Прошу прощения за тему, но не знаю как справиться самостоятельно. При переводе абонента на ТП с динамическим распределением ip возникает проблема с т.н. Ошибкой 691. Варианты ответов по данной теме на форуме не принесли желаемого результата. Версия utm - 008 update 2. конфиг радиуса:
core_host=127.0.0.1
core_port=12758
radius_auth_mppe=enable
radius_auth_vap=1
radius_ippool_acct_timeout=5
radius_ippool_timeout=5
radius_auth_null=no
radius_card_autoadd=yes
radius_max_session_age=0
log_level=0
log_file_main=/netup/utm5/log/radius_main.log
log_file_debug=/netup/utm5/log/radius_debug.log
log_file_critical=/netup/utm5/log/radius_critical.log
rotate_logs=enable
max_logfile_count=50
в отчете по Диалап и ВПН у абонентов имеется две сессии с одинаковым id одна закрытая другая нет. Лечится просто - открываешь сервисную связку, жмешь ок (даже не меняя ничего) и все в порядке, абонент счастлив и доволен. Но когда по 100 и более звонков в день - это напрягает. Подскажите пожалуйста, что нужно сделать???
И снова 691 ошибка.
прошу прощения. Как то не подумал:
aaa authentication login default local
aaa authentication login NO_AAA line
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization exec NO_AAA none
aaa authorization network default group radius
aaa accounting delay-start all
aaa accounting network default
action-type start-stop
group radius
aaa server radius dynamic-author
client Х.Х.Х.Х
auth-type any
!
aaa session-id common
clock timezone EET 2
clock summer-time EDT recurring last Sun Mar 2:00 last Sun Oct 3:00
ip source-route
ip cef
!
virtual-profile if-needed
virtual-profile virtual-template 1
!
multilink bundle-name authenticated
vpdn enable
vpdn authen-before-forward
vpdn aaa attribute nas-ip-address vpdn-nas
vpdn aaa attribute nas-port vpdn-nas
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1.701
ip access-group acl-user-in in
ip access-group acl-user-out out
ip verify unicast reverse-path allow-self-ping
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly max-reassemblies 1024
no logging event link-status
load-interval 30
ppp mtu adaptive
ppp authentication chap callin
ppp ipcp dns 193.232.248.45 212.98.160.50
ppp timeout idle 600
ip local pool IPPool1 Х.Х.Х.1 Х.Х.Х.254
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute list radius
attribute 40
!
radius-server attribute 31 mac format unformatted
radius-server configure-nas
radius-server host 172.16.1.3 auth-port 1812 acct-port 1813
radius-server timeout 30
radius-server key x Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
этого хватит ? на всякий случай добавлю - адресов в пуле хватает с избытком - из 254 адресов только 200 бывают востребованы.
aaa authentication login default local
aaa authentication login NO_AAA line
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization exec NO_AAA none
aaa authorization network default group radius
aaa accounting delay-start all
aaa accounting network default
action-type start-stop
group radius
aaa server radius dynamic-author
client Х.Х.Х.Х
auth-type any
!
aaa session-id common
clock timezone EET 2
clock summer-time EDT recurring last Sun Mar 2:00 last Sun Oct 3:00
ip source-route
ip cef
!
virtual-profile if-needed
virtual-profile virtual-template 1
!
multilink bundle-name authenticated
vpdn enable
vpdn authen-before-forward
vpdn aaa attribute nas-ip-address vpdn-nas
vpdn aaa attribute nas-port vpdn-nas
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1.701
ip access-group acl-user-in in
ip access-group acl-user-out out
ip verify unicast reverse-path allow-self-ping
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly max-reassemblies 1024
no logging event link-status
load-interval 30
ppp mtu adaptive
ppp authentication chap callin
ppp ipcp dns 193.232.248.45 212.98.160.50
ppp timeout idle 600
ip local pool IPPool1 Х.Х.Х.1 Х.Х.Х.254
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute list radius
attribute 40
!
radius-server attribute 31 mac format unformatted
radius-server configure-nas
radius-server host 172.16.1.3 auth-port 1812 acct-port 1813
radius-server timeout 30
radius-server key x Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
этого хватит ? на всякий случай добавлю - адресов в пуле хватает с избытком - из 254 адресов только 200 бывают востребованы.
