UTM RADIUS не отвечает на запросы

[Ivanas]

UTM 5.2.1-007
FreeBSD 8.1

Проблема следующая:
UTM RADIUS запущен, порты слушает, на запросы MPD нет ответа, в логах RADIUSa после сообщений о запуске и коннекте к UTM ноль.
Всю голову сломал.

netstat -a

Код: Выделить всё

udp4       0      0 *.radacct              *.*                    
udp4     216      0 *.radius               *.*                    

ipfw show

Код: Выделить всё

00300    18     1512 allow udp from any to me dst-port 1812,1813
00400     0        0 allow udp from me 1812,1813 to any

radtest test test1 127.0.0.1 0 secret

Код: Выделить всё

Sending Access-Request of id 101 to 127.0.0.1 port 1812
        User-Name = "test"
        User-Password = "test1"
        NAS-IP-Address = 93.91.116.2
        NAS-Port = 0
radclient: no response from server for ID 101 socket 3

mpd.log

Код: Выделить всё

Jan 24 22:56:07 tver mpd: process 1704 started, version 5.5 (root@TverRouter 16:17 22-Jan-2011)
Jan 24 22:56:07 tver mpd: CONSOLE: listening on 127.0.0.1 5005
Jan 24 22:56:07 tver mpd: web: listening on 127.0.0.1 5006
Jan 24 22:56:07 tver mpd: PPTP: waiting for connection on 0.0.0.0 1723
Jan 24 22:56:17 tver mpd: [L-1] Accepting PPTP connection
Jan 24 22:56:17 tver mpd: [L-1] Link: OPEN event
Jan 24 22:56:17 tver mpd: [L-1] LCP: Open event
Jan 24 22:56:17 tver mpd: [L-1] LCP: state change Initial --> Starting
Jan 24 22:56:17 tver mpd: [L-1] LCP: LayerStart
Jan 24 22:56:17 tver mpd: [L-1] PPTP: attaching to peer's outgoing call
Jan 24 22:56:17 tver mpd: [L-1] Link: UP event
Jan 24 22:56:17 tver mpd: [L-1] LCP: Up event
Jan 24 22:56:17 tver mpd: [L-1] LCP: state change Starting --> Req-Sent
Jan 24 22:56:17 tver mpd: [L-1] LCP: SendConfigReq #1
Jan 24 22:56:17 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:17 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:17 tver mpd: [L-1]   MRU 1500
Jan 24 22:56:17 tver mpd: [L-1]   MAGICNUM f665b238
Jan 24 22:56:17 tver mpd: [L-1]   AUTHPROTO CHAP MSOFTv2
Jan 24 22:56:17 tver mpd: [L-1]   MP MRRU 2048
Jan 24 22:56:17 tver mpd: [L-1]   MP SHORTSEQ
Jan 24 22:56:17 tver mpd: [L-1]   ENDPOINTDISC [802.1] 00 15 17 1f 01 00
Jan 24 22:56:17 tver mpd: [L-1] LCP: rec'd Configure Request #0 (Req-Sent)
Jan 24 22:56:17 tver mpd: [L-1]   MRU 1400
Jan 24 22:56:17 tver mpd: [L-1]   MAGICNUM 703c4e6a
Jan 24 22:56:17 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:17 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:17 tver mpd: [L-1]   CALLBACK 6
Jan 24 22:56:17 tver mpd: [L-1] LCP: SendConfigRej #0
Jan 24 22:56:17 tver mpd: [L-1]   CALLBACK 6
Jan 24 22:56:17 tver mpd: [L-1] LCP: rec'd Configure Request #1 (Req-Sent)
Jan 24 22:56:17 tver mpd: [L-1]   MRU 1400
Jan 24 22:56:17 tver mpd: [L-1]   MAGICNUM 703c4e6a
Jan 24 22:56:17 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:17 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:17 tver mpd: [L-1] LCP: SendConfigAck #1
Jan 24 22:56:17 tver mpd: [L-1]   MRU 1400
Jan 24 22:56:17 tver mpd: [L-1]   MAGICNUM 703c4e6a
Jan 24 22:56:17 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:17 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:17 tver mpd: [L-1] LCP: state change Req-Sent --> Ack-Sent
Jan 24 22:56:19 tver mpd: [L-1] LCP: SendConfigReq #2
Jan 24 22:56:19 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:19 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:19 tver mpd: [L-1]   MRU 1500
Jan 24 22:56:19 tver mpd: [L-1]   MAGICNUM f665b238
Jan 24 22:56:19 tver mpd: [L-1]   AUTHPROTO CHAP MSOFTv2
Jan 24 22:56:19 tver mpd: [L-1]   MP MRRU 2048
Jan 24 22:56:19 tver mpd: [L-1]   MP SHORTSEQ
Jan 24 22:56:19 tver mpd: [L-1]   ENDPOINTDISC [802.1] 00 15 17 1f 01 00
