... Статья пока что является черновиком, на основе копии аналогичной из Carbon AS 5, позже будет поправлена под Carbon AS 3. Тем не менее, около 70% инструкций подходят и для AS 3. h1. Как ускорить первичную настройку Carbon AS 3 Если пользователи не могут получить доступ к сети перед обращением в суппорт где вам помогут, вы можете сильно сэкономить время, выполнив следующие шаги. {color:#000000}{*}1. Узнать информацию о авторизованных пользователях{*}{color} {code} cat /var/lib/nas_users.dat {code} В этом файле записаны строки в виде: ip \| snat \| negbal \| mac Как минимум IP пользователя должен быть записан в этом файле, если нет - переходим на следующий шаг. h2. 2. Проверить команды от биллинга {code}
|
... Если команд нет, то переходим на следующий шаг. Если команды есть, то проверьте, что данные которые приходят соответствуют действительности. Скорее всего проблема в настройках тарифа или данных пользователя. {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}psw incorrect. 123 \!={color} {color:#000000}Подобные ошибки означают, что в памяти демона ideco_nasd ещё старые переменные.{color} {color:#000000}/etc/init.d/ideco_nasd restart или мягкая перезагрузка решают эту проблему.{color} h2. 3. Проверить настройки управления NAS'ом Проверьте данные в локальном меню связанные с настройкой маршрутизатора. Проверьте, правильно ли указан IP адрес биллинга, совпадает ли Radius Secret. Проверьте, что не напутали с портами аккаунтинга и авторизации. Если на вид всё верно, то переходим на следующий шаг. h2. 4. Если команды были - проверьте наличие правил Для примера IP пользователя: 10.0.201.100 Проверьте, что пользователю разрешён доступ к сети {code} iptables -nvL | grep -w 10.0.201.100 {code} Проверьте что есть SNAT, если он используется, либо, что его нет, если используются белые IP {code} iptables -t nat -nvL | grep 10.0.201.100 {code} Проверьте маркировку пакетов пользователя для шейпера {code} iptables -t mangle -nvL | grep 10.0.201.100 {code} Если один из этих пунктов даёт не те результаты, которые ожидаются, то нужно сперва проверить параметры пользователя в биллинге, если с ними всё в порядке, то связаться с технической поддержкой. В новых версиях вы можете воспользоваться скриптом {code} /usr/local/ics/support/as_debug.sh --help {code} h2. 5. Проверка доступа до биллинга Самое банальное что можно сделать (но в 80% случаев этого и достаточно): проверить доступ до биллинга ping'ом. Для примера IP адрес биллинга будет равен 10.0.0.10 {code} ping -c 10 10.0.0.10 {code} Если ответы есть, то это ещё не гарантия, что доступ полноценный. Проверьте следующее: {code} arping -c 1 -I Eeth0 10.0.0.10 {code} После \-I должно идти имя внешнего интерфейса. h2. 6. Проверьте что трафик вообще идёт {code} tcpdump -nvi any host 10.0.0.10 {code} Должны идти пакеты на 44, 1812, 1813 и 9996 порты. Для того чтобы заставить команды идти - попробуйте переподключить какого-нибудь пользователя с IP авторизацией. h2. Для PPTP-пользователей Вы можете посмотреть что происходит с плагином авторизации по Radius: {code} strace -s 500 -f -p `pidof pptpd` {code} Для того чтобы читать вывод трасировщика - придётся немного потренироваться. В первую очередь стоит обратить внимание на коннекты до биллинга - если они возвращают 0 (Timeout), то это проблема с сетью, либо Radius-сервер не слушает на указанном в настройках порту. Проверьте это командой {code} ps aux | grep radius {code} на биллинге. Если Radius не запущен, то само собой его надо запустить, предварительно узнав причину по которой он не запущен. h2. Для пользователей с IP авторизацией На биллинге и на самом Carbon AS запустите {code} tcpdump -nvi any udp port 44 {code} Отключите абонента в биллинге. Должен уйти 1 или более пакетов с биллинга и точно такое же до AS. Если пакеты не уходят - нужно опять же проверить запущен ли демон eventd {code} ps aux | grep event {code} h2. Примеры работы с tcpdump {code} tcpdump -nvi any udp port 9996 # проверка netflow tcpdump -nvi any port 1812 or port 1813 # проверка Radius tcpdump -nvi any udp port 44 # проверка посылки команд {code} h2. Отладка Radius Возможно пользователи просто не авторизуются по Radius. Для того чтобы понять что происходит - нужно запустить Radius сервер на биллинге в режиме дебага: {code} ./radiusd -X {code} h2. Логи Если пользователю при авторизации по VPN показываются ошибки - стоит посмотреть лог /var/log/ppp.
|