Просто общие вопросы

LKharlamov · Пн ноя 03, 2008 12:18 pm

1. "Админка", раздел -> "Другое" -> "Документы" - для чего предназначен?

2. Пользовательский личный кабинет, тот же раздел документы не открывается, выдаётся ошибка:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

В логе апача пишется следующее:

[Mon Nov 03 17:03:54 2008] [error] [client 172.16.0.77] Can't call method "pi" on unblessed reference at ..//Abills/modules/Docs/webinterface line 472., referer: http://172.16.0.1/abills/index.cgi
[Mon Nov 03 17:03:54 2008] [error] [client 172.16.0.77] Premature end of script headers: index.cgi, referer: http://172.16.0.1/abills/index.cgi

Собственно, как это лечить?

3. Админка, раздел "Мониторинг" - "DialUp/VPN" - параметры "Ex_IN" и "Ex_OUT" - за что отвечают?

4. Может ли статистика собирать йп адресс с которого устанавливается клиентом соединение?

5. Пользовательский личный кабинет "DialUp/VPN" -> "Статистика" - самая верхняя строчка при активной сессии:

Online
Логин___IP_________CID_____Длительность__Отправить__Получено
testvpn__172.16.0.77_PoPToP__07:57:04______23.39 MB___3.54 MB

Отправлено и получено указано правильно если смотреть со стороны сервера, а со стороны клиента цифры надо менять местами, так задумано?

Dmitrec · Пн ноя 03, 2008 12:45 pm

2.Обновись с CVS, документы заработают.

ran · Сообщение **ran** » Пн ноя 03, 2008 1:00 pm

1. как и следует из названия (как это ни странно

) - именно для выписки различного вида документов

2. см. совет выше

3. судя по названию форума у тебя линух - не обращай внимания

4. не понял вопроса

5. у меня правильно

LKharlamov · Пн ноя 03, 2008 1:24 pm

>> 2. см. совет выше
версию обновил, документы заработали

>> 4. не понял вопроса
у мня впн сервер pptpd, к нему подключаются пользователи через локальную сеть имея йп адрес из диапазона 10.48.0.0/255.240.0.0, после подключения к моему впн серверу, устанавливается соединение внутри которого адреса уже 172.16.0.0/255.255.255.0

Дак вот, возможно ли собирать статистику с каких адресов локальной сети устанавливаются впн сессии к моему серверу? (т.е. скажем логин такой-то, подключился во столько-то с адреса 10.*.*.*)

>> 5. странно, а у мня местами цифры поменяны, хотя во всех остальных местах правильно, почаму может так быть?

ran · Сообщение **ran** » Пн ноя 03, 2008 1:37 pm

Дак вот, возможно ли собирать статистику с каких адресов локальной сети устанавливаются впн сессии к моему серверу? (т.е. скажем логин такой-то, подключился во столько-то с адреса 10.*.*.*)

для этого существует CID - для пптп это будет ип, с которого поднят туннель, для пппое - мак

5. странно, а у мня местами цифры поменяны, хотя во всех остальных местах правильно, почаму может так быть?

незнаю - кажется кто-то где-то в форуме что-то писал на эту тему... поскольку у меня биллинг ведёт ипн для меня диалаповая статистика некатуальна

LKharlamov · Пн ноя 03, 2008 1:50 pm

[/quote]для этого существует CID - для пптп это будет ип, с которого поднят туннель, для пппое - мак[quote]
в графе CID, у мня везде пишется "PoPToP"

подозреваю что выплывает оно из pptpd-options, там у мня прописано:

Код: Выделить всё

ipparam PoPToP

а прописал я это для того чтобы использовать скприпт в ip-up.d меняющий mtu после установления клиентами соединения на 1500, потому как с дефолтным 1400 и MPPE часть сайтов неоткрывается, мож как подругому сделать можно?

LKharlamov · Пн ноя 03, 2008 2:12 pm

убрал из pptpd-options "ipparam PoPToP" - теперь в графе CID пусто, посмотрел вывод радиуса freeradius -X: локальный айпишник мой нигде не проскакивал, на каком этапе и где определяется CID?

ran · Сообщение **ran** » Пн ноя 03, 2008 2:43 pm

а прописал я это для того чтобы использовать скприпт в ip-up.d меняющий mtu после установления клиентами соединения на 1500, потому как с дефолтным 1400 и MPPE часть сайтов неоткрывается, мож как подругому сделать можно?

мдяяя... маразм крепчал...

1. прежде чем устанавливать мту 1500 на туннельный ифейс не мешалоб задуматься: а как это ип пакет размером 1500 байт инкапсулируется в пакет туннельного протокола (в данном случае gre, то есть к нему добавятся заголвки туннельного протокола и реальная его длина будет больше 1500 байт как раз на размер этих самых заголовков), а затем передастся через изернет ифейс (у которого мту тоже 1500) без фрагментации?

2. проблема разных мту транзитных ифейсов для рутера с публичным ип должна решаться на уровне ICMP "Fragmentation Needed"

3. есть может и не совсем корректное но тем не менее надёжное решение и подходит для рутеров с приватными ип:

Код: Выделить всё

iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

4.

man pptpd.conf писал(а): noipparam
by default, the original client IP address is given to ip-up scripts using the pppd option
ipparam. The noipparam option prevents this. Equivalent to the command line --noipparam
option.

LKharlamov · Пн ноя 03, 2008 3:14 pm

4. "man pptpd.conf" noipparam
by default, the original client IP address is given to ip-up scripts using the pppd option
ipparam. The noipparam option prevents this. Equivalent to the command line --noipparam
option.

