Дублируется трафик

[XliN]

Прошу сразу прощения, но на форуме не смог найти ответа.
Ситуация такая. Поднято VPN с помощью mpd и freeradius. Статистику снимаю с помощью ipcad. Проблема состоит в том что входящий и исходящий трафик дублируется.
В ipfw написано

Код: Выделить всё

ipfw add tee 20000 ip from 192.168.1.0/24 to not 172.16.1.0/24 in via em1 
ipfw add tee 20000 ip from not 172.16.1.0/24 to 192.168.1.0/24 out via em1 

Как оказалось что nsad запущен в системе, но если убрать его и перезапустить сервак. Происходит интересная штука. Билинг перестает вообще что либо считать.

Код: Выделить всё

socstat -4 | more 
root nsad 1683 5 udp4 *:61321          *:* 
root nsad 1683 7 udp4 *:*               *:* 
root nsad 1661 5 udp4 *:61321          *:* 
root ipcad 1593 3 tcp4 127.0.0.1:514  *:* 
root ipcad 1593 3 div4 *:20000        *:* 
root ipcad 1593 3 udp4 *:55508         *:*

В ipcad.conf дописал вот что

Код: Выделить всё

interface tee port 20000; 
netflow export destination 127.0.0.1 9996; 
netflow export version 5; 
netflow timeout active 30; 
netflow timeout inactive 15; 
netflow engine-type 73; 
netflow engine-id 1;

Как решить проблему? Клиенты все на VPN с реальными IP

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

а зачем ipcad
mpd же может сам генерировать netflow
во всяком случае mpd4 точно

[XliN]

Может как раз таки mpd и генерирует NetFlow, а ipcad может не фурычит? Если так, то получается nsad и mpd4 накладываются. Как это можно проверитьправельным путем?

[hizel]

ipcad слушает интерфейс и генерирует netflow
что делает nsad?
гм, вам надо считать только то что идет через mpd?

[SKTV]

nsad это тот же ipcad. и в системе как оказалось работает почемуто nsad. ipcad не хочет.
Есть у кого конф рабочий от ipcad?
Считать надо только то что идет через mpd (локалка и инет пользователей)

[hizel]

ipcad.conf

Код: Выделить всё

capture-ports disable;
buffers = 64k;
interface ng*;
aggregate 0.0.0.0/0 strip 32;
netflow export destination 127.0.0.1 9996;
netflow export version 5;       # NetFlow export format version {1|5}
netflow timeout active 30;      # Timeout when flow is active, in minutes
netflow timeout inactive 15;    # Flow inactivity timeout, in seconds
netflow engine-type 73;         # v5 engine_type; 73='I' for "IPCAD"
netflow engine-id 1;            # Useful to differentiate multiple ipcads.
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;       /* Can shutdown ipcad */
rsh staff@127.0.0.1 backup;     /* Can dump/restore/import accounting table */
rsh yourself@127.0.0.1;         /* Can view and modify accounting tables */
/* Note the order! */
rsh luser@127.0.0.1 deny;       /* Deny this user from even viewing tables */
rsh 127.0.0.1 view-only;        /* Other users can view current tables */

# Keep IP packet time to live reasonably low to avoid remote attacks.
# (The rsh client must reside no more than three hops away from the
# router running ipcad.)
rsh ttl = 3;

rsh root@127.0.0.1 admin;       /* Can shutdown ipcad */
rsh staff@127.0.0.1 backup;     /* Can dump/restore/import accounting table */
rsh yourself@127.0.0.1;         /* Can view and modify accounting tables */
/* Note the order! */
rsh luser@127.0.0.1 deny;       /* Deny this user from even viewing tables */
rsh 127.0.0.1 view-only;        /* Other users can view current tables */
rsh ttl = 3;
rsh timeout = 30;
#chroot = /adm/tmp;
dumpfile = /var/db/ipcad.dump; 
pidfile = ipcad.pid;

непонимаю я вас опять
у вас штож получается два демона генерерующие netflow
не здесь ли зарыта сабака дублирования трафика?

и не лучше ли убрать лишние сущности и использовать netflow
экспортёр mpd4 ?

[Гость]

В том то и дело, что почему то два. Отрубаю ndsad - трафик не считается. Получается что ipcad не фурычит.

Прошу обьяснить, что значат эти правила

Код: Выделить всё

ipfw add tee 20000 ip from 192.168.1.0/24 to not 172.16.1.0/24 in via em1 
ipfw add tee 20000 ip from not 172.16.1.0/24 to 192.168.1.0/24 out via em1

в моем ipcad.conf написано interface tee port 2000
аэспортер получается mpd4.
Сейчас сравню свой конф с вашим.

