» FAQ Установка и настройка Netup UserTrafManager. (UTM)

lapoty
к примеру канал в 10мбит на всезх анлимщиков
ipfw
/sbin/ipfw pipe 50000 config bw 10Mbit/s mask src-ip 0xffffffff
/sbin/ipfw pipe 50001 config bw 10Mbit/s mask dst-ip 0xffffffff
/sbin/ipfw pipe 128 config bw 128kbit/s mask src-ip 0xffffffff
/sbin/ipfw pipe 129 config bw 128kbit/s mask dst-ip 0xffffffff
/sbin/ipfw pipe 256 config bw 256kbit/s mask src-ip 0xffffffff
/sbin/ipfw pipe 257 config bw 256kbit/s mask dst-ip 0xffffffff
/sbin/ipfw pipe 512 config bw 512kbit/s mask src-ip 0xffffffff
/sbin/ipfw pipe 513 config bw 512kbit/s mask dst-ip 0xffffffff
/sbin/ipfw pipe 1024 config bw 1024kbit/s mask src-ip 0xffffffff
/sbin/ipfw pipe 1025 config bw 1024kbit/s mask dst-ip 0xffffffff

UTM5
UID pipe 128 ip from UIP to any in
UID pipe 129 ip from any to UIP out
UID pipe 50000 ip from UIP to any in
UID pipe 50001 ip from any to UIP out
UID allow ip from UIP to any

ipfw
allow ip from any to NET

что-то вроде того

[help] Cisco 1841 + NetFlow + UTM5

Организован впн шлюз, интерфейсы:
fa 0/0 - внешний инет (реальник)
fa 0/1 - офисная сетка
(стоит wic на 4 порта свичовый, поэтому пришлось поднимать vlan-ы, т.к. на свиче нельзя назначать ip addr на 0/0/x)
fa 0/0/0 - Vlan3 напрямую в UTM, туда-же отправляется флоу с киски, по тому-же интерфейсу работает радиус
fa 0/0/3 - Vlan2 комерческая сетка, в которой раздаётся впн клиентам

аккаунтинг с радиуса прекрасно работает, выделяет именно те ипы (192.168.2.х) которые в базе UTM, инет работает, но флоу не отдаёт ни-че-го из сети 192.168.2.х, соответственно трафик не считается. если посмотреть show vpdn tun вижу ипы внутренней сети 192.168.11.х с которых клиенты получили сессию и ип впн-а из 192.168.2.х (((

Конфиг киски:

Код:
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname ivpn
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret 5 хххххххххххххххххххх
enable password 7 ххххххххххххххххххххх
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login local_auth local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
!
aaa session-id common
!
resource policy
!
ip cef
no ip bootp server
ip domain name infort-net.ru
ip name-server ххх.ххх.198.254
ip name-server ххх.ххх.193.254
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host root 192.168.0.10 root enable
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
!
username root password 7 ххххххххххххххххххххх
!
interface FastEthernet0/0
ip address ххх.ххх.198.214 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache policy
no ip route-cache cef
ip route-cache flow
speed auto
full-duplex
!
interface FastEthernet0/1
ip address 192.168.10.10 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1.2
description PPTP clients
encapsulation dot1Q 3
ip address 192.168.2.1 255.255.255.0
no ip redirects
ip flow ingress
ip nat inside
ip virtual-reassembly
pppoe enable
!
interface FastEthernet0/0/0
switchport access vlan 3
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
switchport access vlan 2
!
interface Virtual-Template1
ip unnumbered FastEthernet0/1.2
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 ms-chap
interface Vlan1
no ip address
!
interface Vlan2
ip address 192.168.11.10 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan3
ip address 192.168.0.151 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 ххх.ххх.198.213 permanent
!
ip flow-export version 5
ip flow-export destination 192.168.0.10 9996
!
no ip http server
no ip http secure-server
ip nat inside source list 4 interface FastEthernet0/0 overload
ip nat inside source list 5 interface FastEthernet0/0 overload
!
logging facility local1
logging 192.168.0.10
access-list 4 permit 192.168.2.0 0.0.0.255
access-list 5 permit 192.168.0.10
access-list 108 permit ip any 192.168.2.0 0.0.0.255
!
!
!
radius-server host 192.168.0.10 auth-port 1812 acct-port 1813 timeout 30 key 7 хххххххххххххххххххх
radius-server key 7 ххххххххххххххххххх
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
scheduler allocate 20000 1000
end

В базе UTM для коммутированного соединения ИПы пользователям назначены из сети 192.168.2.х для соединения по впн. Соответственно, когда юзер подключается, его соединение имеет сл. вид:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.12
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.2.12
DNS-серверы . . . . . . . . . . . : ххх.ххх.198.254

show ip cache flow не выводит ипы из сети 192.168.2.х, всё идёт в виде:

