VPN on CISCO PIX FIREWALL + UTM5
VPN on CISCO PIX FIREWALL + UTM5
Такой вопрос уже задавался, но нет реального ответа.
Есть Cisco pix firewall (ios 6.3) на нем поднят ВПН сервер и UTM5 как радиус сервер. Вопрос не раз поднимался - может ли netup считать траффик с pix. PIX netflow не умеет, но умеет ip-accounting. Есть ли у кого конкретные примеры их связки? Или просто грамотный совет.
И есть вопрос по get_xyz.
host {
type=cisco
ip=10.1.2.99
port=514 - что это за порт?
login=root - я так понимаю это логин на циске?, тогда зачем(если верить документации) заводить логин netup с привелегиями 8 и с пустым паролем на циске?
password=123456 - соотвественно пароль на циске? или же я все не так понял?
timeout=5
}
И что еще необходимо для этой связки?
Если можно поподробней.
Есть Cisco pix firewall (ios 6.3) на нем поднят ВПН сервер и UTM5 как радиус сервер. Вопрос не раз поднимался - может ли netup считать траффик с pix. PIX netflow не умеет, но умеет ip-accounting. Есть ли у кого конкретные примеры их связки? Или просто грамотный совет.
И есть вопрос по get_xyz.
host {
type=cisco
ip=10.1.2.99
port=514 - что это за порт?
login=root - я так понимаю это логин на циске?, тогда зачем(если верить документации) заводить логин netup с привелегиями 8 и с пустым паролем на циске?
password=123456 - соотвественно пароль на циске? или же я все не так понял?
timeout=5
}
И что еще необходимо для этой связки?
Если можно поподробней.
PIX + UTM5
Настроил все работатет, в качестве ВПНа и как фаерволл. Аутентификацию проводит через нетап. Аккаунтинговые пакеты шлет на сервер. Но в нетапе IP адрес 0.0.0.0 и соответсвенно ничего при этом не считает. Пользователя завел с услугой "коммутируемого доступа". Кто -нибудь сталкивался с таким? Подскажите как выйти из этой ситуации.
tcpdump:
netup# tcpdump -w 1 host 192.168.192.202
tcpdump: listening on fxp0
^C
2064 packets received by filter
0 packets dropped by kernel
netup# tcpdump -r 1
14:48:43.912170 gw-domen-222.domen.hi.radius > netup.domen.hi.radius: rad-access-req 166 [id 36] Attr[ User{333} NAS_ipaddr{gw-domen-222.domen.hi} Calling_station{0.0.0.0} [|radius]
14:48:43.995174 arp who-has gw-domen-222.domen.hi tell netup.domen.hi
14:48:43.995731 arp reply gw-domen-222.domen.hi is-at 0:30:a3:6:78:54
14:48:43.995760 netup.domen.hi.radius > gw-domen-222.domen.hi.radius: rad-access-accept 68 [id 36] Attr[ Service_type{Framed} Framed_proto{PPP} Framed_routing{None} Session_timeout{24:00:00 hours} [|radius]
14:48:44.674643 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 194 [id 37] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.198.89} Login_TCP_port{1723} [|radius]
14:48:44.799144 netup.domen.hi.radacct > gw-domen-222.domen.hi.radacct: rad-account-resp 20 [id 37]
14:49:04.008845 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 196 [id 38] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.199.129} Login_TCP_port{80} [|radius]
14:49:04.135888 netup.domen.hi.radacct > gw-domen-222.domen.hi.radacct: rad-account-resp 20 [id 38]
tcpdump:
netup# tcpdump -w 1 host 192.168.192.202
tcpdump: listening on fxp0
^C
2064 packets received by filter
0 packets dropped by kernel
netup# tcpdump -r 1
14:48:43.912170 gw-domen-222.domen.hi.radius > netup.domen.hi.radius: rad-access-req 166 [id 36] Attr[ User{333} NAS_ipaddr{gw-domen-222.domen.hi} Calling_station{0.0.0.0} [|radius]
14:48:43.995174 arp who-has gw-domen-222.domen.hi tell netup.domen.hi
14:48:43.995731 arp reply gw-domen-222.domen.hi is-at 0:30:a3:6:78:54
14:48:43.995760 netup.domen.hi.radius > gw-domen-222.domen.hi.radius: rad-access-accept 68 [id 36] Attr[ Service_type{Framed} Framed_proto{PPP} Framed_routing{None} Session_timeout{24:00:00 hours} [|radius]
14:48:44.674643 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 194 [id 37] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.198.89} Login_TCP_port{1723} [|radius]
14:48:44.799144 netup.domen.hi.radacct > gw-domen-222.domen.hi.radacct: rad-account-resp 20 [id 37]
14:49:04.008845 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 196 [id 38] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.199.129} Login_TCP_port{80} [|radius]
14:49:04.135888 netup.domen.hi.radacct > gw-domen-222.domen.hi.radacct: rad-account-resp 20 [id 38]
хотя нет, судя по tcpdump :
14:49:04.008845 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 196 [id 38] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.199.129} Login_TCP_port{80} [|radius]
у вас в аккаунтинг пакетах есть IP-адрес. Вы как я понимаю хотите считать трафик по радиус-пакетам верно ?