Jan 24 22:56:21 tver mpd: [L-1] LCP: SendConfigReq #3
Jan 24 22:56:21 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:21 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:21 tver mpd: [L-1]   MRU 1500
Jan 24 22:56:21 tver mpd: [L-1]   MAGICNUM f665b238
Jan 24 22:56:21 tver mpd: [L-1]   AUTHPROTO CHAP MSOFTv2
Jan 24 22:56:21 tver mpd: [L-1]   MP MRRU 2048
Jan 24 22:56:21 tver mpd: [L-1]   MP SHORTSEQ
Jan 24 22:56:21 tver mpd: [L-1]   ENDPOINTDISC [802.1] 00 15 17 1f 01 00
Jan 24 22:56:21 tver mpd: [L-1] LCP: rec'd Configure Reject #3 (Ack-Sent)
Jan 24 22:56:21 tver mpd: [L-1]   MP MRRU 2048
Jan 24 22:56:21 tver mpd: [L-1]   MP SHORTSEQ
Jan 24 22:56:21 tver mpd: [L-1]   ENDPOINTDISC [802.1] 00 15 17 1f 01 00
Jan 24 22:56:21 tver mpd: [L-1] LCP: SendConfigReq #4
Jan 24 22:56:21 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:21 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:21 tver mpd: [L-1]   MRU 1500
Jan 24 22:56:21 tver mpd: [L-1]   MAGICNUM f665b238
Jan 24 22:56:21 tver mpd: [L-1]   AUTHPROTO CHAP MSOFTv2
Jan 24 22:56:21 tver mpd: [L-1] LCP: rec'd Configure Ack #4 (Ack-Sent)
Jan 24 22:56:21 tver mpd: [L-1]   ACFCOMP
Jan 24 22:56:21 tver mpd: [L-1]   PROTOCOMP
Jan 24 22:56:21 tver mpd: [L-1]   MRU 1500
Jan 24 22:56:21 tver mpd: [L-1]   MAGICNUM f665b238
Jan 24 22:56:21 tver mpd: [L-1]   AUTHPROTO CHAP MSOFTv2
Jan 24 22:56:21 tver mpd: [L-1] LCP: state change Ack-Sent --> Opened
Jan 24 22:56:21 tver mpd: [L-1] LCP: auth: peer wants nothing, I want CHAP
Jan 24 22:56:21 tver mpd: [L-1] CHAP: sending CHALLENGE #1 len: 21
Jan 24 22:56:21 tver mpd: [L-1] LCP: LayerUp
Jan 24 22:56:21 tver mpd: [L-1] LCP: rec'd Ident #2 (Opened)
Jan 24 22:56:21 tver mpd: [L-1]   MESG: MSRASV5.20
Jan 24 22:56:21 tver mpd: [L-1] LCP: rec'd Ident #3 (Opened)
Jan 24 22:56:21 tver mpd: [L-1]   MESG: MSRAS-0-EKT-TS10
Jan 24 22:56:21 tver mpd: [L-1] CHAP: rec'd RESPONSE #1 len: 60
Jan 24 22:56:21 tver mpd: [L-1]   Name: "user"
Jan 24 22:56:21 tver mpd: [L-1] AUTH: Trying RADIUS
Jan 24 22:56:21 tver mpd: [L-1] RADIUS: Authenticating user 'user'
Jan 24 22:56:21 tver mpd: [L-1] RADIUS: rad_config: /usr/local/etc/mpd5/radius.conf:2: missing newline
Jan 24 22:56:21 tver mpd: [L-1] AUTH: RADIUS returned error
Jan 24 22:56:21 tver mpd: [L-1] AUTH: Trying INTERNAL
Jan 24 22:56:21 tver mpd: OpenConfFile: Can't open file '/usr/local/etc/mpd5/mpd.secret': No such file or directory
Jan 24 22:56:21 tver mpd: [L-1] AUTH: User "user" not found in secret file
Jan 24 22:56:21 tver mpd: [L-1] AUTH: INTERNAL returned: failed
Jan 24 22:56:21 tver mpd: [L-1] AUTH: ran out of backends
Jan 24 22:56:21 tver mpd: [L-1] CHAP: Auth return status: failed
Jan 24 22:56:21 tver mpd: [L-1] CHAP: Reply message: E=691 R=0 M=Login incorrect
Jan 24 22:56:21 tver mpd: [L-1] CHAP: sending FAILURE #1 len: 31
Jan 24 22:56:21 tver mpd: [L-1] LCP: authorization failed
Jan 24 22:56:21 tver mpd: [L-1] LCP: parameter negotiation failed
Jan 24 22:56:21 tver mpd: [L-1] LCP: state change Opened --> Stopping
Jan 24 22:56:21 tver mpd: [L-1] LCP: SendTerminateReq #5
Jan 24 22:56:21 tver mpd: [L-1] LCP: LayerDown
Jan 24 22:56:21 tver mpd: [L-1] LCP: rec'd Terminate Ack #5 (Stopping)
Jan 24 22:56:21 tver mpd: [L-1] LCP: state change Stopping --> Stopped
Jan 24 22:56:21 tver mpd: [L-1] LCP: LayerFinish
Jan 24 22:56:21 tver mpd: [L-1] PPTP call terminated
Jan 24 22:56:21 tver mpd: [L-1] Link: DOWN event
Jan 24 22:56:21 tver mpd: [L-1] LCP: Close event
Jan 24 22:56:21 tver mpd: [L-1] LCP: state change Stopped --> Closed
Jan 24 22:56:21 tver mpd: [L-1] LCP: Down event
Jan 24 22:56:21 tver mpd: [L-1] LCP: state change Closed --> Initial
Jan 24 22:56:21 tver mpd: [L-1] Link: SHUTDOWN event
Jan 24 22:56:21 tver mpd: [L-1] Link: Shutdown

