Unable to claim IP, radius_max_session_age 0 не помогает

[helpme]

freebsd 5.3+utm-5-1-10-008

?Debug : Mar 26 16:51:37 RADIUS Auth: Packet from <vpn.some.localnet>
?Debug : Mar 26 16:51:37 RADIUS Auth: User <test> connecting
?Debug : Mar 26 16:51:37 RADIUS Auth: Auth scheme: MS-CHAPv2
?Debug : Mar 26 16:51:37 RADIUS Auth: MS-CHAPv2: Authorized user <test>
?Debug : Mar 26 16:51:37 RADIUS Auth: MS-CHAPv2: MPPE Keys send
?Debug : Mar 26 16:51:37 RADIUS Auth: IP claimed: 0xac100002
?Debug : Mar 26 16:51:37 RADIUS Auth: Packet from <vpn.some.localnet>
?Debug : Mar 26 16:51:37 RADIUS Auth: User <test> connecting
?Debug : Mar 26 16:51:37 RADIUS Auth: Auth scheme: MS-CHAPv2
?Debug : Mar 26 16:51:37 RADIUS Auth: MS-CHAPv2: Authorized user <test>
?Debug : Mar 26 16:51:37 RADIUS Auth: MS-CHAPv2: MPPE Keys send
Warn : Mar 26 16:51:37 RADIUS Auth: Unable to claim IP: No such file or directory
Notice: Mar 26 16:51:37 RADIUS Auth: Authorization failed for user <test>
?Debug : Mar 26 16:51:37 RADIUS Auth: Packet from <vpn.some.localnet>
?Debug : Mar 26 16:51:37 RADIUS Auth: User <test> connecting
?Debug : Mar 26 16:51:37 RADIUS Auth: Auth scheme: MS-CHAPv2
?Debug : Mar 26 16:51:37 RADIUS Auth: MS-CHAPv2: Authorized user <test>
?Debug : Mar 26 16:51:37 RADIUS Auth: MS-CHAPv2: MPPE Keys send
Warn : Mar 26 16:51:37 RADIUS Auth: Unable to claim IP: No such file or directory
Notice: Mar 26 16:51:37 RADIUS Auth: Authorization failed for user <test>


одно и тоже явление можно наблюдать на pptpd и на mpd, только pptpd конектица 5 раз, а mpd - 3 =)
как заставить их не делать ЭТО так быстро или чтоб ЭТО игнорировал радиус?

radius_max_session_age установлен 0

попутный вопрос в тему: если в первый раз пищет IP claimed:блабла и Authorized user, означает ли это что пользователь авторизировался в ядре или дело может быть не в pptpd(mpd)+radius, а в кривой настройке пользователя в ядре?


----mpd.conf----
default:
load pptp00

pptpd:
sey log debug
set iface disable on-demand
set iface mtu 1500
set iface enable tcpmssfix

set bundle no multilink
set bundle enable encryption
set bundle enable compression

set link yes acfcomp protocomp
set link enable chap
set link keep-alive 10 60

set ipcp yes vjcomp
set ipcp ranges 172.16.0.1/32 172.16.0.2/32

set ccp yes mppc
set ccp yes mpp-e128
set ccp yes mpp-stateless

load radius
radius:
set radius config /etc/radius.conf
set radius me 172.16.6.200
set radius acct-update 300
set ipcp enable radius-ip
set bundle enable radius-auth radius-fallback
set bundle enable radius-acct
set iface enable radius-idle radius-session
set ccp enable radius

pptp00:
new -i ng0 pptp00 pptp00
load pptpd
-----end-------


---mpd.links----
pptp00:
set link type pptp
set pptp self 172.16.6.200
set pptp enable incoming
set pptp disable originate
-----end----------

---radius5.cfg---
core_host=vpn.some.localnet
core_port=11758
radius_auth_mppe=enable
radius_ssl_type=ssl3
radius_acct_host=127.0.0.1
radius_auth_host=127.0.0.1

log_file_main=/netup/utm5/log/radius_main.log
log_file_debug=/netup/utm5/log/radius_debug.log
-------end-------

[admin]

В логах четко видно, что первый раз прошла авторизаия - выдался IP.
После этого RADIUS-сервер ждет Accounting-Start пакета. На время ожидания этого пакета (30 секунд) выданный IP-адрес лочится и на следующие запросы выдает Reject. Как видно из логов, до RADIUS не доходит ни одного start-пакета. А вместо этого почему-то сервер доступа шлет повторные запросы на авторизацию. Разбирайтесь детальней в настройках.

[Игорь]

Радиус у UTM - полное ..... (как в принципе и большая часть системы, более меннее работает только ядро) Поэтому, эcли радиус нужен только для авторизации очень советую использовать FreeRadius

RH9 UTM5-1.10-8 Poptop FreeRadius Ipcad

[admin]

Если RADIUS нужен только для авторизации - то можно отключить аккаунтинг

[helpme]

Если RADIUS нужен только для авторизации - то можно отключить аккаунтинг

нельзя ли чуть подробнее?
да, радиус нужен только для авторизации

[sg]

В логах четко видно, что первый раз прошла авторизаия - выдался IP.
После этого RADIUS-сервер ждет Accounting-Start пакета. На время ожидания этого пакета (30 секунд) выданный IP-адрес лочится и на следующие запросы выдает Reject. Как видно из логов, до RADIUS не доходит ни одного start-пакета. А вместо этого почему-то сервер доступа шлет повторные запросы на авторизацию. Разбирайтесь детальней в настройках.

Все-таки хотелось бы услышать от Нетапа, планируется ли исправление логики работы радиус-сервера, чтобы адрес считался занятым после прихода Accounting-Start пакета, а не после Access-Request, как описано здесь?

[admin]

Адрес и не считается занятым, а только временно лочится на 30 секунд, так как нередки случаи, что Start-пакет приходит не сразу, а через несколько секунд.
Я так понимаю, вопрос в возможности настройки этой величины.
К сожалению, эта величина (30 секунд) пока не изменяется.
Постараемся исправить в следующих билдах.

[sg]

Адрес и не считается занятым, а только временно лочится на 30 секунд, так как нередки случаи, что Start-пакет приходит не сразу, а через несколько секунд.
Я так понимаю, вопрос в возможности настройки этой величины.
К сожалению, эта величина (30 секунд) пока не изменяется.
Постараемся исправить в следующих билдах.

Адрес может и освобождается через 30 секунд, но счетчик количества одновременных сессий при этом не уменьшается. Поэтому при max_simultanius_logins=1 после неприхода Acct-Start юзер не может зайти до max_session_time или перезагрузки радиуса. Как вы понимаете, это никуда не годится. Решите, пожалуйста, эту проблему.

[cjcrazy]

советую использовать FreeRadius

а можно подробнее об этом?

[gbdj]

советую использовать FreeRadius

а можно подробнее об этом?

viewtopic.php?t=162