Код:

Vl2 192.168.11.39 Local 192.168.11.10 11 0401 0035 2
Vl2 192.168.11.24 Local 192.168.11.10 11 0409 0035 15
Vl2 192.168.11.25 Local 192.168.11.10 11 040F 0035 91
Vl2 192.168.11.24 Local 192.168.11.10 11 040C 0035 33
Vl2 192.168.11.207 Local 192.168.11.10 11 0401 0035 2
Vl2 192.168.11.138 Local 192.168.11.10 06 05CB 06BB 2
Vl2 192.168.11.198 Local 192.168.11.10 11 0412 0035 4
Vl2 192.168.11.214 Local 192.168.11.10 11 0406 0035 616
Vl2 192.168.11.238 Local 192.168.11.10 11 0403 0035 40
Vl2 192.168.11.223 Local 192.168.11.10 11 0407 0035 2
Vl2 192.168.11.166 Local 192.168.11.10 11 0440 0035 430
Vl2 192.168.11.218 Local 192.168.11.10 11 0401 0035 5
Vl2 192.168.11.242 Local 192.168.11.10 06 0417 06BB 2
Vl2 192.168.11.120 Local 192.168.11.10 11 041F 0035 2
Vl2 192.168.11.138 Local 192.168.11.10 11 0416 0035 2
Vl2 192.168.11.128 Local 192.168.11.10 11 0405 0035 2
Vl2 192.168.11.173 Local 192.168.11.10 11 0402 0035 410
Vl2 192.168.11.180 Local 192.168.11.10 11 0403 0035 47

это статичные внутресетевые адреса юзеров, при выключенном впн.
подскажите где я ошибся в конфигах плз чтобы UTM корректно обсчитывал трафик и отображал статистику по VPN-сессиям (таблицы пустые - но я думаю это косяк в настройке радиуса)

Вместо Loopback0 у меня выступает Virtual-Template1 - или я что-то неправильно понимаю?

По поводу флоу ещё 1 маленький вопрос - есть ip accounting а есть flow - насколько я понимаю это 2 разных пути получения информации по трафику? Стоит ли морочиться с флоу если так сложно получается на данной модели с mls может просто перенастроить UTM на получение инфы по ip accounting?

В UTM есть утилита get_xyz которая (если указать в конфиге ип киски логин и пароль) умеет получать инфу такого вида:

get_xyz.log :

Код:

root@gw:~# tail -f /netup/utm5/log/get_xyz.log
Get from Cisco 192.168.0.151
1179910286:nf5 records:73
Get from Cisco 192.168.0.151
1179910320:nf5 records:84
Get from Cisco 192.168.0.151
1179910354:nf5 records:60
Get from Cisco 192.168.0.151
1179910388:nf5 records:105
Get from Cisco 192.168.0.151
1179910423:nf5 records:75
Get from Cisco 192.168.0.151
1179910457:nf5 records:65
Get from Cisco 192.168.0.151
1179910491:nf5 records:87

в это же время ip accounting на киске отвечает вроде корректно :

Код:

Source Destination Packets Bytes
213.251.198.254 192.168.2.162 1 395
89.108.87.90 192.168.2.179 8 1490
192.168.11.67 192.168.2.173 3 144
217.12.241.11 192.168.2.179 10 3134
64.12.174.121 192.168.2.6 2 668
84.252.146.29 192.168.2.179 8 1710

смущает единственное - как видно адреса 192.168.2.х присутствуют только в Destination ....

Здраствуйте помогите!!!
стоит Netup 5.2.0
у юзера лежат деньги на счету,
остаётся два рубля он включает сесию и качает пока сесию не закроет хотя в биллинге он давно заблокирован

Тоже был такой косяк с настройкой файрвола. Фаер ipfw. Включение/отключение пользователя как описано в документации NETUP. А в статической части фаера одним из правил было ipfw add 100 allow ip from me to any keep-state . Так вот этот keep-state и отрабатывал при выключении пользователя биллингом. Правила для пользователя удаляются при достижении им отрицательного балланса, а трафик, идущий от сервера в сторону пользователя, продолжает идти через 100 правило, и обратно от пользователя через динамическое правило созданное keep-state.
Необязательно конечно у тебя такой случай, но может поможет. Смотри текущее состояние файрвола вместе с динамическими правилами, на предмет того через какое правило идет траф + tcpdump на интерфейсе. При условии, конечно, что все остальное у тебя настроено правильно и юзеры корректно вырубаются в остальных случаях, кроме описанного тобой.