Опцию radius_do_accounting в настройки добавили ? После отключения абонента в детальном отчете видна новая запись на адрес пользователя ?
14:49:04.008845 gw-domen-222.domen.hi.radacct > netup.domen.hi.radacct: rad-account-req 196 [id 38] Attr[ Acct_status{Start} NAS_port{0} NAS_ipaddr{gw-domen-222.domen.hi} Login_iphost{192.168.199.129} Login_TCP_port{80} [|radius]
у вас в аккаунтинг пакетах есть IP-адрес. Вы как я понимаю хотите считать трафик по радиус-пакетам верно ?
Опцию radius_do_accounting в настройки добавили ? После отключения абонента в детальном отчете видна новая запись на адрес пользователя ?
опять
Да именно по "радиус-пакетам"
В нетапе "Список параметров" radius_do_accounting параметр 1. Я правильно его добавил?
После отключения в детальном отчете самого пользователя данных нет. В главном окне при выборке детального отчета за последние 20 минут, интерфейс админский вешается и соответсвенно там тоже ничего посмотреть не могу.
Если делать "отчет dialup" то там показывается сколько байт прошло, но IP адреса клиента нет!
С другими cisco 4700, 2620, 4500 все прекрасно работает. Но на Cisco Pix firewall никак. Он вообще может с utm5 работать? Все данные для того чтоб это было есть - authorization, authentication, accounting, radius-server , в общем весь набор aaa есть. Но только не такой масштабный как в самих роутерах cisco. Но как вы сами видете из данных tcpdump это все подтверждает что это все есть и с аккаунтингом он работать может.
В нетапе "Список параметров" radius_do_accounting параметр 1. Я правильно его добавил?
После отключения в детальном отчете самого пользователя данных нет. В главном окне при выборке детального отчета за последние 20 минут, интерфейс админский вешается и соответсвенно там тоже ничего посмотреть не могу.
Если делать "отчет dialup" то там показывается сколько байт прошло, но IP адреса клиента нет!
С другими cisco 4700, 2620, 4500 все прекрасно работает. Но на Cisco Pix firewall никак. Он вообще может с utm5 работать? Все данные для того чтоб это было есть - authorization, authentication, accounting, radius-server , в общем весь набор aaa есть. Но только не такой масштабный как в самих роутерах cisco. Но как вы сами видете из данных tcpdump это все подтверждает что это все есть и с аккаунтингом он работать может.
туда же
а возможно сам PIX формирует пакет неверный и utm5 не может его понять?
Нужно посмотреть детальный отчет именно в основном окне т.е. на всех т.к. есть подозрения, чтопакет кидается, но не пишется ни на одного из юзеров. Попробуйте воспользоваться рекомендацией - http://old.netup.ru/fom-serve/cache/18.html
и можно сделать за последние пару минут, а не 20 если трафика совсем много.
и можно сделать за последние пару минут, а не 20 если трафика совсем много.