Вырезка из mpd.conf

Код: Выделить всё

radius:
    set radius server 127.0.0.1 secret 1812 1813
    set radius retries 3
    set radius timeout 3
    set radius me 127.0.0.1
    set auth acct-update 60
    set auth enable radius-auth
    set auth enable radius-acct
    set radius enable message-authentic

Вырезка из radius5.cfg

Код: Выделить всё

radius_acct_host=0.0.0.0
radius_auth_host=0.0.0.0

[ds]

Jan 24 22:56:21 tver mpd: [L-1] RADIUS: rad_config: /usr/local/etc/mpd5/radius.conf:2: missing newline
Jan 24 22:56:21 tver mpd: [L-1] AUTH: RADIUS returned error

radius.conf вообще настроен? Говорит что нет перевода строки в конце файла. Радиус отключен получается...

[kamae1ka]

добавь пустую строку в конец

[Ivanas]

Строчку добавил, на radius.conf ругаться перестал, но результат тот же. На сколько я понимаю rdius.conf вообще не нужен.
Дело в том, что RADIUS вообще не отвечает ни на какие запросы. Я специально тестил radtest'ом и телнетом.

[Ivanas]

tcpdump -n -i lo0 port 1812

Код: Выделить всё

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 96 bytes
12:34:32.045737 IP 127.0.0.1.34732 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x3c length: 263
12:34:46.705669 IP 127.0.0.1.49250 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x26 length: 263
12:34:49.718044 IP 127.0.0.1.49250 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x26 length: 263
12:34:52.730907 IP 127.0.0.1.49250 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x26 length: 263
12:34:55.743899 IP 127.0.0.1.49250 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x26 length: 263
12:34:58.756874 IP 127.0.0.1.49250 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x26 length: 263
12:35:01.768989 IP 127.0.0.1.49250 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x26 length: 263
7 packets captured
10 packets received by filter
0 packets dropped by kernel

[kamae1ka]

конфиг радиуса
конфиг /etc/radius.conf
файл hosts

покажи нам

[Ivanas]

/netup/utm5/radius5.cfg

Код: Выделить всё

core_host=127.0.0.1
core_port=12758
radius_acct_host=0.0.0.0
radius_auth_host=0.0.0.0
radius_auth_mppe=enable
radius_card_autoadd=yes
log_level=3
log_file_main=/netup/utm5/log/radius.log
log_file_debug=/netup/utm5/log/radius.log

/etc/hosts

Код: Выделить всё

&#58;&#58;1<---><------><------>localhost
127.0.0.1<-----><------>localhost
172.16.0.3<----><------>xxx.xxx.ru.
1.1.1.1<---><------>xxx.xxx.ru.

/etc/radius.conf отсутствует, есть
/usr/local/etc/mpd5/radius.conf

Код: Выделить всё

auth 127.0.0.1:1812 secret
acct 127.0.0.1:1813 secret

и еще в UTM есть NAS

Код: Выделить всё

1    127.0.0.1     secret      secret

[kamae1ka]

пришли лог МПД
и в биллинге есть у тебя список нас ?

[Ivanas]

Лог по почте отправил.
В биллинге NAS 127.0.0.1 и 0.0.0.0

[Chrst]

Лог по почте отправил.
В биллинге NAS 127.0.0.1 и 0.0.0.0

А 0.0.0.0 это как ?

