Cisco 2811+pppoe+Netup

clubber

Все доброго времени суток. Есть проблемка, решить которую самостоятельно затрудняюсь.

В кратце суть: есть Cisco 2811 (12.4) и UTM 5.2.1-004, необходимо поднять pppoe и раздавать статику. При поднятии сети, достаточно давно, решить эту проблему удалось. За ненадобностью было отложено в долгий ящик, но почему то снова повторить результат не удается.

Конфиг циски:

Код: Выделить всё

aaa new-model
aaa session-mib disconnect
!
!
aaa authentication login default local group radius
aaa authentication ppp default if-needed
aaa authentication ppp RadAuth group radius
aaa authentication ppp NOAUTH none
aaa authorization network RadAuth group radius
aaa accounting delay-start all
aaa accounting network RadAcc start-stop group radius
!
aaa nas port extended
aaa session-id common
.....

!
bba-group pppoe global
 virtual-template 1
 sessions per-mac limit 1
!
!
interface FastEthernet0/1.333
 description Test
 encapsulation dot1Q 333
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 ip verify unicast source reachable-via rx
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 pppoe enable group global
 no cdp enable
!
interface Virtual-Template1
 mtu 1492
 ip unnumbered FastEthernet0/1.333
 ip verify unicast source reachable-via rx
 no ip proxy-arp
 ip flow ingress
 no snmp trap link-status
 peer default ip address pool POOL
 ppp authentication pap RadAuth
 ppp authorization RadAuth
 ppp accounting RadAcc
 ppp ipcp dns yyy.yyy.yyy.yyy
!
ip local pool POOL zzz.zzz.zzz.240 zzz.zzz.zzz.255
...
!
radius-server host yyy.yyy.yyy.yyy auth-port 1812 acct-port 1813
...

При попытке поднятия сессии сервер отвечает:

Код: Выделить всё

?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; User <test_pppoe> connecting
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Session for sessionid <test_pppoe> not found in <ip циски> cache
?Debug &#58; Sep 08 10&#58;45&#58;38 RADIUS DBA&#58; Info for login <test_pppoe> found. type <2>
?Debug &#58; Sep 08 10&#58;45&#58;38 RADIUS DBA&#58; login_store iter->second.dialup.session_count&#58;0
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Auth scheme&#58; PAP
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; PAP&#58; <12345> vs <12345>
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; PAP&#58; Authorized user <test_pppoe>
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Not-Callback for link <459> is not enabled, user=<test_pppoe>
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Calling fill radius attributes for NAS. Attr storage size <0>
 Notice&#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Login incorrect <test_pppoe> from NAS <ip циски> CLID <>
 Notice&#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Authorization failed for user <test_pppoe>
?Debug &#58; Sep 08 10&#58;45&#58;38 AuthServer&#58; Auth reply&#58; RPacket&#58;
Code&#58; 3; ID&#58; 24
<Vendor&#58; 0; Attr&#58; 18>&#91;21&#93;&#58; 417574686f72697a6174696f6e206661696c65642e

В итоге я непойму, в какую сторону копать. Может вопрос глупый, и все на самом деле просто, но так или иначе совладать никак не могу.

detx · Сообщение **detx** » Вт сен 08, 2009 08:51

Вот мой конфиг для 2811. Работает, хлеба не просит.

Код: Выделить всё

aaa new-model
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius 
aaa accounting update periodic 5
aaa accounting network default
 action-type start-stop
 group radius
!
!
!
aaa session-id common
....
ip name-server x.x.x.x
ip name-server y.y.y.y

....
bba-group pppoe global
 virtual-template 1
 sessions max limit 8000
 ac name nas1
 sessions per-mac limit 1
 sessions per-vlan limit 500
 sessions auto cleanup
!
!
interface Loopback100
 ip address x1.x1.x1.x1. 255.255.255.0

.....

interface Virtual-Template1
 mtu 1492
 ip unnumbered Loopback100
 ip flow ingress
 autodetect encapsulation ppp
 peer default ip address pool PPPoE
 ppp max-bad-auth 3
 ppp authentication chap
 ppp timeout retry 3
 ppp timeout authentication 45
 ppp timeout idle 3600
!
.......


radius-server host d.d.d.d auth-port 1812 acct-port 1813
radius-server key 7 0832494D1B1C11

clubber

За конфиг каеш пасиб, но на боевой циске особо радикально все менять не хочется, а потренироваться не на чем. Хотелось бы понять, где косяк в моей

detx · Сообщение **detx** » Вт сен 08, 2009 09:31

Вот этого нету

Код: Выделить всё

radius-server key

clubber

detx писал(а):Вот этого нету
Код: Выделить всё
radius-server key

radius-server host yyy.yyy.yyy.yyy auth-port 1812 acct-port 1813
radius-server timeout 10
radius-server deadtime 30
radius-server key 7 045F0E035900444308 - вот он, просто не довставил в первом посте

detx · Сообщение **detx** » Вт сен 08, 2009 09:48

а если попробовать авторизацию поменять на chap
ppp authentication pap RadAuth

clubber

detx писал(а):а если попробовать авторизацию поменять на chap
ppp authentication pap RadAuth

да пробовал уже, без результатно

detx · Сообщение **detx** » Вт сен 08, 2009 10:08

Код: Выделить всё

debug radius

Что пишет при авторизации клиента???

clubber

detx писал(а):
Код: Выделить всё
debug radius
Что пишет при авторизации клиента???

