Просто общие вопросы

[ran]

Теперь при mtu 1400 всё робит, а при подключении впн-клиента к моему серверу mtu выставляется автоматически 1396, при нём не робит

мту (а заодно и мру) выставить стОит... но не через ж. а как положено - опциями пппд

Код: Выделить всё

mru                     1400
mtu                     1400

например в options.pptpd или где там у тебя...

Почаму так?, и если можна в двух словах почаму моё изначальное правило (-A POSTROUTING -o ! lo -j MASQUERADE) с маскарадингом неправильное?

потому что на конкретный ифейс нада... типа так:

Код: Выделить всё

iptables -t nat -A POSTROUTING -o $IFNAME -j MASQUERADE

где $IFNAME - имя ифейса на провайдера

[LKharlamov]

и для изернетов тоже?

о наличии "дырки" я держал инфу в голове, что прописав в качестве шлюза йп моего роутера, любой из локальной подсети вышел бы в инет, но интересна была вероятность этого, пока замеченых случаев за пару месяцев работы небыло

вообщем с mtu 1400 всё робит теперь гуд.

Гранд-мерси

[ran]

о наличии "дырки" я держал инфу в голове

в данном случае речь не о дырках а о правильности правила трансляции адресов... о дырках я лучше промолчу... скажу только что они совсем даже не маскарадом закрываются (точнее ни в коем случае не им) - а ваще тебе для начала сюда, что бы хоть какое-то представление было о чем ваще речь

[LKharlamov]

Этот ман по iptables у мня распечатан и под рукой лежит)), опыт и понимание же не сразу появляются, а постепенно набираются.

[Dmitrec]

Скажите что такое опция External Accounting в свойстве NAS Сервера?
Собственно есть связка openvpna+radius+abills.
Как сделать чтобы при подключении клиента по опенвпну отрабатывались команды IPN?

[ran]

Как сделать чтобы при подключении клиента по опенвпну отрабатывались команды IPN?

а что подразумевается под "командами IPN"?

[chtito2]

а что подразумевается под "командами IPN"?

Думаю, $conf{IPN_FW_START_RULE} и $conf{IPN_FW_STOP_RULE}

Dmitrec, никак. Я просто грубо двинул код отвечающий за запуск этих команд в libexec/racct.pl в местах обработки RADIUS Start & Stop пакетов. Ну и конечно его переделал Есть алтернатива: заплатить автору за реализацию необходимой вам функциональности. Вопрос в том, а) во сколько вы оцениваете собственное время, затраченное на это, и Б) устраивает ли вас качество кода команды Абиллса.

[ran]

чтито, не морочь человеку голову

если речь действительно о $conf{IPN_FW_START_RULE} и $conf{IPN_FW_STOP_RULE} - то они выполняются при активации/деактивации клиента средствами модуля Ipn и никакого отношения к модулю Dv не имеют

Скажите что такое опция External Accounting в свойстве NAS Сервера?

это указание модулю Dv что аккаунтинг производится другим модулем, например Ipn (чтобы модуль Dv не производил никаких операций с депозитами)

[ran]

Я просто грубо двинул код отвечающий за запуск этих команд в libexec/racct.pl в местах обработки RADIUS Start & Stop пакетов

ну и глупо... я бы написал свой модуль аккаутинга, положил бы его в /usr/abills/libexec/ext_acct/ и обрабатывал бы в нём старт/стоп пакеты... не трогая раккт.пл

[Dmitrec]

А можно ли тогда сделать чтоб модуль Dv отвечал только за авторизацию опевпна, а далее клиенты сами бы активировали IPN на клиентской страничке?

[chtito2]

Я просто грубо двинул код отвечающий за запуск этих команд в libexec/racct.pl в местах обработки RADIUS Start & Stop пакетов

ну и глупо... я бы написал свой модуль аккаутинга, положил бы его в /usr/abills/libexec/ext_acct/ и обрабатывал бы в нём старт/стоп пакеты... не трогая раккт.пл

Многого не надо: достаточно понять, что exec лишней команды отвратительно масштабируется и сравним с использованием rauth.pl/racct.pl вместо rlm_perl. Забавно, что это ваше предложение, как и более раннее предложение использовать статичные rfc'шные айпи за натом, ориентировано на небольшую юзерскую базу. С потрохами себя выдаете

Кстати, ran, немножко не в тему: а вы знаете что такое Perl под CGI и в чем его принципиальное отличие от mod_perl для апаче или FCGI?

[ran]

А можно ли тогда сделать чтоб модуль Dv отвечал только за авторизацию опевпна, а далее клиенты сами бы активировали IPN на клиентской страничке?

да... но зачем? разве авторизации Dv недостаточно?

[Dmitrec]

А можно ли тогда сделать чтоб модуль Dv отвечал только за авторизацию опевпна, а далее клиенты сами бы активировали IPN на клиентской страничке?

да... но зачем? разве авторизации Dv недостаточно?

Не подскажите как? На то есть свои причины

[ran]

Многого не надо: достаточно понять, что exec лишней команды отвратительно масштабируется и сравним с использованием rauth.pl/racct.pl вместо rlm_perl.

та прям таки... можно подумать, что пердл - не интерпретатор а компилятор

это ваше предложение, как и более раннее предложение использовать статичные rfc'шные айпи за натом, ориентировано на небольшую юзерскую базу

полный маразм... причём тут размер юзерской базы? а тем более как с ней связаны приватные ипы??? кому нада - платят бабки и юзают публичные как я уже писал...

а вы знаете что такое Perl под CGI и в чем его принципиальное отличие от mod_perl для апаче или FCGI?

неа... и не сильно хочу... я пердл терпеть ненавижу и не пишу на нём (и не собираюсь, а юзаю в данном случае постольку поскольку на нём написан абиллс). Я ваще-та в прошлом именно системный программист (в моём понимании это разработчик ядер ос различного типа) - и пердл здесь ну никак не катит да и то это в прошлом... я считаю что программер профи - лет до 30 максимум... дальше уже мозги не те... админ, системный аналитик, консультант - это да, а программер - неа... только как хобби

[ran]

Не подскажите как?

да точно также как и без дв/радиуса

На то есть свои причины

я спросил не из праздного любопытства, а по причине того что подозреваю, что всё можно сделать гораздо проще и правильнее, чем ты задумал