[Гость]

Код: Выделить всё

capture-ports disable;
buffers = 64k;
interface tee port 20000
netflow export destination 127.0.0.1 9996;
netflow export version 5;      
netflow timeout active 30;      
netflow timeout inactive 15;  
netflow engine-type 73;         
netflow engine-id 1;       
rsh enable at 127.0.0.1;
rsh root@127.0.0.1 admin;      
rsh staff@127.0.0.1 backup;     
rsh yourself@127.0.0.1;         
rsh luser@127.0.0.1 deny;      
rsh 127.0.0.1 view-only;
rsh ttl = 3;
rsh timeout = 30;
dumpfile = ipcad.dump;
chroot =/var/ipcad;
pidfile =ipcad.pid;
memory_limit= 128m;

Как посмотреть, работает ли ipcad?

[Гость]

и что надо дописать в ipfw если в ipcad.conf поставить interface ng*;

[hizel]

правила для заварачивания трафика от ip 192.168.1.0/24 в tee и в ipcad соотвтетственно
непонятно только то что вы говорили что ip у вас не локальные

что касается посмотреть текущее состояние ipcad
то

Код: Выделить всё

rsh localhost sh ip acco

и

Код: Выделить всё

rsh localhost stat

из man ipcad

[XliN]

Код: Выделить всё

rsh localhost stat

ругается

Код: Выделить всё

connect to address ::1: Connection refused
Truing 127.0.0.1...
interface 20000: recieved ??, 5 m average 9263 bytes/sec, 42 pkg/sec, dropped ??

Как надо написать, чтобы все ng* попадали в билинг?

[hizel]

обратите внимание на конфиг который я приводил
конкретно на эту строчку

Код: Выделить всё

interface ng*;

[XliN]

обратите внимание на конфиг который я приводил
конкретно на эту строчку

Код: Выделить всё

interface ng*;

Это я видел. Значит надо убрать с ipfw правила tee и в ipcad.conf дописать interface ng*; а свою убрать?

[hizel]

jок
поставим вопросц ребром
заечема вом ipcad 1?

[sktv]

он считает трафик c интерфейса по netflow. В данном случаии через tee. У меня циска передает все по netflow.

[hizel]

эм, тогда не удивительно что трафик дублируется
если бы ipcad работал, то у вас бы он троился

[sktv]

Ну так что предложете делать? Что бы Вы начали предпринимать? А то я не очень силен.

[LMik]

Предлагаю считать трафик на ядерном уровне через ng_netflow.

[hizel]

убрать ipcad и убрать nsad
так как эти функции у вас выполняет cisco

[sktv]

убрать ipcad и убрать nsad
так как эти функции у вас выполняет cisco

Так почему же когда их вырубаю, не считается ничего. А циска просто передает все по netflow на freebsd.

А можно поподробнее про ng_netflow, где почитать, что бы для новичка попроще было?

[sktv]

У меня билинг UTM5, само его ядро слушает порт 9996

[LMik]

У меня билинг UTM5, само его ядро слушает порт 9996

прелесть какая


Я так понял клиенты получают по впн ип и висят на сервере на ng тунелях?

[LMik]

Про нетфлоу тема вообще отдельная, штука офигенная, это надо рисовать и думать, работает очень быстро!

Вобщем делаешь так

Вырубаешь все свое гавно типа ipcad и т.п
Вырубаешь на циске нетфлоу, т.к он будет не весь трафик роутера видеть

в rc.d кидаешь скрипт.

Код: Выделить всё

#!/bin/sh

case "$1" in
        start)
            echo "Starting netflow...."

            /usr/sbin/ngctl mkpeer ipfw: netflow 30 iface0
            /usr/sbin/ngctl name ipfw:30 netflow

            /usr/sbin/ngctl msg netflow: setdlt {iface=0 dlt=12}
            /usr/sbin/ngctl msg netflow: setifindex {iface=0 index=5}

            /usr/sbin/ngctl mkpeer netflow: ksocket export inet/dgram/udp
            /usr/sbin/ngctl msg netflow:export connect inet/XXX.YYY.ZZZ.111:9996

            echo "Ok."
            exit 0
            ;;
        stop)
            echo "Stopping netflow...."
            /usr/sbin/ngctl shutdown netflow:
            echo "Ok."
            exit 0
            ;;
        restart)
            sh $0 stop
            sleep 5
            sh $0 start
            ;;
        *)
            echo "Usage: `basename $0` { start | stop | restart }"
            exit 64
            ;;
esac

в конфиг фаервола

Код: Выделить всё

ipfw -q add 4000 ngtee 30 ip from any to any out via "ng*"
ipfw -q add 4001 ngtee 30 ip from any to any in via "ng*"

И теперь ты можешь рулить учетом трафика как тебе вздумается на уровне фаервола.

[LMik]

Ну размеется надо ип свой подставить в скрипте создания нетграфа

[hizel]

зачем извращатся, когда
в mpd4 есть тоже netflow
который работает через тотже ng_netflow
только настраивается элементарно
тремя строчками