мерси, айпишники клиентов появились

мдяяя... маразм крепчал...

iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

я пробывал добавлять эту строчку в айпитэйблс, но проблема оставалась, проверяю на сайте http://www.translate.ru/

стоит увеличить mtu c 1400 на 1460 хотябы, как начинают открываться

iptables-save:

Код: Выделить всё

# Generated by iptables-save v1.3.8 on Mon Nov  3 20:04:20 2008
*filter
:INPUT ACCEPT [1267305:546039320]
:FORWARD ACCEPT [454439:237192616]
:OUTPUT ACCEPT [961303:697703835]
-A INPUT -s ! 172.16.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Mon Nov  3 20:04:20 2008
# Generated by iptables-save v1.3.8 on Mon Nov  3 20:04:20 2008
*nat
:PREROUTING ACCEPT [406008:405758208]
:POSTROUTING ACCEPT [1943:319856]
:OUTPUT ACCEPT [2766:439685]
-A POSTROUTING -o ! lo -j MASQUERADE
COMMIT
# Completed on Mon Nov  3 20:04:20 2008

ifconfig

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 00:11:6b:93:c0:d0
          inet addr:10.52.10.51  Bcast:10.52.11.255  Mask:255.255.252.0
          inet6 addr: fe80::211:6bff:fe93:c0d0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1967810 errors:3 dropped:5 overruns:3 frame:0
          TX packets:833288 errors:0 dropped:0 overruns:7 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:787986518 (751.4 MB)  TX bytes:476604015 (454.5 MB)
          Interrupt:10 Base address:0xa800

gateway   Link encap:Point-to-Point Protocol
          inet addr:83.142.160.66  P-t-P:10.100.222.57  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:253948 errors:0 dropped:0 overruns:0 frame:0
          TX packets:224420 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:198241453 (189.0 MB)  TX bytes:55499778 (52.9 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:34866 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34866 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:175779933 (167.6 MB)  TX bytes:175779933 (167.6 MB)

ppp1      Link encap:Point-to-Point Protocol
          inet addr:172.16.0.1  P-t-P:172.16.0.77  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:487 errors:0 dropped:0 overruns:0 frame:0
          TX packets:555 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:82639 (80.7 KB)  TX bytes:302866 (295.7 KB)

ppp2      Link encap:Point-to-Point Protocol
          inet addr:172.16.0.1  P-t-P:172.16.0.82  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:536 errors:0 dropped:0 overruns:0 frame:0
          TX packets:398 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:102876 (100.4 KB)  TX bytes:231890 (226.4 KB)

ppp3      Link encap:Point-to-Point Protocol
          inet addr:172.16.0.1  P-t-P:172.16.0.86  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1581 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1616 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:204801 (200.0 KB)  TX bytes:851154 (831.2 KB)

ppp4      Link encap:Point-to-Point Protocol
          inet addr:172.16.0.1  P-t-P:172.16.0.92  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7529 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9400 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:656692 (641.3 KB)  TX bytes:10745539 (10.2 MB)

gateway - это впн-тунель до провайдера, на нём mtu по дефолту 1400, и тунель без MPPE

ppp* - клиентские впн-тунели, на них MPPE включен, если выключать то всё робит с дефолтным mtu 1400 без проблем, стоит только включить поддержку MPPE как сразу часть сайтов перестаёт грузиться.

Опыта пока мало у мня конеч, но тем неменее хочется чтобы всё по правильному было, конеш вопрос не по теме форума, но если есть возможность подскажите почаму:

iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

не помагает, и часть сайтов неоткрываются

ran · Сообщение **ran** » Пн ноя 03, 2008 3:30 pm

-A POSTROUTING -o ! lo -j MASQUERADE

а это шо за хрень??? O_o вот переведи на русский что ты хотел этим сказать?

ran · Сообщение **ran** » Пн ноя 03, 2008 3:34 pm

и на кой хер тебе мппе? другого гемора мало?

LKharlamov · Пн ноя 03, 2008 3:40 pm

Ну имеется ввиду:
добавить правило в таблицу nat в цепочку POSTROUTING для любого интерфейса назначения, кроме loopback и применить ко всем пакетам попадающим под это правило маскарадинг (т.е. подмену адреса отправителя)

LKharlamov · Пн ноя 03, 2008 3:43 pm

ran писал(а):и на кой хер тебе мппе? другого гемора мало?

с ним на винде проще соединение настраивать, ненужно галочку убирать "требуется шифрование данных"

LKharlamov · Пн ноя 03, 2008 4:02 pm

переписал правило в айпитэйблс в соответствии с faq на Вашем сайте:

Код: Выделить всё

 -t nat -A POSTROUTING -s 172.16.0.0/255.255.255.0 -j SNAT --to-source 83.142.160.66

Теперь при mtu 1400 всё робит, а при подключении впн-клиента к моему серверу mtu выставляется автоматически 1396, при нём не робит

Почаму так?, и если можна в двух словах почаму моё изначальное правило (-A POSTROUTING -o ! lo -j MASQUERADE) с маскарадингом неправильное? оно с одной стороны то поуниверсальнее чем SNAT, так как адрес исходящий ненадо задавать, ладно у мня статический IP на впн-е к провайдеру, всё просто, а так бы было чуть посложней

ran · Сообщение **ran** » Пн ноя 03, 2008 4:03 pm

добавить правило в таблицу nat в цепочку POSTROUTING для любого интерфейса назначения, кроме loopback и применить ко всем пакетам попадающим под это правило маскарадинг (т.е. подмену адреса отправителя)

соображаешь... вот именно - для любого кроме лупа а тебе разве для любого нада? и для изернетов тоже? и для pppX на клиентов? или всё-таки для ОДНОГО, который во внешений мир смотрит?

с ним на винде проще соединение настраивать, ненужно галочку убирать "требуется шифрование данных"

ну... если тебе проще долбаться с мппе - долбись бог в помощь