тудаже
5.2.1-007 update 10
На днях перестали логиниться вновь создаваемые юзеры.
Отличие при авторизации от обычных в логах отличалось тем что не распозновался способ аутенфикации chap/pap.
Сделал reboot билинга, и сразу сделал verification.log
--- до reboot
?Debug : Mar 01 01:41:11 AuthServer: User <i456> connecting
?Debug : Mar 01 01:41:11 AuthServer: Session for sessionid <i456> not found in <192.168.0.34> cache
ERROR : Mar 01 01:41:11 RADIUS DBA: Can't find login <i456>
ERROR : Mar 01 01:41:11 RADIUS DBA: Card login <i456> contains not digit symbol with code <105> ! Can't find card login
?Debug : Mar 01 01:41:11 AuthServer: Attempt to add new Card user: <i456>
?Debug : Mar 01 01:41:11 AuthServer: Card Auto-add is disabled
ERROR : Mar 01 01:41:11 AuthServer: No data for User <i456> found.
---
после reboot
?Debug : Mar 01 08:39:31 AuthServer: User <i456> connecting
?Debug : Mar 01 08:39:31 AuthServer: Session for sessionid <i456> not found in <192.168.0.254> cache
?Debug : Mar 01 08:39:31 RADIUS DBA: Info for login <i456> found. type <1>
?Debug : Mar 01 08:39:31 AuthServer: Auth scheme: CHAP
?Debug : Mar 01 08:39:31 AuthServer: CHAP: Using Authenticator as CHAP-Challenge
?Debug : Mar 01 08:39:31 AuthServer: CHAP: Authorized user <i456>
и т.д.
На днях перестали логиниться вновь создаваемые юзеры.
Отличие при авторизации от обычных в логах отличалось тем что не распозновался способ аутенфикации chap/pap.
Сделал reboot билинга, и сразу сделал verification.log
--- до reboot
?Debug : Mar 01 01:41:11 AuthServer: User <i456> connecting
?Debug : Mar 01 01:41:11 AuthServer: Session for sessionid <i456> not found in <192.168.0.34> cache
ERROR : Mar 01 01:41:11 RADIUS DBA: Can't find login <i456>
ERROR : Mar 01 01:41:11 RADIUS DBA: Card login <i456> contains not digit symbol with code <105> ! Can't find card login
?Debug : Mar 01 01:41:11 AuthServer: Attempt to add new Card user: <i456>
?Debug : Mar 01 01:41:11 AuthServer: Card Auto-add is disabled
ERROR : Mar 01 01:41:11 AuthServer: No data for User <i456> found.
---
после reboot
?Debug : Mar 01 08:39:31 AuthServer: User <i456> connecting
?Debug : Mar 01 08:39:31 AuthServer: Session for sessionid <i456> not found in <192.168.0.254> cache
?Debug : Mar 01 08:39:31 RADIUS DBA: Info for login <i456> found. type <1>
?Debug : Mar 01 08:39:31 AuthServer: Auth scheme: CHAP
?Debug : Mar 01 08:39:31 AuthServer: CHAP: Using Authenticator as CHAP-Challenge
?Debug : Mar 01 08:39:31 AuthServer: CHAP: Authorized user <i456>
и т.д.
Обновились до версии 5.2.1.-008 update 3. вчера целый день отработали - ошибка вроде исчезла. Сделали как в инструкции - на всякий случай UTM5_MYSQL_update.sql, UTM5_indexes.sql, запустили ядро, исправили ошибки из verificator.sql.
ps: похоже рано радовался, глянул в отчет по диалап - появились зависшие сессии - соотвественно будет ошибка 691.
ps: похоже рано радовался, глянул в отчет по диалап - появились зависшие сессии - соотвественно будет ошибка 691.