vasek00

46.х.х.х--10.х.х.х----инет по логу не правильно на клиенте

Так же о каком белом IP шла речь ранее если у него 10.69.72.203 - на нем настраивается сервер, схема скорей всего 46.х.х.х--10.х.х.х----инет Настройки клиента. Да и запись в логе Network::Interface::PPTP: "PPTP0": added host route to 46.39.28.109 via 10.69.0.1 после added host route to IP servers via через какой интерфейс => server 46.39.28.109 и клиент 10.69.0.1

Да тут настраивать как то нечего (5мин) - эти скрины с реальных двух K-II с белыми IP оба в интернете. Проверяйте пароли и разрешения клиенту на VPN и шифрование уберите, а так же интерфесы через которые гонять VPN трафик, в моем случае это PPPoE был.

Или типа на прошивке где есть Туннели EoIP, GRE, IP-IP ip tunnel add tun0 mode ipip remote х.х.х.х local y.y.y.y ifconfig tun0 172.16.0.1 netmask 255.255.255.250 route add -net 192.168.2.0/24 gw 172.16.0.2 dev tun0 iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o tun0 -j TCPMSS --clamp-mss-to-pmtu ifconfig tun0 tun0 Link encap:UNSPEC HWaddr 1F-1C-CB-DA-00-00-4F-01-00-00-00-00-00-00-00-00 inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1472 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) где 192.168.2.0/24 и 172.16.0.2 удаленная сеть и шлюз на tun0

А стандартными средствами не достаточно VPN сервер (где белый IP) и клиент на другом роутере. При необходимости маршруты стат на обоих роутерах. Первые два скрина VPN server, вторые VPN client

Если с Windows то может в сторону : TCP Receive Window Auto-Tuning и Compound TCP (CTCP) ну тут может быть двояко так как для игр некоторые параметры нужно наоборот отключить. Чтоб не копаться в настройках можно попробовать утилиту TCPOptimizer в ней уже есть набор данных опций, но лучше руками. В TCPOptimizer (в ней можно использовать backup настроек). Важный параметр в Windows это буфер в 64КB который как раз для более 100Мбит лучше поднять, у Windows есть несколько вариантов его оценки : disabled: uses a fixed value for the tcp receive window. Limits it to 64KB (limited at 65535). highlyrestricted: allows the receive window to grow beyond its default value, very conservatively restricted: somewhat restricted growth of the tcp receive window beyond its default value normal: default value, allows the receive window to grow to accommodate most conditions experimental: allows the receive window to grow to accommodate extreme scenarios (not recommended, it can degrade performance in common scenarios, only intended for research purposes. It enables Receive Window values of over 16 MB) К данным настройкам нужно подойти внимательно и не включать все и сразу, а произвести анализ каждой с проверкой. Но опять же с одной стороной как-то ясно, но на другой стороне роутер который должен так же поддерживать данные алгоритмы - например Receive Window и Compound TCP

На K-II получил такой результат загрузки SAMBA, чтение с USB flash диска раздел NTFS (максимум на 100Мбит портах роутера)

USB flash с двумя разделами - один ext другой ntfs [global] netbios name = My-K interfaces = lo br0 server string = K-II workgroup = WORKGROUP browseable = yes deadtime = 30 domain master = yes encrypt passwords = true enable core files = no guest account = nobody guest ok = yes guest only = no local master = yes log level = 0 log file = /opt/var/samba/smbd.log map to guest = Bad User max protocol = SMB2 obey pam restrictions = yes passdb backend = smbpasswd preferred master = yes preserve case = yes private dir = /opt/var/samba security = user smb encrypt = disabled smb passwd file = /opt/etc/samba/smbpasswd socket options = TCP_NODELAY SO_KEEPALIVE IPTOS_LOWDELAY SO_RCVBUF=65536 SO_SNDBUF=65536 short preserve case = yes syslog = 2 timestamp logs = no use sendfile = yes writeable = yes [OPT_L] path = /tmp/mnt/OPT_L force user = root writable = yes comment = My-Flash [DATA] path = /tmp/mnt/Data force user = root writable = yes comment = My-Data Примечание строка "private dir = /opt/var/samba" в данном каталоге нужно наличие двух файлов "smbpasswd" и "secrets.tbd" /opt/var/samba # ls -l -rw-r--r-- 1 root root 45056 Nov 4 09:26 secrets.tdb -rw-r--r-- 1 root root 100 Nov 4 09:26 smbd.log -rw-r--r-- 1 root root 0 Jan 1 1970 smbpasswd /opt/var/samba # ps | grep samba ... 1559 root 7812 S /opt/sbin/nmbd -D -s /opt/etc/samba/smb.conf 1563 root 7880 S /opt/sbin/smbd -D -s /opt/etc/samba/smb.conf ...

cat ip_conntrack cat nf_conntrack

Ну во первых тогда что показывает iftop и второе

Из entware программа - iftop даст информацию кто и что.

