» FAQ Установка и настройка Netup UserTrafManager. (UTM)

FOZZIL
Создай группу, скажем utm. В группу добавь юзера апача и рута. На папку netup делаешь chown -R root:utm и chmod -R 755
а на файл web5.cfg chmod 777.

Скажите, а с utm-5.2.0.001-bsd5x.tgz на 6-х релизах фри, траблов не возникает?
С учетом, что apache, mysql и тд, вручную буду ставить.

Цитата:

Насколько точно считает ipcad знают наверное только те кто его создал.

Ipcad создал Lev Walkin, который нынче работает в такой компании как CISCO. Которая в свою очередь создала NetFlow. Использую его очень давно - считает отлично!.. Памяти не ест, процессор не грузит!


Цитата:

Beavius

Траблов нет, будет ругаться на отсутствие библиотек - ставишь сим линки с новых на старые, которые хочет UTM.

Цитата:

Траблов нет, будет ругаться на отсутствие библиотек - ставишь сим линки с новых на старые, которые хочет UTM.

А существует utm-5.2.0.001-bsd6x.tgz ?

Цитата:

А существует utm-5.2.0.001-bsd6x.tgz ?

В официально купленных есть utm-5.2.1-003-bsd6x.tbz...

Комрады такая феня.
Ставлю utm-5.0.17 под КларкКоннектом Комьюнити 4.0(Основан на Центосе 4) выдает зависимости:
Нет данных библиотек в системе
libcom_err.so.3
liblber.so.2
libldap.so.2
libstdc++.so.5
С каких пакетов брать данные библиотеки или ставить ютм с параметром нодепс?
Заранее спсибки.
=========================
Еще, ОСь не понимает файлы формата ХМЛ, то есть захожу в каталог /cgi-bin/utm5/aaa5 Пишет сервер ошибка 500.
Че за файк? Перенес все файлы в другую папку с заменой пути в файлах, не понимает ось ааа5=файл данный?
Как побороть? Также не рубит ХМЛ файлы((( Что нужно доустановить. Ось стоит с минимальными пакетами.

Ребят, подскажите где подправить конф, чтобы отчёты по трафику, в том числе детальный сохранялись хотя бы 3 месяца?
Вот нашёл такую строчку в файле ndsad.cfg

# Periodical statistic dump delay.
# If no dump is expected specify 0
# Default:
#dump 0
# Example:
#dump 5

Скажите, если поставлю параметр dump 5 что будет? Просто по живому не хочется испытовать. А может ещё где подправить?



Добавлено:
Нашёл сам ответ. Как всегда в мануале!!!
нужно подправить параметр raw_max_files. Один из наших клиентов не согласен с трафиком. Попросил показать детальную статистику, а её нет!!! Так как netup потёр raw файлы.

Что-то я подустал от UTM.
Может кто сможет помочь-подсказать...

Установил UTM
utm5setup_5.2.1-001-demo.exe
Сверху
utm5_radius_setup_5.2.1-001-demo.exe

Настроил на этом же компе(win2003 server) RADIUS-сервер.

При запуске службы UTM_Radius Service в radius_main.log выдается
ERROR : Jan 26 16:34:03 RadiusSocket: bind failed: 10048
ERROR : Jan 26 16:34:03 AuthServer: Connect failed: 0: No error
ERROR : Jan 26 16:34:03 RadiusSocket: bind failed: 10048
ERROR : Jan 26 16:34:03 AcctServer: Connect failed: 0: No error
ERROR : Jan 26 16:34:03 StreamManager: connect failed: 10049
Последняя строка повторяется каждые 30 секунд.

В radius_debug.log:
ERROR : Jan 26 16:34:03 RadiusSocket: bind failed: 10048
ERROR : Jan 26 16:34:03 AuthServer: Connect failed: 0: No error
ERROR : Jan 26 16:34:03 RadiusSocket: bind failed: 10048
ERROR : Jan 26 16:34:03 AcctServer: Connect failed: 0: No error
ERROR : Jan 26 16:34:03 StreamManager: connect failed: 10049
?Debug : Jan 26 16:34:03 RADIUS Config: Unable to connect, waiting for 30 sec..
Последние 2 строки опять-таки повторяются каждые 30 секунд.