Код: Выделить всё

001944&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS/ENCODE&#40;00000890&#41;&#58;Orig. component type = PPoE
001945&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  AAA Unsupported Attr&#58; client-mac-address&#91;31&#93;  14
001946&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;   30 30 31 34 2E 63 32 64 63 2E 30 36              &#91;0014.c2dc.06&#93;
001947&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  AAA Unsupported Attr&#58; interface         &#91;157&#93; 9
001948&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;   30 2F 30 2F 31 2F 33                             &#91;0/0/1/3&#93;
001949&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#40;00000890&#41;&#58; Config NAS IP&#58; айп циски
001950&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS/ENCODE&#40;00000890&#41;&#58; acct_session_id&#58; 2229
001951&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#40;00000890&#41;&#58; sending
001952&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#40;00000890&#41;&#58; Send Access-Request to айп сервера&#58;1812 id 1645/38, len 92
001953&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  authenticator 52 F3 57 86 DB 0A CE A9 - 7B 1D 11 85 BD 8B F8 D9
001954&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  Framed-Protocol     &#91;7&#93;   6   PPP                       &#91;1&#93;
001955&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  User-Name           &#91;1&#93;   12  "test_pppoe"
001956&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  CHAP-Password       &#91;3&#93;   19  *
001957&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  NAS-Port-Type       &#91;61&#93;  6   Virtual                   &#91;5&#93;
001958&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  NAS-Port            &#91;5&#93;   6   0
001959&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  NAS-Port-Id         &#91;87&#93;  11  "0/0/1/333"
001960&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  Service-Type        &#91;6&#93;   6   Framed                    &#91;2&#93;
001961&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  NAS-IP-Address      &#91;4&#93;   6   айп циски
001962&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58; Received from id 1645/38 айп сервера&#58;1812, Access-Reject, len 49
001963&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  authenticator 3A AD 11 FE C8 07 3E 1A - 82 2E 7C B9 84 9E 08 84
001964&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  Reply-Message       &#91;18&#93;  6
001965&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;   00 00 00 00                                      &#91;????&#93;
001966&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;  Reply-Message       &#91;18&#93;  23
001967&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;   41 75 74 68 6F 72 69 7A 61 74 69 6F 6E 20 66 61  &#91;Authorization fa&#93;
001968&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#58;   69 6C 65 64 2E                                   &#91;iled.&#93;
001969&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS&#40;00000890&#41;&#58; Received from id 1645/38
001970&#58; Sep  8 14&#58;35&#58;00&#58; RADIUS/DECODE&#58; Reply-Message fragments, 4+21, total 25 bytes

Anton(Skr)

Вот тебе мой конфиг, может чем поможет. У меня работает норм

Код: Выделить всё

aaa group server radius vpn
 server-private 192.168.1.3 auth-port 1812 acct-port 1813 retransmit 2 key 7 122C113A51280517292476706164
!
aaa authentication login default local
aaa authentication ppp default group vpn
aaa authorization exec default local if-authenticated 
aaa authorization network default group vpn 
aaa accounting update periodic 3
aaa accounting network default start-stop group vpn
!
aaa session-id common

bba-group pppoe global
 --More--          virtual-template 1
 ac name tvcom
 sessions per-mac limit 1
 sessions per-vlan limit 65535
 sessions per-mac throttle 100 30 3600
 sessions auto cleanup
!
!
interface Loopback0
 ip address 192.168.0.1 255.255.255.0

interface Virtual-Template1
 ip unnumbered Loopback0
 ip flow ingress
 ip flow egress
 ip nat inside
 no ip virtual-reassembly
 ip route-cache flow
 ip policy route-map default-route
 no peer default ip address
 ppp authentication chap
 ppp timeout idle 1800

ip flow-export version 5
ip flow-export destination 192.168.1.3 9996

Код: Выделить всё

interface GigabitEthernet0/1.416
 description PPPoE clients
 encapsulation dot1Q 416
 ip address 172.31.0.1 255.255.0.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pppoe enable group global

 no cdp enable

[/code]

clubber

prx · Сообщение **prx** » Пт сен 11, 2009 13:32

смотри debug радиус сервера - видно же что циска access reject получает.

TiRider

clubber, поставь Packet Tracer и попробуй сконфигурить в эмуляторе это все. Раз боевой циски жалко. В 4.11 версии 2800 серия роутеров есть.

Chrst · Сообщение **Chrst** » Вт сен 15, 2009 22:09

TiRider писал(а):clubber, поставь Packet Tracer и попробуй сконфигурить в эмуляторе это все. Раз боевой циски жалко. В 4.11 версии 2800 серия роутеров есть.

Угу, только есть ли там PPPoE клиент, а также поддержка протокола эмулятором?
PacketTracer предназначен для тренировки по курсу CCNA, а PPPoE выходит за рамки этого курса.