在開始前先來個真相一下:

Monthly VPN online user by MRTG

首先編輯MRTG config檔案: /etc/mrtg.person.cfg

#option
WorkDir: /var/www/mrtg
Options[_]:growright

Target[vpn]: `/path/to/your/script/mrtg_person.sh`
MaxBytes[vpn]: 64
Options[vpn]: gauge, nopercent, growright
YLegend[vpn]: Online Users
ShortLegend[vpn]: %
LegendI[vpn]:   Online User:
LegendO[vpn]:   Online User:
Title[vpn]: clyang.net VPN Online User
PageTop[vpn]:
<h1>clyang.net VPN Online User</h1>
<table border="0">
<tbody>
<tr>
<td>System:</td>
<td>clyang.net VPN</td>
</tr>
<tr>
<td>Maintainer:</td>
<td>your@email.net.tw</td>
</tr>
</tbody></table>

接著編輯mrtg_person.sh，編輯完成後請記得chmod 755 mrtg_person.sh

#!/bin/sh
echo `netstat -a | grep gre|awk '{print $5}'|sort | wc -l|awk '{print$1}'`
echo `netstat -a | grep gre|awk '{print $5}'|sort | wc -l|awk '{print$1}'`
UPtime=`/usr/bin/uptime | awk '{print $3 " " $4 " " $5}'`
echo $UPtime
echo clyang.net

最後編輯crontab檔案，加上一行:

*/5 *   * * *   root    mrtg /etc/mrtg.person.cfg

就大功告成了。

引用本文請完整引用並須於引用文章中列上本文章的完整連結

[前言]

某個的vpn設置的時候是希望滿足兩個條件: 1) 隨時可以使用內部ip存取經過ip認證的服務。(如: IEL) 2) 利用固定制ADSL的路由優勢存取原本需要繞遠路的網域 (如:連往對岸)，增快存取速度。

[架構]

vpn structure

vpn server的OS為Debian Etch，使用iptables根據目的地的ip來決定封包要透過哪一個interface出去，上圖為VPN的架構，eth0負責handle vpn的連線要求以及做NAT Gateway，而eth1則連接固定制的ADSL負責連往學術網路連線不佳的國家，試用了一陣子，跑起來一切美好，大家也很滿意。無奈人性是邪惡的，使用者一旦發現通往特定地區只要使用vpn就會變快時，就會不理會節約ADSL頻寬使用的柔性宣導，狂抽猛的使用善加利用導致當初的美意徹底被摧毀，同時也降低使用者使用的意願。(本來學網夠慢了，結果用了VPN速度反而越來越慢誰會想用 zZzZZzzz)

因應的方法便是限制user在使用ADSL這段的速度，讓大家都可以使用到合理的速度。

[QoS Howto]

之前使用cbq.init來當做solution，why cbq。init? 因為它的設定最簡單，完全就是懶人的最愛，可惜它的queueing方式不太優良，導致沒有辦法做更精準的限制，所以研究了一下改用HTB來做。HTB跟CBQ差在哪呢? 請自行參考HTB官方網頁的說法。 (http://luxik.cdi.cz/~devik/qos/htb/old/htbmeas1.htm)

QoS怎麼套入這個架構呢? 由於poptop這個vpn server會為每個連線建立一個ppp的interface，而系統會在每個ppp interface啟動時自行呼叫/etc/ppp/ip-up，所以我在這個script最下方加上QoS的設定，之後每個連線都會自動被套用上這個設定。首先先針對下載的部分做限制，由於頻寬較為充裕，最多可以允許768kbps的速度，設定如下:

# Download Speed QoS of ADSL! offer at least 720Kbps (Max 768Kbps) for user
/sbin/tc qdisc add dev $1 root handle 2: htb
/sbin/tc class add dev $1 parent 2: classid 2:1 htb rate 720kbit ceil 768kbit
/sbin/tc filter add dev $1 protocol ip parent 2:0 prio 1 handle 6 fw flowid 2:1

這邊使用一個技巧，由於我們可以確定ADSL的inbound一定會從eth1進來，所以我們利用iptables可以將封包加上mark的功能，將eth1進來的封包都加上mark (標號為6) 所以就可以利用這個mark去做tc的filter依據。iptables加上mark指令如下:

/sbin/iptables -A PREROUTING -t mangle -i eth1 -j MARK –set-mark 6

下載限速的部分就大功告成啦。

接著則是上傳速度限制的部分，礙於ADSL的uplink頻寬普遍不大，為了避免濫用，每個user限制只能使用128kbps。首先在eth1上面掛載一個root qdisc:

/sbin/tc qdisc del dev eth1 root
/sbin/tc qdisc add dev eth1 root handle 2: htb r2q 8

接著編輯/etc/ppp/ip-up:

# 限制個別user對ADSL端的上傳速度
#取得撥進來的user目前是使用哪個ppp interface
interface=$1

#針對不同的使用者給予特定的標記
contamark=`echo $interface | cut -c 4-99`
mark=`expr $contamark + 500`

#由於vpn架設時,已經先把送往eth1的封包都標成1了
#所以下面這行指令的意思是(當中的$5則是使用者撥入後取得的ip):
#當封包的source ip是$5 且 已經被標記成 mark 0x1了
#就把該封包套用到使用者專屬的tc-class
/usr/local/sbin/iptables -t mangle -A POSTROUTING -s $5 -m mark --mark 0x1 -j CLASSIFY --set-class 2:$mark

#建立使用者專屬的tc-class
/sbin/tc class add dev eth1 parent 2: classid 2:$mark htb rate 128kbit ceil 128kbit

最後，編輯/etc/ppp/ip-down，當使用者斷線後刪除相關設定。

# remove download tc disc
/sbin/tc qdisc del dev $1 root

# remove uplink limit
interface=$1
contamark=`echo $interface | cut -c 4-99`
mark=`expr $contamark + 500`

/usr/local/sbin/iptables -t mangle -D POSTROUTING -s $5 -m mark --mark 0x1 -j CLASSIFY --set-class 2:$mark
/sbin/tc class del dev eth1 parent 2: classid 2:$mark htb rate 128kbit ceil 128kbit

[結論]

對於ADSL端做出QoS限制後，反應良好、使用者人數回流、ADSL使用率增加(之前因為uplink被吃光導致download速度受阻)。最後當然是有圖有真相啦:

vpn mrtg traffic