Я не понимаю куда он именно соединиться не может. К радиусу или к UTM?
И куда вообще копать?!

Содержание RADIUS.cfg тут:

core_host=192.168.1.26
radius_login=radius
radius_password=radius
radius_auth_mppe=enable
radius_debug=1

interim_update_interval=60

log_level=10
log_file_main=logs/radius_main.log
log_file_debug=logs/radius_debug.log
log_file_critical=logs/radius_main.log

В UTM указал в качестве NAS-сервера 127.0.0.1
В radius.cfg core_host пробовал и 127.0.0.1 один фиг.

penguen

Цитата:

Еще, ОСь не понимает файлы формата ХМЛ, то есть захожу в каталог /cgi-bin/utm5/aaa5 Пишет сервер ошибка 500.

логи апача покажи.
файлы формата ХМЛ любой ОСи по барабану.

Добавлено:
sergey1979

Цитата:

ERROR : Jan 26 16:34:03 RadiusSocket: bind failed: 10048

Не сталкивался с 5 ЮТМ, юзаю 3й. Без радиуса Однако, ИМХО, эта ошибка говорит о том, что Радиус не может открыть порт. Соотв., не получается к нему и приконнектиться. Почему не может порт открыть - отдельный вопрос, надо копать логи, смотреть, может что-то уже на этом порту висит.

Цитата:

Не сталкивался с 5 ЮТМ, юзаю 3й. Без радиуса Однако, ИМХО, эта ошибка говорит о том, что Радиус не может открыть порт. Соотв., не получается к нему и приконнектиться. Почему не может порт открыть - отдельный вопрос, надо копать логи, смотреть, может что-то уже на этом порту висит.

Спасибо. Перенес RADUIS на другой сервер - ошибка ушла.
Похоже IAS служба не может работать на одном и том же компе с UTM_Radius или как-то их надо разруливать по портам разным....

Мда... слез с одних граблей, воткнулся в другие.

Содержание radius_debug.log:

ERROR : Jan 30 15:43:14 AcctServer: Error! (2)
?Debug : Jan 30 15:43:14 RadiusSocket: Waiting for RADIUS raw data
?Debug : Jan 30 15:43:19 RadiusSocket: RADIUS packet successfully received
?Debug : Jan 30 15:43:19 RadiusSocket: RADIUS raw data obtained
?Debug : Jan 30 15:43:19 RADIUS Packet: Size <35>; HDR.Size <35>
?Debug : Jan 30 15:43:19 AcctServer: Recv...
?Debug : Jan 30 15:43:19 AcctServer: Packet from <192.168.1.2> packet dump: RPacket:
Code: 4; ID: 0
<Vendor: 0; Attr: 4>[4]: c0a80102
<Vendor: 0; Attr: 40>[4]: 00000007
<Vendor: 0; Attr: 44>[1]: 39

?Debug : Jan 30 15:43:19 RADIUS DBA: NAS <192.168.1.2> not found in NAS list! Add this NAS and try again ...
ERROR : Jan 30 15:43:19 AcctServer: Error! (2)
?Debug : Jan 30 15:43:19 RadiusSocket: Waiting for RADIUS raw data
ERROR : Jan 30 15:43:31 StreamManager: connect failed: 10049
?Debug : Jan 30 15:43:31 RADIUS Config: Unable to connect, waiting for 30 sec..

NASов в UTM-администраторе я на вкладке Настройки добавил в немерянных количествах. и 127.0.0.1 и 192.168.1.26(оба адреса сам сервер) и 192.168.1.2 - это другой сервер с RRAS.
После запуска службы RRAS вылетает, а в логи записывается вышеприведенное.

Кто может подсказать?

Есть несколько проблем с UTM5_WinTray_Client:
1. Часто клиент в состоянии неактивном (т.е. ИНЕТ не включен и не выключен)
значок клиента серый.
При этом доступ в Инет ЕСТЬ
2. Когда прибиваешь процесс Трейклиента либо просто его выгружаешь правила на фаерволе не убираются со списка, и пользователь может ходить даже без клиента.