без разницы на чем они сидят, для них только смена IP будет = было в сегменте 192.168.1.х, а будет на роутере LAN1(vlan3)-192.168.3.х-------------клиенты х.х.3.2-254 LAN2(vlan4)-192.168.4.х-------------клиенты х.х.4.2-254 LAN3(vlan5)-192.168.5.х-------------клиенты х.х.5.2-254 LAN4----------192.168.1.х-------------клиенты х.х.1.2-254 в SNMP виден будет каждый интерфейс тогда. Тут вы уже сможете управлять более гибко сегментами и их правами. В течении суток или двое определите пропускную каждого сегмента. Другой вариант описан в разделе ниже если нужно чисто на время просто выявить кто и где, то можно попробовать.

Так получилось что данный вариант подсчета трафика попал в две темы и в обоих показаны его реализация для подсчета вида и кол-во трафика. Тут уже вопрос как обрабатывать данные из конечного файл для в вывода в WEB сумировать данные поля или нет.

Один из вариантов подсчет трафика от локального клиента если тип данного трафика (53, 80, 443 и т.д не трогая /proc/net/ip_conntrack) не важен. 1.Создать цепочку "AAIN" и включить ее в FORWARD iptables -N AAIN iptables -I FORWARD -j AAIN получиться ниже Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 325 19767 AAIN all -- * * 0.0.0.0/0 0.0.0.0/0 2.Добавить нужные IP для контроля (откуда) и "куда" при необходимости добавив критерии в два правила ниже grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE do iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null if [ $? -ne 0 ]; then iptables -I AAIN -d ${IP} -j RETURN iptables -I AAIN -s ${IP} -j RETURN fi done получится например Chain RRDIPT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 192.168.1.99 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.99 0 0 RETURN all -- * * 192.168.1.254 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.254 325 19767 RETURN all -- * * 192.168.1.2 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.1.2 3.Любыми способами прочитать данные из цепочки "AAIN" или например так iptables -L AAIN -vnx -t filter | grep 192.168 | awk 'BEGIN { printf "{table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat вывод в traffic.dat {table::'192.168.1.99','0','0','192.168.1.254','0','0','192.168.1.2','25801','0','-','17:53:37'} Результат на клиенте источнике 192.168.1.2 получили 25801 bytes для получателя 0.0.0.0/0 Или второй клиент появился Chain RRDIPT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 192.168.1.99 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.99 814 49075 RETURN all -- * * 192.168.1.16 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.16 0 0 RETURN all -- * * 192.168.1.254 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.254 133 8152 RETURN all -- * * 192.168.1.2 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 192.168.130.2

Самое простое - это поделить сеть на сегменты и завернуть их в vlan, т.е. имеете 4LAN будете иметь 4VLAN ну или сколько надо 3, 2, а wi-fi вытащить из bridge (Home или всех клиентов перекинуть на гостевую), тогда в SNMP можно увидеть активность на данных vlan и wi-fi какой сегмент так активно работает и далее принять решение. Раз корпоративный то всех своих клиентов лучше привязывать IP с MAC для удобства контроля/учета и управления ими. Опять же повторюсь на безлимите - просмотр сериалов в онлайн режиме практикуется очень сильно в рабочее время, как и прослушивания онлайн музыки.

Но речь то идет об локальных клиентах из сетки 192.168.1.х, а уж как они выйдут с WAN порта в pppoe или pptp/l2tp без разницы

про то и речь.

Вопрос только, а зачем считать трафик локальных - типа тебе 10GB а потом то-то скорость урежем или кто больше прокачал или подключение соседей к своей точке доступа за N рубл. При нынешнем развитии в тарифных политиках их стоимости где скорости с 5Mb достигли 100Mb и выше - надо ли.

