Drop the session

[Makariy]

UTM5-006 utm_radius
просто интересно, данный функционал только у меня неработает, или вообще неработает?

[Витька]

UTM5-006 utm_radius
просто интересно, данный функционал только у меня неработает, или вообще неработает?

Вообще не работает. В новой админке уже убрали эту кнопку.

[bear]

насколько я помню, эта примочка вообще для хотспотов применялась, но работала или нет для хотспотов - даже не знаю, не пользуем мы их...
для обычных впнов точно не работала

[Makariy]

ясно, а было бы неплохо

[mikkey finn]

вешайте функционал на правила фаервола.

[Makariy]

а вот это тоже нормально?



ато в последнее время у меня пользователи начали жаловаться на обрывы

[bear]

дай угадаю
циска с IOS из ветки T?

[Makariy]

дай угадаю
циска с IOS из ветки T?

System image file is "disk2:c7200p-advsecurityk9-mz.124-15.T4.bin"

расскажи мне всё

[ALion]

дай угадаю
циска с IOS из ветки T?

System image file is "disk2:c7200p-advsecurityk9-mz.124-15.T4.bin"

расскажи мне всё

Мы долго подбирали прошивку
Бирыч щас напишет какую нужно.

[bear]

в общем в T прошивке есть официальный глюк с радиус аккаунтингом для pptp и l2tp, пруф не приведу ибо я его нашел случайно на циске в описании багов, второй раз боюсь не найду, но если заморочится, то найти можно
самая стабильная прошивка на текущий момент для 72xx NPE-G2 из ветки DX, у меня стоит уже почти год - никаких глюков, у Магнума еще больше

например которая у меня System image file is "disk0:c7200p-adventerprisek9-mz.124-4.XD11.bin"

Для сведения: 3825(стояла у нас такая как резерв) тоже подвержена глюку прошивки из ветки T

[Makariy]

Лень моя во всем виновата, вы мне тогда с Магнумом скинули
c7200p-ipbase-mz.124-4.XD11.bin
c7200p-adventerprisek9-mz.124-4.XD11.bin

до сих пор не попробывал, счас накачу c7200p-adventerprisek9-mz.124-4.XD11.bin отпишусь о результатах

[Makariy]

IOS хороший, обрывы прекратились , в отчетах пишется ip вызывающего абонента. Решил разобраться как обстоят дела с разрешенными CID - толи я недогоняю толи никак


в консоли:

Код: Выделить всё

router(config)#radius-server attribute 31 ?
  mac  Customize MAC address based Calling Station ID

намеки только по маку но ни ip ни мак цыска не отдаёт

Код: Выделить всё

router#sh run | include radius
aaa authentication ppp default group radius
aaa authorization network default group radius 
aaa accounting network default start-stop group radius
ip radius source-interface GigabitEthernet0/2 
radius-server attribute 44 include-in-access-req
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute 32 include-in-accounting-req 
radius-server attribute 31 mac format ietf
radius-server configure-nas
radius-server timeout 60
radius-server unique-ident 132

в логах радиуса Calling-station <> пусто

?Debug : Oct 17 13:30:23 AuthServer: User <mymy3> connecting
?Debug : Oct 17 13:30:23 AuthServer: Session for sessionid <mymy3> not found in <172.17.0.55> cache
?Debug : Oct 17 13:30:23 RADIUS DBA: Info for login <mymy3> found. type <1>
?Debug : Oct 17 13:30:23 AuthServer: Auth scheme: CHAP
?Debug : Oct 17 13:30:23 AuthServer: CHAP: Using Authenticator as CHAP-Challenge
?Debug : Oct 17 13:30:23 AuthServer: CHAP: Authorized user <mymy3>
?Debug : Oct 17 13:30:23 RADIUS IPPool: Dropped on timeout: 0x53ea717b
?Debug : Oct 17 13:30:23 AuthServer: IP claimed: 0x53ea717b (<83.234.113.123>)
?Debug : Oct 17 13:30:23 AuthServer: Allowed/recv CID: 172.17.0.89/
Warn : Oct 17 13:30:23 AuthServer: Allowed CID mismatch! Rejecting ....
?Debug : Oct 17 13:30:23 AuthServer: Calling fill radius attributes for NAS. Attr storage size <1>
?Debug : Oct 17 13:30:23 AuthServer: fill_radius_data Vendor:<0> Attr:<27> Val:<0> Size<4>
?Debug : Oct 17 13:30:23 AuthServer: fill_radius_data result <0> message <Success>
?Debug : Oct 17 13:30:23 AuthServer: fill_radius_data verifying packet. fetched val <-1243208088> size:<4>
Notice: Oct 17 13:30:23 AuthServer: Login incorrect <mymy3> from NAS <172.17.0.55> CLID <> Calling-station <>
Notice: Oct 17 13:30:23 AuthServer: Authorization failed for user <mymy3>

слушал tcpdump-ом 1813 и 1812 порты

на 1813 ip вызаваюшего присутсвует, но это не то

Tunnel Client End Attribute (66), length: 15, Value: 172.22.10.236

на 1812 все тихо...




счас попробую прошивку от Магнума

[bear]

тут уже зависит если честно от построения сети, если VPN сервер стоит за каким либо маршрутизатором то мак адрес и нельзя увидеть

в общем я сам так и не смог увидеть мак адрес, ибо у нас все VLANами собирается на коммутаторе 3 уровня и дальше на 3ем уровне маршрутизируется на NAS сервера, имхо вообще это только для PPPOE используется, а не для PPTP или L2TP

мож ктонить поправит, мне честно говоря самому интересно, можно получить мак адрес если впн сервер стоит в центре ядра и трафик на него напрямую через один броадкаст домен прокидывается

[Makariy]

на MPD можно..... сам проверял
а вот циска нивкакую не хочет отдавать 31 атрибут при подключении
она его только после установления подключения отдает
я уже 10 версий ИОСА перепробовал

[bear]

на MPD можно..... сам проверял
а вот циска нивкакую не хочет отдавать 31 атрибут при подключении
она его только после установления подключения отдает
я уже 10 версий ИОСА перепробовал

ну после установления подключения это понятно - тонель поднялся, по нему 2лвл попер, мак адрес видим, а вот до поднятия тунеля - хрен вам

может тут различие в стиле поднятия ppp тунеля, в mpd он поднимается до авторизации, а в циске после - чесно говоря в таких тонкостях уже не силен...