Jovanotti
Сопссна если прибить процесс винтрея, то он не скажет биллингу применить правила фаервола - это вполне понятно. В версии 5.1.1 нет галки выключать при выгрузке клиента,тока при выключении винды. Да и сам клиент существует не для авторизации принудительной,а для удобства юзверя и это совсем не впн
Насчет первого вопроса сказать ничего не могу, неизвестна даже версия ядра и клиента.

Установил 5.1.10-017 на BSD.
Под рукой была чистая машина с FreeBSD 6.2, на неё весь пакет и установил, + compat4 и 5.
Промучился сегодня весь день с запуском Radius-а.
Не выдает он адрес и всё, а авторизация проходит.
Где могут быть грабли?
И ещё возникли вопросы.
В шапке описана установка для 4-ки.
В руководстве для 5-ки, не всретил ни слова про, openssl, DBI, ipcad, или просмотрел?
Обязательны ли для пятой версии эти пакеты?
И наверно вместо Apache 1.3 + modssl, можно apache2 или 2.2 поставить?
И можно ли вместо правил для IPFilter использовать правила PF?
Oн более привычен.

С BSD дела не имел,но на общие вопросы отвечу.
адрес не выдает-виноват mpd или другой ppp демон. для пятой версии нужно наличие ndsad, core, rfw, radius , которые ставятся сами из пакета. апач годится любой,фаервол так же любой - указывается в конфиге.

Вроде poptop демона, запутил - виноваты были пробелы, и скупая документашка.
На 2-м апаче, тоже работает.
Вот конфиги под mpd, если есть скинь, понял так, что он луше понимается windows.
Ещё вопрос, что лучше для сбора статистики, ndsad или ipcad?
Сколько места под базу застолбить?
Руководство по netup, советует разнести nas utm и mysql, на разные машины.
Какие по мощности нужны машины (циски только в планах), под каждое звено?
Сколько юзеров на шлюз можно повесить?

mpd у многих глючит, поэтому даже несмотря на его преимущества, мы остановились на poptop.
Мы делали через ndsad, потом изменили на netup_netflow, куда закидывается трафик с ng_netflow FreeBSD
Зависит от количества трафика и количества пользователей. У нас порядка 7к абонентов, детальная статистика сбрасывается в архивную базу раз в пять дней самописным скриптом(удаляется детальный трафик для анлимщиков), база весит 38Гигов + отдельный раздел под архивную базу.
Руководство советует очень верно. У нас всё было на одной машине, пока количество тоннелей не достигло 300. Жуткие тормоза были, особенно при обсчёте.
В итоге сейчас UTM на одной машине, MySQL крутится под Убунтой со SCSI-винтами, и три NAS-сервера. Максимальное количество тоннелей на одном сервере было зафиксировано на цифре 1100, load average зашкаливало за сотню, загрузка по прерываниям за 50%, и все 2 гига памяти были заняты. Нормальное количество до ~600 тоннелей.
P.S. NAS-сервера достаточно дешёвые, за ~700$

Если выгружаешь клиента правила относящиеся к нему остаются.
К примеру если пользователь просто выключил ПК.
И никто не мешает зная ИП этого пользователя выйти в ИНЕТ.
В связи с этим вопрос:
Есть ли настройка ограничивающая время жизни правил ?
(Ver. 5.1.10-015 + Linux iptables)

А контроль MAC-адресов вам зачем дан? Прибивайте жёстко MAC-адреса, и будет вам счастье, по крайней мере, от скрипт-киддисов.

Спасибо Dyr.

Не могу закачать с сосла самописный интерфейс кассира.
Может кто поделится под 5.1.10-017 или может даже не самописным.

Есть группа cashier, завожу системного пользователя в этой группе,
но через админку не пускает его. Странно, почему так.

pro_cess, на здоровье!
Кстати, обмениваться самописными вещами было бы здорово. Могу со своей стороны предложить для четвёрки:
Скрипт динамического ограничения скорости
Формирования правил файера на удалённых машинах (ipfw tables)
Архивирования базы
и некоторые другие.

pro_cess
создаешь пользователя в (системные) вводишь логин, пасс IP с маской 255.255.255.255, далее в этих же параметрах (добавить) и добавляешь ID cashier (2)
после - все ОК

Leon_19, дык так и делал. Только что маску по ширше ставил.
В чера замучил с этим пользователем так, что стал в место отказа ошибку выдавать.