Статистику по клиентам можно попробовать использование - клиенты в /proc/net/arp трафик ip_conntrack дерганьем его и запись данных в файл. Встречал такой вариант сбора, цепочку например AAIN загоняете в нее в зависимости от /proc/net/arp правила ... while : do iptables -N AAIN 2> /dev/null iptables -L FORWARD --line-numbers -n | grep "AAIN" | grep "1" > /dev/null if [ $? -ne 0 ]; then iptables -L FORWARD -n | grep "AAIN" > /dev/null if [ $? -eq 0 ]; then iptables -D FORWARD -j AAIN fi iptables -I FORWARD -j AAIN fi grep 192.168 /proc/net/arp | while read IP TYPE FLAGS MAC MASK IFACE do iptables -nL AAIN | grep "${IP}[[:space:]]" > /dev/null if [ $? -ne 0 ]; then iptables -I AAIN -d ${IP} -j RETURN iptables -I AAIN -s ${IP} -j RETURN fi done ... Далее сами данные ... awk 'BEGIN { printf "{ip_conntrack::"} { gsub(/(src|dst|sport|dport|mark)=/, ""); printf "'\''%s'\'','\''%s'\'','\''%s'\'','\''%s'\'','\''%s'\'',%s,",$1,$1 == "tcp" ? $5 : $4,$1 == "tcp" ? $7 : $6,$1 == "tcp" ? $6 : $5,$1 == "tcp" ? $8 : $7,$(NF-1); } END { print "'\''-'\''}"}' /proc/net/ip_conntrack >> /opt/tmp/traffic.dat iptables -L AAIN -vnx -t filter | grep ${LAN_TYPE} | awk 'BEGIN { printf "{bw_table::" } { if (NR % 2 == 1) printf "'\''%s'\'','\''%s'\'',",$8,$2; else printf "'\''%s'\'',",$2;}' >> /opt/tmp/traffic.dat uptime | awk '{ printf "'\''-'\'','\''%s'\''}\n{uptime::%s}\n", $1, $0 } END { print "{ipinfo::<% show_wanipinfo(); %>}" }' >> /opt/tmp/traffic.dat mv -f /opt/tmp/traffic.dat /opt/tmp/traffic.asp примерный вывод файла asp, тут видно {arp::'192.168.1.2','00:хх:хх:хх:хх:0E'-'} {ip_conntrack::'tcp','192.168.1.2','56002','2хх.1хх.2хх.1хх','443',0,'tcp','192.168.1.2','55950','8х.1хх.1хх.4х','443',0,'tcp','192.168.1.2','56036','8х.1хх.1хх.5х','443',0,'udp','192.168.1.2','62311','8х.5х.1хх.2хх','53',0,'tcp','192.168.1.2','56003','2хх.1хх.2хх.1хх','443',0,'tcp','192.168.1.2','55888','8х.2хх.2хх.2х','443',0,'tcp','192.168.1.2','55817','192.168.1.100','22',0,'tcp','192.168.1.2',...'tcp','192.168.1.2','56027','8х.1хх.1хх.5х','443',0,'-'} {bw_table::'192.168.1.254','0','0','192.168.1.2','15956','0','-','13:28:03'} {uptime:: 13:28:03 up 2 days, 7:52, load average: 1.94, 1.44, 1.18} Далее файл обработать для вывода в WEB. При выводе статистики на экран готовой WEB страницы скорей всего будут нагружать проц, как и любая страница мониторинга роутера, но если раз в сутки то наверное будет нормально.

Использование ..... nexthop - для балансировки нагрузки по каналам либо "весом" или с "random". Тут же привязка к новым соединениям и маршрутам с последующем их использованием, т.е. в отличие от первого где один и тот же сервер может быть доступен по разным каналам с течением интервала времени. По поводу "натить проходящие мимо соединения" тут нужно очень аккуратно, так как разработчик использовал свои отдельные цепочки для сервисов.

В процентном соотношении это много всего 0.001% от числа проданного или если взять сутки данного форума то равно 0,8%

Покажите текущие маршруты и ip route show table main посмотрите ниже пример где 101 в данном случае пример, а нужно подставить нужная вам таблицу iptables -t mangle -I INPUT -i $IF_интерфейс -m state --state NEW,RELATED -j CONNMARK --set-mark 2 iptables -t mangle -I OUTPUT -m connmark --mark 2 -j CONNMARK --restore-mark echo "101 mynet1" >> /etc/iproute2/rt_tables ip route add default dev $IF_интерфейс table mynet1 ip rule add fwmark 2 table mynet1 ip route flush cache лишь бы номер для mark не был использован в системе

Вариант управления конфигом - точнее параметрами в данном файле. Все это делает WEB роутера, есть же параметр как включить канал (при этом настройки его остаются в конф файле) => в конфиге прописать нужное "up" на нужном интерфейсе. Тогда имеем в нужное время нужно данный параметр вписать в конфиг на модем и поставить на нем нужный приоритет, тогда система сама все сделает на данный канал. ip global 1000 up Выключить так же down в нужное время, т.е. нужно только контролировать основной канал, а при его потере инициировать подъем USB канала. Как это сделать с использованием Entware для управления и изменения конфиг.файла тут на форуме уже писалось.

Странно, выбор исходящего маршрута производится только для соединений, инициируемых самим хостом, а если соединение пришло из вне то по нему должно и вернуться. На вскидку можно попробовать так промаркируйте пакеты, раз даете на что-то доступ то используется порт От локальных процессов mangle - OUTPUT но не есть гуд, но для проверки можно попробовать iptables -t mangle -A OUTPUT -p tcp -m tcp --dport $P_port -j MARK --set-mark 0x4 ip route add default via $IP dev $IF table 10x ip rule add fwmark 0x4/0x4 lookup 10x Не проверял может где-то и ошибся. Или использовать цепочки connmark http://help.ubuntu.ru/wiki/ip_balancing

Тут вопрос не в насущности, а в нужности. Повторюсь если есть USB то это не значит что нужно к нему подключать все что есть на рынке.