forum.lissyara.su

Добавлено: **2010-02-18 20:39:45**

Привет всем.
У меня проблема.
на машине работает ipcad как сниффер и сливает инфу на коллектор. Вся проблема в том, что через какое-то время серв виснет и ни на что не реагирует (только ребут пасает). В vmcore упоминания, что упал из за такого-то ng ифейса.
Подскажите как его запустить по нормальному?
Может есть аналог его?

Заранее благодарю за ответ.

Добавлено: **2010-02-18 21:50:14**

телепаты в отпуске, что за ng интерфейсы у вас? mpd? в каком режиме?

Добавлено: **2010-02-19 7:29:22**

hizel писал(а):что за ng интерфейсы у вас? mpd? в каком режиме?

mpd5 поднят. Клиенты ходят по pptp.
Для ng в ядре это:

Код: Выделить всё

options         NETGRAPH        #
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE

В mpd5 можно указать слив flow статистики на 2 хоста (на 2 порта) одновременно?

Код: Выделить всё

set netflow peer 10.10.0.2 9997 # куда сливать
set netflow self 10.10.2.2 65500 #с какого ифейса от себя

set netflow peer 10.10.2.3 9996 # Эта запись возможна помимо 2х предыдущих?

Добавлено: **2010-02-19 9:29:53**

возможна, но там что-то с ней не корректно работало, тут я не понял тогда зачем ipcad?

Добавлено: **2010-02-19 10:22:47**

hizel писал(а):возможна, но там что-то с ней не корректно работало, тут я не понял тогда зачем ipcad?

Смотрите.

На биллинге работает 3 версии ipcad (биллинг от нетупа). Вот для чего.
1 ipcad сливает инфу на сам биллинг по ng ифейсам на порт 9996 для подсчета трафика абонента
2 ipcadng сливает инфу на коллектор flow-capture опять же по ng ифейсам. Кто куда ходил откуда зачем и почему.
3 ipcadem0 сливает инфу на коллектор flow-capture уже по em0 - внешнему ифейсу.
ipcadng и ipcadem0 являются копиями ipcad (/usr/local/sbin).

на отдельном сервере доступа инфа по абонентам сливается на биллинг с помощью mpd5 (для обсчета трафика), но мне еще надо же смотреть кто куда ходил, а тут уже проблемы.

Кстати, на биллинге FreeBSD 6.2, на сервере доступа FreeBSD 7.2.

Сейчас пустил на сервере доступа сбор инфы только по ng ифейсам. посмотрим что получится.

Уже не знаю что делать.
На один порт на биллинге я же не могу повесить помимо самого биллинг и Ipcad. Значит приходится так. и из mpd5 я не могу слать на 2 разных коллектора.

Добавлено: **2010-02-19 10:44:31**

зачем сливать инфу ipcad-ом, он что через bpf ng слушает?
ведь mpd сам льет netflow данные
так как у него не правильно реализовано сливание в несколько мест, то используйте flow_fanout и убирайте все ipcad к черту :]
а на аплинке повесьте свою отдельную ноду ng_netflow и лейте куда нужно

тоесть

Код: Выделить всё

mpd(ng_netflow)->flow_fanout----> netup
                          |
                          +-------> flow_capture

для аплинковского порта конфиг минимальный, примерно такой скрипт: http://hizel.livejournal.com/8363.html
только проследите чтобы имя ноды минимальное было, в 7.2 ng_netflow умеет хрумкать трафик в обе стороны и не нужно городить огороды как раньше

Добавлено: **2010-02-19 10:59:37**

а конфиг для flow-funout не дадите, который бы взаимодействовал бы с flow-capture и netup?

Добавлено: **2010-02-19 11:06:23**

это просто мультиплексор, один вход цать выходов:
если использовать тот rc скрипт который входит в состав freebsd пакета flow-tools то в rc.conf получается примерно следующие:

Код: Выделить всё

flow_fanout_enable="YES"
flow_fanout_ip="127.0.0.1"
flow_fanout_remoteip="127.0.0.1"
flow_fanout_port="9997"
flow_fanout_export="127.0.0.1/127.0.0.1/9996 10.24.0.2/10.24.0.19/9999"

тут коллектор льет данные с 127.0.0.1:any в 127.0.0.1:997
flow_fanout отдает с 127.0.0.1:any в 127.0.0.1:996 и с 10.24.0.2:any в 10.24.0.19:9999
10.24.0.2 один из ip на интерфейсе в сторону 10.24.0.19

Добавлено: **2010-02-19 12:10:06**

За конфиг спасибо.
Давайте, чтобы не было у меня вопросов больше вы меня проконтроллируете?

И так, я на серверере, с ip 10.10.2.2, в mpd5.conf пишу слив статистики на 10.10.0.2:9996.
В свою очередь на сервере с биллингом, ip 10.10.0.2 я пишу в rc.conf:

Код: Выделить всё

flow_fanout_enable="YES"
flow_fanout_ip="127.0.0.1"
flow_fanout_remoteip="127.0.0.1"
flow_fanout_port="9996"
flow_fanout_export="????????"