Цитата:

Angel54

Помоему,
В ndsad.cfg добавь
nf_lifetime 10

Установил Биллинг, без ошибок вроде бы.
Но xml файлы статистики юзеров не работает, точнее не обрабатыв. апач XML
При загрузки стр. показыв. код. Что нужно чтобы xml файлы обрабатывались.
libxml и т.п. установил, может модуль xml какой-то прикрутить ? Подскажите и если возможно ссылки для закачки модулей. Спасибо за внимание

Цитата:

Помоему,
В ndsad.cfg добавь
nf_lifetime 10

Он что сесию разорвёт, или считать перестанет?

Данные скидываются в базу либо по истечении сессии, либо по истечении времени. По умолчанию время помоему 30 минут.
nf_lifetime 10
данные будут скидываться каждые 10 секунд и будет вовремя блокировать пользователей.

Коллеги! Если у кого-то свежеустановленный UTM5 по адресу https://хост/cgi-bin/utm5/aaa5 показывает пустую страницу, то возможно вам поможет моё решение.

У меня эта проблема возникла на Debian Etch. Проблема вызвана тем, что UTM использует старую библиотеку libxslt и, соответственно, старый синтаксис xslt-файлов. Чтобы решить проблему надо пропатчить файл /usr/lib/cgi-bin/utm5/basic.xslt.

Вот текст моего патча:

Код:

--- basic.xslt    2007-06-22 13:52:08.000000000 +0400
+++ basic.xsltw    2007-06-22 13:51:19.000000000 +0400
@@ -1,4 +1,4 @@
-<xsl:stylesheet xsl:version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
+<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:output method="html" encoding="UTF-8"/>

<!-- *************************** VARIABLES INIT *********************** -->
@@ -728,6 +728,7 @@
</xsl:template>

<xsl:template name="dict">
+<xsl:param name="value" />
<xsl:value-of select="document($dict_path)/utm5_nls/lang[@id=$cur_lang]/utm5_msg[@id=$value]"/>
</xsl:template>

Объясните, пожалуйста, каким образом узнать сколько конкретно предоплаченного трафика перешло с прошлого учетного периода.
Существует несколько классов трафика.
В веб-интерфейсе пишется, что для каждого из них предоплачено N мегабайт (но N - количество мегабайт, выделенных на весь аккаунт).
Соответственно и для перенесенного предоплаченного трафика.

Перенесено предоплаченного с прошлого учетного периода
Входящий трафик с Интернет (день) (500) 503.774
Входящий трафик с Интернет (ночь) (510) 2461.34
Входящий трафик с TAS-IX (день) (550) 2787.11
Входящий трафик с TAS-IX (ночь) (560) 2833.36
Трафик ICQ (1000) 2819.38

3 учетных периода был включен тарифный план с предоплаченными 600 мб, но без переноса на следующий месяц неиспользованного. В начале 4-го периода был переведен на тарифный план с 1500 мб предоплаченными, с переходом неиспользованного на следующий учетный период.

Откуда могло взяться столько предоплаченного трафика? Следовательно, значения неверные (503.774 + 2461.34 + 2787.11 + 2833.36 + 2819.38 > 4800).

Вопрос: Как получить значение реально перенесенного на текущий учетный период предоплаченного трафика?

Помогите разобраться начнающему пользователю нетапа: поставил utm5-1-10-017
операционка CentOs 5.0.
Ставил точно по инструкции.
имею в итоге: utm5_core стартует без ошибок после некоторого шаманства с симлинками.
Компьютер с биллингом - он же шлюз в И-нет.
имею в итоге: доступ в инет изнутри есть, деньги никак не считаются, хотя вроде все тарифы/пользователи заведены. в логах полная тишина - такое впечатление что netup никак не взаимодествует с iptables. Куда копать?

я очень извеняюсь, но интересует на сколько этот UTM прожорлив и соответсвенно шустр!? Если будет хорошее оборудование он в состояние потянуть провайдинг (100 000-200 000 пользователей)??? Очень надо знать, так как хотим для контары его брать, а контора с перспективом роста! Кто что скажет?!

У нас UTM4 с доработками тянет порядка 11000 пользователей, и оснований для затыков пока не видно.

Dyr
А чего на 5-ку не соскакиваете ? Вроде как побольше функционал будет

а не поделится никто УТМ4 и ключиком ?
va-dos2004@ya.ru

Klisha


Цитата:

имею в итоге: доступ в инет изнутри есть, деньги никак не считаются, хотя вроде все тарифы/пользователи заведены. в логах полная тишина - такое впечатление что netup никак не взаимодествует с iptables. Куда копать?

Настраивать коллектор трафика. У вас вообще чтонибудь льет данные нетфлоу например на биллинг?