[Ivanas]

По идее 0.0.0.0 это все, но возможно и нет.
Но это все равно ничего не значит, т.к. 127.0.0.1 прописан и был прописан с самого начала, когда 0.0.0.0 еще не было.

[Ivanas]

Всем спасибо за участие, вопрос решился элементарно. Хоть и вынес мне мозг.
При формировании лицензии в личном кабинете надо было еще тыркнуть плюсик на модуле VPN.
Кто же знал....

[Нафаня]

Привет всем.
стоит utm5-2.1.008 с лицензией впн и шейпа.
фря 8ка.

В биллинге зарегистрировал NAS 10.10.10.10
логин и пароль secret.
в виде нас коммутатор с поддержкой радиуса.
на нем указал сервер радиуса 10.10.10.1 логин и пароль secret secret.
на сервера работает радиус:
root utm5_radiu 1209 5 udp4 *:1812 *:*
root utm5_radiu 1209 6 udp4 *:1813 *:*

В результате авторизация NAS:

?Debug : Jan 23 18:32:00 2875a140 RadiusSocket: RADIUS packet successfully received
?Debug : Jan 23 18:32:00 28649ec0 RadiusSocket: RADIUS raw data obtained
?Debug : Jan 23 18:32:00 28649ec0 RADIUS Packet: Size <89>; HDR.Size <89>
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: Recv...
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: Packet from <10.10.10.10> packet dump: RPacket:
Code: 4; ID: 0
<Vendor: 0; Attr: 1>[12]: 303030313032303330343035
<Vendor: 0; Attr: 4>[4]: 0a0a0a0a
<Vendor: 0; Attr: 5>[4]: 00000007
<Vendor: 0; Attr: 6>[4]: 00000002
<Vendor: 0; Attr: 12>[4]: 000005dc
<Vendor: 0; Attr: 40>[4]: 00000001
<Vendor: 0; Attr: 44>[17]: 30303030303031352d3030303030303031
<Vendor: 0; Attr: 45>[4]: 00000001

?Debug : Jan 23 18:32:00 28649ec0 RADIUS DBA: NAS found. Data size <0>
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: Acct packet with session ID: 00000015-00000001
?Debug : Jan 23 18:32:00 28649ec0 RADIUS DBA: NAS found. Data size <0>
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: Acct-Start packet
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: Acct-Start: User <000102030405>
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: Acct-Session-Time (46) not present in accounting packet.
?Debug : Jan 23 18:32:00 28649ec0 AcctServer: No h323-setup-time (9, 25) attribute in accountig start packet. Setting to NOW <1327329120>!
ERROR : Jan 23 18:32:00 28649ec0 RADIUS DBA: Can't find login <000102030405>
?Debug : Jan 23 18:32:00 28649ec0 RADIUS DBA: Searching card login <102030405>
ERROR : Jan 23 18:32:00 28649ec0 RADIUS DBA: Can't find card login <102030405>
ERROR : Jan 23 18:32:00 28649ec0 RADIUS DBA: No data for login (calling_sid and called_sid is null) : 000102030405
ERROR : Jan 23 18:32:00 28649ec0 AcctServer: Error! (2)


Вопрос что за логин и пароль он берет для авторизации NAS.
ERROR : Jan 23 18:32:00 28649ec0 RADIUS DBA: Can't find login <000102030405>
?Debug : Jan 23 18:32:00 28649ec0 RADIUS DBA: Searching card login <102030405>
ERROR : Jan 23 18:32:00 28649ec0 RADIUS DBA: Can't find card login <102030405>
не могу понять что это. и почему может не проходить авторизацию NAS, подскажите может кто сталкивался.
За ранее спасибо.

[Нафаня]

вот пакет:


18:58:36.543963 IP (tos 0x0, ttl 64, id 46451, offset 0, flags [none], proto UDP (17), length 117)
10.10.10.10.35302 > 10.10.10.1.radacct: RADIUS, length: 89
Accounting Request (4), id: 0x00, Authenticator: 04a430b1792e8e2c0332ba18f66121da
Accounting Status Attribute (40), length: 6, Value: Start
0x0000: 0000 0001
NAS IP Address Attribute (4), length: 6, Value: 10.10.10.10
0x0000: 0a0a 0a0a
NAS Port Attribute (5), length: 6, Value: 7
0x0000: 0000 0007
Username Attribute (1), length: 14, Value: 000102030405
0x0000: 3030 3031 3032 3033 3034 3035
Service Type Attribute (6), length: 6, Value: [|radius] [|radius]
18:58:36.545513 EAP packet (0) v1, len 4, Success (3), id 0, len 4