Я не понял что мне надо вписать в flow_fanout_export. Посмотрел ман - тоже несолько не ясно.
Данные приходящие на 10.10.0.2 на порт 9996 (flow-fanout) должны кидаться на 10.10.0.2:9997 (биллинг) и на 10.10.0.2:9998 (коллектор).
Как должна выглядеть конечная строка?

Заранее еще раз спасибо.

Добавлено: **2010-02-19 12:27:36**

я бы через петлю кидал если возможно

Код: Выделить всё

flow_fanout_enable="YES"
flow_fanout_ip="10.10.0.2"
flow_fanout_remoteip="10.10.2.2"
flow_fanout_port="9996"
flow_fanout_export="127.0.0.1/127.0.0.1/9997 127.0.0.1/127.0.0.1/9998"

Добавлено: **2010-02-19 12:45:55**

Во! спасибо огромное.

Последний наверное вопросик.

для аплинковского порта конфиг минимальный, примерно такой скрипт: http://hizel.livejournal.com/8363.html
только проследите чтобы имя ноды минимальное было, в 7.2 ng_netflow умеет хрумкать трафик в обе стороны и не нужно городить огороды как раньше

С этим мне надо заморачиваться или и так все будет работать?

Добавлено: **2010-02-19 12:47:48**

Soldier писал(а): С этим мне надо заморачиваться или и так все будет работать?

вас не понял, как так?

Добавлено: **2010-02-19 13:05:55**

hizel писал(а):вас не понял, как так?

Ну на 10.10.2.2 у меня же mpd5 создает туннели, если клиент подключается, и рушит их, если отключается или timeout. Так же mpd сливает статистику на 10.10.0.2.
Сам нат организован правилами pf. Клиенты работают преимущественно по серым Ip.

Вот отсюда и вопрос, нужен ли ng_netflow в этом случае, или статистика собираемая mpd5 будет и так нормально уходить?

Добавлено: **2010-02-19 13:26:22**

в случае ната снятие нетфлов данных с аплинк интерфеса теряет смысл

Добавлено: **2010-02-19 13:36:30**

hizel писал(а):в случае ната снятие нетфлов данных с аплинк интерфеса теряет смысл

Почему?
Биллинг от нетапа не обсчитывает же нат, следовательно я должен оповестить биллинг сколько списать и почему.
Да и статистику по клиентам кто и куда ходил я, как повайдер, должен хранить три года.

Или я в чем-то не прав?

Добавлено: **2010-02-19 13:45:35**

коллектор на аплинке работает после NAT преобразования эта информация какбэ не нужна получается
тот выхлоп которые на ngX интерфейсах вам вполне должно хватить

Добавлено: **2010-02-19 13:57:31**

Теперь я вас не понял.
Чего должно хватить?

У меня на нате 172.16/16 сетка, в локалке 10/8 (сигментированная).
Мне надо собирать данные по 172.16/16 не больше. Ну и те у кого белые ip, которые так же работают через нат.
Был бы большой пул белых ip, которых хватало бы для всех - все равно пришлось бы собирать инфу, т.к. её хранить надо.

Добавлено: **2010-02-19 14:13:23**

если у вас весь трафик который должен считаться проходит через mpd, то встроенного netflow коллектора должно хватить на всё :}

Добавлено: **2010-02-19 14:42:25**

hizel писал(а):если у вас весь трафик который должен считаться проходит через mpd, то встроенного netflow коллектора должно хватить на всё :}

Эмм. у mpd5 есть встроенный коллектор?
как его тогда найти?
Может его в конфиге активировать надо или как?

Добавлено: **2010-02-19 14:55:39**

тьфу, оговорился, netflow экспортёр там встроенный

Добавлено: **2010-02-19 15:17:53**

Вот я за это и говорю.

Получается что заморачиваться с ng_netflow не надо?

Добавлено: **2010-02-19 15:28:27**

Soldier писал(а): В mpd5 можно указать слив flow статистики на 2 хоста (на 2 порта) одновременно?
Код: Выделить всё
set netflow peer 10.10.0.2 9997 # куда сливать
set netflow self 10.10.2.2 65500 #с какого ифейса от себя

set netflow peer 10.10.2.3 9996 # Эта запись возможна помимо 2х предыдущих?

я думал вы уже нстроили

да, при включении соответствующих опций mpd сам создает и убирает в нужном месте ноды ng_netflow

Добавлено: **2010-02-19 15:46:55**

Дык получается двойная запись одной и той же команды поможет?

Добавлено: **2010-02-19 15:54:59**

мне не помогла, криво работало, но может у вас заработает

Добавлено: **2010-02-19 16:06:11**

Вот опять сервер сдох.

А в каком плане она криво работала? тормозил или что?

forum.lissyara.su

ipcad дохне и вешает машину.

ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.

Re: ipcad дохне и вешает машину.