Цитата:

Call failed for func: 0x46. Permission denied or system error.

Ps. Подключая к группе Cashier указанные в ошибке функции, смог зайти.
Но ошибки продолжаются и сколько ещё надо будет функций разрешить не понятно.

Настроил PF (Packet Filter) в связке с rfw
rfw5.conf

Цитата:

sudo_path=/usr/local/bin/sudo
firewall_path=/sbin/pfctl
rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=11758
rfw_login=init
rfw_password=init
log_level=3
log_file_main=/netup/utm5/log/rfw.log
log_file_debug=/netup/utm5/log/rfw.log
log_file_critical=/netup/utm5/log/rfw.log

pf.conf (это минимал, более детальный создаете сами)

Цитата:

ext_if="fxp0"
table <allowed> {}
nat on $ext_if from <allowed> -> ($ext_if)
pass

В настройках нетупа оставил, только один файервол на адресе 127.0.0.1 без юзера и пароля.
Прописал в правилах файервола
Подключение юзера
Цитата:

-t allowed -T add UIP

Отключение юзера

Цитата:

-t allowed -T delete UIP

Без пробела перед -t!

И это заработало! ) Может кому-нибудь и пригодится.

Вопрос, если файервол не на машине нетупа, то как правильно настроить, подключение к нему?
Указать IP, юзера и пароль для удаленной машины это раз, наверно.
sudo или ещё чего на удалённой машине надо настраивать?

Цитата:

А контроль MAC-адресов вам зачем дан?

На всех современных платах МАК адрес легко меняется в настройках самой карты, не сложнее, чем айпи адрес, так что не поможет даже от скрипт-киддисов.
У нас сейчас внедряют какую-то новую систему на основе UTM+DHCP, подробностей не знаю, но если что-то будет - напишу.

У кого есть опыт настройки услуги Хотспот?
У меня проблема в том, что когда ввожу номер карты и пароль, вход в личный кабинет происходит и выдается такая инфа:

Параметр Значение
Начало сессии 03:39:21 28/2/2007
Окончание сессии(рассчетное) 03:39:21 28/2/2007
Длительность сессии 00:00
Осталось времени 00:00
Баланс 40.000
Вход с IP 10.0.0.254
Сообщение Session Closed

То есть проблема в том, что сессия закрывается не успев открыться. Меня смущает следующее сообщение в main.log:

ERROR : Feb 28 03:22:29 UTM5 DBA: __dynamic_link_ip2aid uid <12>. Only one services linked for user.

Но не пойму о чем это он.
Все настраивал по первой части статьи http://netup.ru/articles.php?n=4

Уже отчаялся найти решение проблемы.

Если установить на машине NETUP и не запускать его ядро, можно ли запустить rfw?

pro_cess
RFW --- отдельный модуль

Цитата:

utm5_rfw start

all
При большом количестве коннектов пользователей в логи UTM5_core пишет ....

Цитата:

ERROR : ??? 05 19:27:46 RPCServer@0.0.0.0: Unable to create
thread: Cannot allocate memory

При этом количество тредов достигает примерно 390 штук. При этом новые подключения откидываются.
Кто сталкивался с подобным ?

У меня mpd на 512M оперы создавал 250 интерфейсов, без проблем.
А на 256M на 214 -ом интерфейсе вываливается с такойже ошибкой: Cannot allocate memory.
Но почему так не разборался ещё.
ndsad, как понял, забивает под каждый интерфейс 65536 байт, может он виноват.

pro_cess
ndsad -- на другой машине. Там же где и utm5_rfw
Увеличил параметр kernel.threads-max смотрю что будет ....
На форуме нетаповском советовали поиграться с параметрами
ulimit -s (уменьшить)
ulimit -n (увеличить )
только это не сильно помогало