{toc}
h1. Схема поиска проблемы
*Совет*: при отладке фильтрации вы очень сильно упростите себе жизнь, если будете тестировать на [одном конкретном тестовом абоненте и одном конкретном запрещённом сайте|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=52789268]
В принципе 95% проблем в том, что после установки ещё ничего не настроено или упущена какая-либо деталь.
При прохождении по этой схемке рекомендуем куда-нибудь записывать ответы на все вопросы, потому что они сэкономят много времени и вам и нашей технической поддержке, если решить проблему не удастся своими силами.
!what to check in reductor scheme.png|border=1!
h1. Полезные команды
При настройке с нуля стоит проверять от общего к частному. Обычно это даёт решение быстрее.
* Будем считать, что зеркало трафика приходит на сетевую карту eth1.
* eth0 - выход в интернет и доступ к абонентам.
* считаем что ip тестового пользователя 10.30.2.15
h2. Проверить что трафик от пользователей попадает на сервер
{code}
tcpdump -nneei eth1 -c 20
{code}
h2. Проверить наличие тэгов и ppp в зеркале
Список тэгов, не зная их заранее можно получить с помощью команды
{code}
tcpdump -nneei eth1 -c 20 vlan
{code}
Обратите внимание на вывод команды
{code}
tcpdump -nneei eth1 -c 20
{code}
если у пакетов в описании имеется что-то в духе:
{code}
ethertype 802.1Q (0x8100), length 64: vlan 3362
{code}
то трафик тэгированый (номер тэга указан в виде vlan XXX).
если видны заголовки PPPoE / L2TP / PPTP - нужно расположить зеркало к Carbon Reductor так, чтобы туда попадал чистый трафик.
h2. Проверить что пакеты от пользователя попадают на сервер:
{code}
tcpdump -nneei eth1 host 10.30.2.15
{code}
h3. Проверить что от него попадает http трафик
{code}
tcpdump -nneei eth1 host 10.30.2.15 and tcp port 80
{code}
h3. Проверить что от него попадает http трафик идущий в нужную сторону
{code}
tcpdump -nneei eth1 src host 10.30.2.15 and tcp dst port 80
{code}
h2. Проверить счётчик срабатывания правила
{code}
iptables -xnvL http
{code}
показатель pkts должен расти при открытии запрещённых сайтов
h2. Проверить что пакеты с редиректами улетают от Carbon Reductor к пользователям
{code}
tcpdump -nni eth0 tcp src port 80
{code}
h3. Проверить уход пакетов с редиректами к конкретному пользователю
{code}
tcpdump -nni eth0 tcp src port 80 and dst host 10.30.2.15
{code}
Примечание: для https ресурсов port 443.
h2. Проверить различные аномалии
Например [порт с которого прилетают редиректы к абоненту, возможно он отличается от 80|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=63799316].
h1. Полезные советы
Сделайте роуты до всех абонетов через scope, а не через default route, иными словами - исключите маршрутизатор по пути редиректа, если это возможно.
h1. Схема поиска проблемы
*Совет*: при отладке фильтрации вы очень сильно упростите себе жизнь, если будете тестировать на [одном конкретном тестовом абоненте и одном конкретном запрещённом сайте|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=52789268]
В принципе 95% проблем в том, что после установки ещё ничего не настроено или упущена какая-либо деталь.
При прохождении по этой схемке рекомендуем куда-нибудь записывать ответы на все вопросы, потому что они сэкономят много времени и вам и нашей технической поддержке, если решить проблему не удастся своими силами.
!what to check in reductor scheme.png|border=1!
h1. Полезные команды
При настройке с нуля стоит проверять от общего к частному. Обычно это даёт решение быстрее.
* Будем считать, что зеркало трафика приходит на сетевую карту eth1.
* eth0 - выход в интернет и доступ к абонентам.
* считаем что ip тестового пользователя 10.30.2.15
h2. Проверить что трафик от пользователей попадает на сервер
{code}
tcpdump -nneei eth1 -c 20
{code}
h2. Проверить наличие тэгов и ppp в зеркале
Список тэгов, не зная их заранее можно получить с помощью команды
{code}
tcpdump -nneei eth1 -c 20 vlan
{code}
Обратите внимание на вывод команды
{code}
tcpdump -nneei eth1 -c 20
{code}
если у пакетов в описании имеется что-то в духе:
{code}
ethertype 802.1Q (0x8100), length 64: vlan 3362
{code}
то трафик тэгированый (номер тэга указан в виде vlan XXX).
если видны заголовки PPPoE / L2TP / PPTP - нужно расположить зеркало к Carbon Reductor так, чтобы туда попадал чистый трафик.
h2. Проверить что пакеты от пользователя попадают на сервер:
{code}
tcpdump -nneei eth1 host 10.30.2.15
{code}
h3. Проверить что от него попадает http трафик
{code}
tcpdump -nneei eth1 host 10.30.2.15 and tcp port 80
{code}
h3. Проверить что от него попадает http трафик идущий в нужную сторону
{code}
tcpdump -nneei eth1 src host 10.30.2.15 and tcp dst port 80
{code}
h2. Проверить счётчик срабатывания правила
{code}
iptables -xnvL http
{code}
показатель pkts должен расти при открытии запрещённых сайтов
h2. Проверить что пакеты с редиректами улетают от Carbon Reductor к пользователям
{code}
tcpdump -nni eth0 tcp src port 80
{code}
h3. Проверить уход пакетов с редиректами к конкретному пользователю
{code}
tcpdump -nni eth0 tcp src port 80 and dst host 10.30.2.15
{code}
Примечание: для https ресурсов port 443.
h2. Проверить различные аномалии
Например [порт с которого прилетают редиректы к абоненту, возможно он отличается от 80|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=63799316].
h1. Полезные советы
Сделайте роуты до всех абонетов через scope, а не через default route, иными словами - исключите маршрутизатор по пути редиректа, если это возможно.