VPN on CISCO PIX FIREWALL + UTM5

[chuvy]

Такой вопрос уже задавался, но нет реального ответа.

Есть Cisco pix firewall (ios 6.3) на нем поднят ВПН сервер и UTM5 как радиус сервер. Вопрос не раз поднимался - может ли netup считать траффик с pix. PIX netflow не умеет, но умеет ip-accounting. Есть ли у кого конкретные примеры их связки? Или просто грамотный совет.

И есть вопрос по get_xyz.
host {
type=cisco
ip=10.1.2.99
port=514 - что это за порт?
login=root - я так понимаю это логин на циске?, тогда зачем(если верить документации) заводить логин netup с привелегиями 8 и с пустым паролем на циске?
password=123456 - соотвественно пароль на циске? или же я все не так понял?
timeout=5
}

И что еще необходимо для этой связки?
Если можно поподробней.

[aospan]

В последнем билде (UTM 5.1.10-017) появилась возможность учитывать трафика по RADIUS аккаунтингу. По сути дело ядро делает преобразование радиус accounting пакетов в netflow внутри себя.

[chuvy]

Настроил все работатет, в качестве ВПНа и как фаерволл. Аутентификацию проводит через нетап. Аккаунтинговые пакеты шлет на сервер. Но в нетапе IP адрес 0.0.0.0 и соответсвенно ничего при этом не считает. Пользователя завел с услугой "коммутируемого доступа". Кто -нибудь сталкивался с таким? Подскажите как выйти из этой ситуации.

tcpdump:

netup# tcpdump -w 1 host 192.168.192.202
tcpdump: listening on fxp0
^C
2064 packets received by filter
0 packets dropped by kernel
netup# tcpdump -r 1
14:48:43.912170 gw-domen-222.domen.hi.radius > netup.domen.hi.radius: rad-access-req 166 [id 36] Attr[ User{333} NAS_ipaddr{gw-domen-222.domen.hi} Calling_station{0.0.0.0} [|radius]
14:48:43.995174 arp who-has gw-domen-222.domen.hi tell netup.domen.hi
14:48:43.995731 arp reply gw-domen-222.domen.hi is-at 0:30:a3:6:78:54
14:48:43.995760 netup.domen.hi.radius > gw-domen-222.domen.hi.radius: rad-access-accept 68 [id 36] Attr[ Service_type{Framed} Framed_proto{PPP} Framed_routing{None} Session_timeout{24:00:00 hours} [|radius]
14:48:44.674643 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 194 [id 37] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.198.89} Login_TCP_port{1723} [|radius]
14:48:44.799144 netup.domen.hi.radacct > gw-domen-222.domen.hi.radacct: rad-account-resp 20 [id 37]
14:49:04.008845 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 196 [id 38] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.199.129} Login_TCP_port{80} [|radius]
14:49:04.135888 netup.domen.hi.radacct > gw-domen-222.domen.hi.radacct: rad-account-resp 20 [id 38]

[aospan]

Попробуйте на циске добавить строку:
aaa accounting delay-start

[aospan]

хотя нет, судя по tcpdump :

14:49:04.008845 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 196 [id 38] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.199.129} Login_TCP_port{80} [|radius]

у вас в аккаунтинг пакетах есть IP-адрес. Вы как я понимаю хотите считать трафик по радиус-пакетам верно ?
Опцию radius_do_accounting в настройки добавили ? После отключения абонента в детальном отчете видна новая запись на адрес пользователя ?

[chuvy]

Да именно по "радиус-пакетам"

В нетапе "Список параметров" radius_do_accounting параметр 1. Я правильно его добавил?

После отключения в детальном отчете самого пользователя данных нет. В главном окне при выборке детального отчета за последние 20 минут, интерфейс админский вешается и соответсвенно там тоже ничего посмотреть не могу.

Если делать "отчет dialup" то там показывается сколько байт прошло, но IP адреса клиента нет!
С другими cisco 4700, 2620, 4500 все прекрасно работает. Но на Cisco Pix firewall никак. Он вообще может с utm5 работать? Все данные для того чтоб это было есть - authorization, authentication, accounting, radius-server , в общем весь набор aaa есть. Но только не такой масштабный как в самих роутерах cisco. Но как вы сами видете из данных tcpdump это все подтверждает что это все есть и с аккаунтингом он работать может.

[chuvy]

а возможно сам PIX формирует пакет неверный и utm5 не может его понять?

[aospan]

Нужно посмотреть детальный отчет именно в основном окне т.е. на всех т.к. есть подозрения, чтопакет кидается, но не пишется ни на одного из юзеров. Попробуйте воспользоваться рекомендацией - http://old.netup.ru/fom-serve/cache/18.html
и можно сделать за последние пару минут, а не 20 если трафика совсем много.

[chuvy]

Помог совет с выборкой.

Да там есть пакеты от клиента как входящие так и исходящие.

[chuvy]

Как вы и сказали пакеты с этого IP адреса есть, но не пишутся ни одному пользователю.
Что делать? Я так понимаю проблема уже знакомая.

[aospan]

Как вы и сказали пакеты с этого IP адреса есть, но не пишутся ни одному пользователю.
Что делать? Я так понимаю проблема уже знакомая.

Покажите пожалуйста этот отчет (можно скриншот) ?
Так же покажите настройки классов трафика.

[chuvy]

Скрины:
Соответсвенно здесь и классы трафика. Входящий(то что к нам идет) и Исходящий(то что мы отсылаем).
Есть так же разделение пирингового траффика, он так же делится на входящий и исходящий, и локальный, то есть наша сеть.

Адрес клиента 85.115.199.129

[chuvy]

И еще есть вопрос. Можно ли одновременно использовать netflow и ip-accounting?

[mstf]

получается возможность работы utm с PIX'ом не проверяли?

[aospan]

И еще есть вопрос. Можно ли одновременно использовать netflow и ip-accounting?

можно, главное, что бы трафик при этом не дублировался и в ipaccounting и netflow.