарегистрирован: Пн сен 21, 2009 5:43 pm

Re: Mikrotik (RouterOS 6.5) Проблема с мониторингом

Сообщение maxtr »

Нашел где проблема у IP пулов не стояла галока в настройках Сервера доступа.
Скоро напишу отчет про связку Mikrotik CCR1036-12G-4S, RouterOS 6.6, Abills 0.55, на данный момент поднят pptp и pppoe серверы, общий онлайн ~300, pcq шейпер, работает стабильно.
Вложения
gr2.JPG
gr2.JPG (23.11 КБ) 18888 просмотров
gr1.JPG
gr1.JPG (54.02 КБ) 18888 просмотров

Ответить