Народ помогите, уже незнаю что поделать. Не устанавливается УТМ4 на SUSE 10.1.. я уж и симлинкина libmysql..10 делал и библионтеки подсовывал от скуля 4.0 (3.23.55 у меня не компилится из исходников ругается: checking "LinuxThreads"... "Not found" ... помню что под suse 9.2 утм устанавливался и работал, поэтому пытался подсуовывать библиотеки из того дистрибутива... если еще какие нибудь варианты, кроме переустановки ос на 9.2... слышал что можно как то декомплилирвать утм в исходнкии и подправить ручками библионтеки... утилита есть для этого, но с перлом не знаком.. инструкций никаких нету... хелп!

Добавлено:
...если подсунуть библиотеку из рпмки от версии 3 или 4 то выдает

Can't load './mysql.so' for module DBD::mysql: /usr/lib/libmysqlclient.so.10: symbol errno, version GLIBC_2.0 not defined in file libc.so.6 with link time reference at PERL2EXE_STORAGE/DynaLoader.pm line 206.

при простой замене libmysql...10 инсталл запускается, но выдает после ввода имени хоста с базой Segmentation Fault...

ура ура! все получилось.. проблема решилась очень легко и изящно!!! без всяких замен библиотек и симлинков... просто поставил MySQL-shared-compat-5.0.45 т.к. mysql у меня 5.0.... есть еще и для 5.1

Добавлено:
да кстати.. ось SuSe 10.1

товарищи.
посоветуйте.
раз примерно в 1-2 минуты нагрузка сервера резко увеличивается

utm_core + ndsad = 95% нагрузки проца. большая часть - в режиме ядра

Вопросик возник в процессе настройки биллинга UTM4, подскажите плиз...

IP клиента подключаемого по VPN может быть только фиксированным и заданным жестко в карточке пользователя?

...т.е. динамически назначить этот адрес из определенного диапазона
нельзя? Если можно, то как будут отрабатываться правила firewall при блокировке-разблокировке пользователя, если IP адрес пользователю выдается только при подключении?

Заранее спасибо за ответ.

Может ли UTM работать с внешним радиусом? Как это настроить?
Вообще, задумка такая - AD -> IAS -> UTM -> MikroTik = возможно? Такая связка, но без UTM работает, а как его воткнуть туда?

Цитата:

товарищи.
посоветуйте.
раз примерно в 1-2 минуты нагрузка сервера резко увеличивается

utm_core + ndsad = 95% нагрузки проца. большая часть - в режиме ядра

читал на формумах что народ переходит на ipcad в таком случае.. попробуй от тоже по нетфоу отдавать умеет.

Столкнулся с проблемой, может кто подскажет решение:
Ставлю 5.1 - 17 на FreeBSD 6.2+ Plesk 8.2.0 трафик считает все хорошо, но заставить выдавать результаты для пользователей так и не получается, и никаких понятных логов по этому поводу тоже нет, кто-нибуть с чем-то подобным сталкивался? Без Plesk все работает, но в том и задача, чтобы они работали совместно.

есть 2 подсети А и Б разделенных роутером, возможно ли через этот софт организовать парольный доступ подсеть из А в Б, но из Б в А чтобы без пароля?

возможно ли назначить на роутере каждому юзеру (у юзеров дефолтный маршрут стоит на роутер) подсети А произвольный дефолтный маршрут (0.0.0.0)?

этот софт ставится на голый сервак или можно поставить скажем на debian систему?

Вопрос наверное не совсем по UTM
Стоит UTM на Слаквари.
Как ограничить количество tcp-соединений от 1 ppp-коннекшена, а то юзвери поназапускали емулов, торрентов и полный швах - то ли модем не справляется, то ли хост провайдера ограничивает лимит соединений? (пинги с модема до ближайшего узла прова теряется процентов 20!!! ужасъ!)

народ ктонить по асе может обьяснить как наладить УТМ под винду. Видемо я гдето касячу если можно стукните в асю 7772704

Всем привет. Столкнулся с такой проблемой при установке УТМ под линукс.

Код:
>./utm5_core
?Debug : Oct 19 23:12:00 Rehash: Rehash manager started
Notice: Oct 19 23:12:00 ModMap: Sub-Module 'rehash' inserted...
Notice: Oct 19 23:12:00 UTM5 Config: Processing config file: /netup/utm5/utm5.cfg
Notice: Oct 19 23:12:00 ModMap: Sub-Module 'config' inserted...
Notice: Oct 19 23:12:00 ModMap: Sub-Module 'logger' inserted...
*CRIT : Oct 19 23:12:00 DBA:Ctx: Unable to init some contexts
*CRIT : Oct 19 23:12:00 UTM5 Core: ModMap fatal init exception. Aborting

Cramac
по тому что вы привели непонятно что не так.

свою проблему я решил переустановкой майскл с 5 версии на 4.1

щас я не могу заставить работать pptpd с радиусом и всем остальным.
вроде все запущено а клиент при попытке законектится по впн, выдает ему ошибку 800 (под виндовс)