HOW-TO pptpd+mppe+abills 0.40b для малого офиса или мелкого провайдера.

[Nesmit]

в клиенте шифрование отключите

[Procik]

да, если отключаю, то всё нормально,
а со включеным шифрованием никак нельзя решить эту проблему?
Чтобы клиенты только вносили ip, логин и пароль ,ничего больше не трогая.

[Procik]

Не пинайте особо, знаю что вопросы по поводу настройки ната не раз осуждались, но я в этом деле новичок, не могу понять ,где ошибаюсь при настройке.
Установлен dhcp3-server, и все библиотеки и программы, которые нужны для работы abills
Не работает нат, проверяю на каком нибудь сайте ip и мне выдают внеший адрес. Выложу конфиги, посмотрите пожалуйста.
eth1 - смотрит в интернет
/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback
# The primary network interface
auto eth1
iface eth1 inet static
        address 195.205.30.55
        netmask 255.255.255.252

        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 223.28.196.3
        #dns-search servak.local
auto eth0
iface eth0 inet static
        address 10.0.0.1
        netmask 255.0.0.0

/etc/dhcp3/dhcpd.conf

(Нажмите, чтобы показать/скрыть)

ddns-update-style interim;
 ignore client-updates;
 authoritative;
subnet 10.0.0.0 netmask 255.255.0.0 {
        option subnet-mask 255.255.0.0;
        option domain-name "servak.local";
        option domain-name-servers 10.0.0.1;
        range 10.0.0.11 10.0.0.254;
        default-lease-time 21600;
        max-lease-time 43200;
        }

В abills диапазон ip 10.0.1.20-150
Всё работает, за исключением шифрования и ната

Пытался настроить нат согласно этому руководству http://www.ylsoftware.com/news/538#1864
 

(Нажмите, чтобы показать/скрыть)

#!/bin/sh

# Минимальные настройки скрипта
# Внешний интерфейс
IF_EXT="eth0"
# Внутренний интерфейс
IF_INT="eth1"
# Локальная сеть
NET_INT="192.168.2.0/255.255.255.0"

# На всякий случай сбрасываем все правила
iptables -F
iptables -F -t nat

# Устанавливаем политики по умолчанию:
# Никого не пускать
iptables -P INPUT DROP
# Всех выпускать
iptables -P OUTPUT ACCEPT
# Мимо нас никто не ходит
iptables -P FORWARD DROP

# Впускаем ответы на запросы, которые сами отправили
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Разрешаем весь трафик на внутреннем интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем весь трафик со стороны локальной сети
iptables -A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT

# Разрешаем весь трафик, который необходим для работы PPTP-сервера
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

# NAT для локальной сети на внешнем интерфейсе
iptables -t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
# Разрешаем пересылку пакетов из локальной сети наружу
iptables -A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
# Разрешаем пересылку в локальную сеть ответов на исходящие запросы
iptables -A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT

В скрипте firewall.sh поменял только
# Внешний интерфейс
IF_EXT="eth1"
# Внутренний интерфейс
IF_INT="eth0"
# Локальная сеть
NET_INT="10.0.0.10/255.255.255.0"

В /etc/sysctl.conf
добавлена
net.ipv4.ip_forward = 1

В остальных скриптах ничего не трогал, помогите.

[Nesmit]

да, если отключаю, то всё нормально,
а со включеным шифрованием никак нельзя решить эту проблему?
Чтобы клиенты только вносили ip, логин и пароль ,ничего больше не трогая.

что бы работало шифрование, его нужно включить в конфигах pptpd. Перечитайте ветку, я все описал подробно.

[Procik]

Nesmit
спасибо.

[Nesmit]

Не работает нат, проверяю на каком нибудь сайте ip и мне выдают внеший адрес.

А Вы что хотели получить?

[konart]

Уважаемый Netsmit, настроил все - отлично работает, большое спасибо за хауту:)

Вопрос про шейпер - не пробовали ли сделать шейпер для ограничения скорости на группу абонентов? В возможностях написано, что с 0.4 версии появилась данная функция, только никак не могу понять как работает.

И еще вопрос всем посетителям - ктонибудь знает средство для мгновенного мониторинга траффика и сокростей юзеров?

[Nikollo]

Насколько мне известно, мгновенно скорость меняется только в коммерческой версии, а в бесплатной только после переподключения.
Вопрос в тему, кто нибудь пытался обновить 0.40 до 0.41?

[konart]

Не, вопрос был как отслеживать текущую, которую используют юзеры. Решил пока графики мртг натсроить на общий канал, хватает. Единственное, не хватает ограничений скорости на группу абонентов.
Пользователь решил продолжить мысль 18 Февраля 2010, 10:03:18:Ещё заметил одну странность, есть клиенты, которые без проблем подключаются и работают сколько угодно - подключение держится. А есть же клиенты, которые постоянно вылетают, держатся от минуты до часа, но всеравно периодически вылетают. Как это можно побороть?
Ещё неделю назад на Windows server такого не было.

И что странно, если пользователь выпал - то он сразу же пропадает из биллинга - как биллинг моментально замечает, что пользователь выпал? Может он и рубит покдлючения?

[Nesmit]

ну как уже обсуждалось, виновата реалтек сетевая карта
если заменить на интел или 3com. все нормализуется

[borodadada]

Ребята, я смотрю тут много кто понимает во всём этом. А почему не пишите статью по версии Абиллс 0.50 и радиусу 2.1
Пробовал установить по этой системе, не получилось. Ошибка 691 вылетала постоянно (Ubuntu 9 10 сервер)
Сейчас качаю Харди 8 04 Так как у него в репозиториях 1.1.7 фрирадиус идёт. А у 9 10 только 2.1 Скорее всего на 9 10 не получилось именно из за Фрирадиуса.

[Nesmit]

сильно ошибаешься тут мало кто лез в нутряк абиллса.
со след нелели начну освоение 0.5 со 2м фрирадиусом и 9.10 Ubuntu с перспективой перейти на LTS.

[Procik]

Чтобы заходить в абилс из интернета добавил правило
$INET_IP  внешний ip
$HTTP_IP локальный ip
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
Всё работает
Но я новичок, правильно ли я сделал , или может через ж...?
И как в плане безопасности?

[Nesmit]

http://easyfwgen.morizot.net/gen/
это скрипт генератор
Тыкаешь в нужные места, он делает скрипт с пояснениями.
дополнять очень легко, понятно и доступно. А главное написан с умом,  в плане безопасности.

[Squid007]

Сейчас сижу на вот этом шейпере

#!/bin/sh

TC="/sbin/tc"
TCQA="$TC qdisc add dev $IFNAME"
TCQD="$TC qdisc del dev $IFNAME"

$TCQD root &>/dev/null
$TCQD ingress &>/dev/null

$TCQA root handle 1: htb
$TCQA handle ffff: ingress

/usr/abills/libexec/linkupdown ipn up $IFNAME $PEERNAME $IPREMOTE OS=Linux

создаем файл с названием ip-pre-up и кладем его в папку ppp с правами на запуск
сенкс Ran c форума abills