Здравствуйте!
Есть билинг utm 5.2.1-007(FreeBSD7.1 радиус дефолтный), есть Cisco 7204 клиенты подключаются впном к циске.
Проблема в следующем : случайно наткнулся на одного клиента, у которого трафик не отображается ни в одном из отчетов, кроме как “Dialup и Vpn” и, соответсвенно, деньги не списываются. Известно, что у клиента стоит Linux (fedora). Когда его учетной записью сам подключаюсь с любого компа, то все нормально, сразу появляется трафик и списываются деньги.
Не считается трафик у клиента(VPN)
В логах радиуса все нормально, то есть логи других подключений такие же как и у него. ip выдается правильный.
Я предполагаю, что он вобше в нетфлоу не попадает каким-то образом. show ip cache flow не показывает его вобше. записей нет как я понимаю.
Получается он как то мимо нетфлоу идет и у него работает инет
Приведу конфиг циски
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
interface GigabitEthernet0/1 (ЛОКАЛКА)
ip address ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх
duplex auto
speed auto
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/2 (ИНЕТ)
ip address ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no negotiation auto
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group 190 in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip tcp header-compression
no peer default ip address
traffic-shape group 195 256000 7936 7936 1000
ppp authentication ms-chap-v2 chap
ip nat inside source list 10 interface GigabitEthernet0/2 overload
ip flow-export version 5
ip flow-export destination ххх.ххх.ххх.ххх 9996
access-list 190 dynamic utm permit ip any any
Я предполагаю, что он вобше в нетфлоу не попадает каким-то образом. show ip cache flow не показывает его вобше. записей нет как я понимаю.
Получается он как то мимо нетфлоу идет и у него работает инет
Приведу конфиг циски
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
interface GigabitEthernet0/1 (ЛОКАЛКА)
ip address ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх
duplex auto
speed auto
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/2 (ИНЕТ)
ip address ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no negotiation auto
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group 190 in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip tcp header-compression
no peer default ip address
traffic-shape group 195 256000 7936 7936 1000
ppp authentication ms-chap-v2 chap
ip nat inside source list 10 interface GigabitEthernet0/2 overload
ip flow-export version 5
ip flow-export destination ххх.ххх.ххх.ххх 9996
access-list 190 dynamic utm permit ip any any
а другие линуксоиды имеются? такое ощушение что они авторизуются вообще без каких либо параметров, либо циска отдает не те данные либо не понимает данные аккаунтинга.....
вот мой кусочек...
вот мой кусочек...
Код: Выделить всё
interface Virtual-Template1
description - For PPPtP Termination
ip unnumbered Loopback1
ip flow ingress
ip flow egress
ip virtual-reassembly
ip tcp adjust-mss 1400
no logging event link-status
peer match aaa-pools
peer default ip address dhcp-pool PPPoE-Pool
keepalive 10 3
ppp authentication pap chap ms-chap ms-chap-v2 PPTP
ppp authorization PPTP
ppp accounting PPTP
ppp ipcp dns 191.192.82.3 191.192.82.4
ppp ipcp wins reject
ppp ipcp predictive
ppp ipcp address required
ppp ipcp address unique
!
router ospf 1
router-id 10.0.2.2
log-adjacency-changes
redistribute connected subnets
redistribute static subnets
network 10.0.2.0 0.0.0.3 area 0
network 191.192.82.16 0.0.0.3 area 0
!
!
ip flow-export source GigabitEthernet0/0.8
ip flow-export version 5
ip flow-export destination 10.0.2.6 9996
Попробуйте так:
Код: Выделить всё
boot-start-marker
boot system disk2:c7200p-a3jk91s-mz.122-31.SB11.bin
boot-end-marker
!
bba-group pppoe ADSL
virtual-template 200
sessions per-vlan limit 2000
!
interface Virtual-Template200
description --- ADSL ---
ip unnumbered Loopback0
ip access-group 106 in
ip access-group 107 out
ip verify unicast source reachable-via rx
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip flow egress
ip route-cache policy
no logging event link-status
no peer default ip address
no snmp trap link-status
keepalive 15
ppp max-bad-auth 3
ppp mtu adaptive
ppp authentication pap chap ms-chap ms-chap-v2 callin
ppp ipcp address required
ppp ipcp address unique
!
!
interface Loopback0
description --- PPPoE Gateway ---
ip address XXX.XXX.XXX.XXX 255.255.255.255
no ip unreachables
ip flow ingress
ip flow egress
ip route-cache same-interface
ip route-cache policy
!
interface GigabitEthernet0/1
ip address XXX.XXX.XXX.XXX 255.255.255.252
ip flow ingress
ip flow egress
ip route-cache policy
ip nat outside
load-interval 30
no ip unreachables
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
description --- PPPoE Interfaces ---
no ip address
ip flow ingress
load-interval 30
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3.7
encapsulation dot1Q 7
pppoe enable group ADSL
!
ip flow-export version 5
ip flow-export destination XXX.XXX.XXX.XXX 9996
Так ?
И убрать ip nat inside и ip route-cache flow с interface Virtual-Template1 ?
Это у вас рабочий конфиг ? я к тому что трафик не дублируесться из-за того что на всех интерфейсах стоит ip flow ingress и ip flow egress ?
Код: Выделить всё
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
no ip unreachables
ip flow ingress
ip flow egress
ip route-cache same-interface
ip route-cache policy
interface GigabitEthernet0/1 (ЛОКАЛКА)
ip address ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх
duplex auto
speed auto
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/2 (ИНЕТ)
ip address ххх.ххх.ххх.ххх ххх.ххх.ххх.ххх
ip nat outside
ip virtual-reassembly
ip flow ingress
ip flow egress
ip route-cache policy
duplex auto
speed auto
media-type rj45
no negotiation auto
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group 190 in
ip verify unicast source reachable-via rx
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
no logging event link-status
no snmp trap link-status
ip route-cache policy
ip route-cache flow
ip tcp header-compression
no peer default ip address
traffic-shape group 195 256000 7936 7936 1000
ppp mtu adaptive
ppp authentication ms-chap-v2 chap
ppp ipcp address required
ppp ipcp address unique
ip nat inside source list 10 interface GigabitEthernet0/2 overload
ip flow-export version 5
ip flow-export destination ххх.ххх.ххх.ххх 9996
access-list 190 dynamic utm permit ip any any Это у вас рабочий конфиг ? я к тому что трафик не дублируесться из-за того что на всех интерфейсах стоит ip flow ingress и ip flow egress ?