IPN + PPTP. Одинаковый порт в / Мониторинг/ Dialup / VPN/

RusB1T · Вт янв 20, 2009 6:46 am

При использовании IPN в мониторинге (как я понял во время обработки netflow данных) у всех пользователей получается один порт, затем это проходит, и отображается верный порт.

Можно ли как нибудь исправить?

ran · Сообщение **ran** » Вт янв 20, 2009 7:44 am

а при чём здесь ипн? мухи отдельно - котлеты отдельно... портами у тебя туннельный сервер заведует - рназные должны быть

RusB1T · Вт янв 20, 2009 7:57 am

В /Система/Сервер доступа/ External Accounting: ничего не стоит
В чем косяк то у меня может быть? Сенсор - Ipcad

ran писал(а):портами у тебя туннельный сервер заведует - рназные должны быть

То есть еще один NAS для ipcad создать?

ran · Сообщение **ran** » Вт янв 20, 2009 8:38 am

В /Система/Сервер доступа/ External Accounting: ничего не стоит

так ты определись - КТО у тебя усё считать должен ипн или дв? если ипн - то должно стоять (в противном случае они оба бабло снимать будут)

То есть еще один NAS для ipcad создать?

нафига?

RusB1T · Вт янв 20, 2009 8:54 am

Считает IPN , в NAS указал его на VPN сервере, увы тоже все зелененькое =(

ran · Сообщение **ran** » Вт янв 20, 2009 8:57 am

у меня нормальное чёрно-белое... а мож это потому что мне так и не удалось обновиться?

RusB1T · Вт янв 20, 2009 9:16 am

ran писал(а):у меня нормальное чёрно-белое... а мож это потому что мне так и не удалось обновиться?

Ну у вас и не mpd

Посмотрел конфиг mpd. Нашел ошибочку в описание pppoe сессии. Завтра перезагружу mpd и проверю

P.S. ifconfig отображает

Код: Выделить всё

ng60: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1458
	inet 10.100.100.10 --> 84.22.136.192 netmask 0xffffffff

Отключил IPN. Зеленость пропала.

RusB1T · Вт янв 20, 2009 11:23 am

Кажется проблема решилась. Перезапустил коллектор и сенсор. Все отлично вроде.
Остается только понять, как без build -all , отключать пользователей с отриц. балансом

ran · Сообщение **ran** » Вт янв 20, 2009 11:28 am

Остается только понять, как без build -all , отключать пользователей с отриц. балансом

traffic2sql будет отключать... точнее она будет выполнять $conf{IPN_FW_STOP_RULE}

RusB1T · Вт янв 20, 2009 2:46 pm

Да вы правы. Правила не срабатывают почему то у меня

Код: Выделить всё

$conf{IPN_FW_START_RULE}="/usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from %IP to any; /usr/local/bin/sudo /sbin/ipfw -q add %NUM allow ip from any to %IP";

$conf{IPN_FW_STOP_RULE}="/usr/local/bin/sudo /sbin/ipfw -q delete %NUM";

Код: Выделить всё

user# cat /usr/local/etc/sudoers | grep -v #
root    ALL=(ALL) ALL
www ALL = NOPASSWD: /sbin/ipfw

Apache от www работает.

ran · Сообщение **ran** » Ср янв 21, 2009 7:15 am

1. $conf{IPN_FW_START_RULE} отрабатывает только при активации усера через вебморду насколько я понимаю у тебя авторизация через радиус следовательно оно тебе ненада (оно не будет отрабатывать никогда)

2. опять же в случае авторизации через радиус/ппп в $conf{IPN_FW_STOP_RULE} достаточно просто убить клиентский туннель и всё! Лично у меня так

Код: Выделить всё

$conf{IPN_FW_STOP_RULE}="/usr/bin/sudo -b /usr/abills/misc/pppd_kill %IP";

зачем там какие-то потуги с файерволом?

RusB1T · Ср янв 21, 2009 12:10 pm

Просто хотелось бы при отрицательном депозите блокировать интернет + перенаправлять 80,433 порт на баланс

Хотя можно и через фильтр негативного депозита.

RusB1T · Чт янв 22, 2009 5:23 am

STOP_RULE не срабатывает.
Из за чего может игнорироваться параметр $conf{IPN_FW_STOP_RULE} ?

RusB1T · Чт янв 22, 2009 8:37 am

ran, спасибо за помощь, разобрался - работает

Код: Выделить всё

$conf{IPN_FW_STOP_RULE}="/usr/local/bin/sudo /sbin/ifconfig `/usr/bin/netstat -rn | grep %IP | awk \'{ print \$6}\'` down";

Только одно но , интерфейс "не падает", клиент не отключается от сервера, просто весь трафик блокируется.

RusB1T · Чт янв 22, 2009 2:52 pm

Заметил пару особенностей:
1.down сессия не отображается в мониторинге.
2. Если upнуть интерфейс, то трафик пойдет, повторная блокировка уже не сработает