Опыт установки 5.3 на боевом сервере

kirush · Сообщение **kirush** » Ср май 22, 2013 00:03

Обновление прошло удачно.
То что бросилось в глаза:
1)

Почему в полях "IP" и "NAS IP" адреса выглядят как reversed?
10.1.0.1 будет выглядеть как 1.0.1.10
Какая логика?

2) В логах радиуса:

Код: Выделить всё

 ERROR &#58; May 22 00&#58;47&#58;16 2875cec0 NAS_List&#58; NAS 10.1.255.254 not found
 ERROR &#58; May 22 00&#58;47&#58;16 2875cec0 NAS_List&#58; NAS 10.1.255.251 not found
 ERROR &#58; May 22 00&#58;47&#58;16 2875cec0 NAS_List&#58; NAS 10.1.255.250 not found
...
 ERROR &#58; May 22 00&#58;47&#58;16 28b88b00 NAS_List&#58; invalid NAS name
 ERROR &#58; May 22 00&#58;47&#58;16 28b88b00 Transport&#58; handle&#58; RADIUS_Error&#58; invalid NAS name
 ERROR &#58; May 22 00&#58;47&#58;16 28b88b00 NAS_List&#58; invalid NAS name
 ERROR &#58; May 22 00&#58;47&#58;16 28b88b00 Transport&#58; handle&#58; RADIUS_Error&#58; invalid NAS name
...
 ERROR &#58; May 22 00&#58;47&#58;16 2875cec0 AcctQueue&#58; Accounting-Request Authenticator check failed&#58; no shared secret between RADIUS and NAS
 ERROR &#58; May 22 00&#58;47&#58;16 2875cec0 AcctQueue&#58; Accounting-Request Authenticator check failed&#58; no shared secret between RADIUS and NAS
 ERROR &#58; May 22 00&#58;47&#58;16 2875cec0 AcctQueue&#58; Accounting-Request Authenticator check failed&#58; no shared secret between RADIUS and NAS
...
 ERROR &#58; May 22 00&#58;47&#58;17 28b88b00 NAS_List&#58; NAS 250.255.1.10 not found
 ERROR &#58; May 22 00&#58;47&#58;17 28b88b00 Transport&#58; RADIUS_Error&#58; NAS not found
 ERROR &#58; May 22 00&#58;47&#58;17 28b88b00 NAS_List&#58; NAS 254.255.1.10 not found
 ERROR &#58; May 22 00&#58;47&#58;17 28b88b00 Transport&#58; RADIUS_Error&#58; NAS not found
 ERROR &#58; May 22 00&#58;47&#58;17 28b88b00 NAS_List&#58; NAS 251.255.1.10 not found

Чтобы это значило? До обновления были NASы и авторизация, после обновления - не видит.
Данные строки появляются только при старте радиуса, дальше все спокойно. В логах также видимо reversed IP адреса.
Спустя пару минут - авторизация абонентов проходит частично. Часть абонентов авторизуется, часть нет. Перешел временно на internal авторизацию залив в secretы логины и пароли.
3)

Код: Выделить всё

May 22 02&#58;37&#58;13 nas mpd&#58; &#91;L1-181&#93; AUTH&#58; User "Sokolova-ls" not found in secret file
May 22 02&#58;37&#58;13 nas mpd&#58; &#91;L1-181&#93; AUTH&#58; INTERNAL returned&#58; failed
May 22 02&#58;37&#58;13 nas mpd&#58; &#91;L1-181&#93; AUTH&#58; ran out of backends
May 22 02&#58;37&#58;13 nas mpd&#58; &#91;L1-181&#93; CHAP&#58; Auth return status&#58; failed
May 22 02&#58;37&#58;13 nas mpd&#58; &#91;L1-181&#93; CHAP&#58; Reply message&#58; E=691 R=0 M=Login incorrect
May 22 02&#58;37&#58;13 nas mpd&#58; &#91;L1-181&#93; CHAP&#58; sending FAILURE #1 len&#58; 31

Хотя в документации на странице 146 написано:

В запросе на авторизацию в обязательном порядке должен быть указан атрибут UserName (1). Часть значения атрибута User-Name (1) до символа ':' записывается в пара-
метр Callback_prefix. Логин рассматривается без префикса. Все буквенные символы в
логине принудительно переводятся в нижний регистр. Если атрибут User-Name (1) не
указан, Access-Request игнорируется и последующие действия не производятся.

В тоже время в логах радиуса:

Код: Выделить всё

?Debug &#58; May 22 02&#58;44&#58;13 28759140 AuthQueue&#58; Login 'sokolova-ls'
?Debug &#58; May 22 02&#58;44&#58;13 28759140 LoginStorage&#58; Acquire&#58; login 'sokolova-ls' used 1 times
?Debug &#58; May 22 02&#58;44&#58;13 28759140 AuthQueue&#58; Login info found, slink_id 25043
?Debug &#58; May 22 02&#58;44&#58;13 28759140 AuthQueue&#58; Using MSCHAPv2 authentication method
?Debug &#58; May 22 02&#58;44&#58;13 28759140 MSCHAPv2 Authenticator&#58; MS-CHAPv2&#58; Rejected user <sokolova-ls>
 ERROR &#58; May 22 02&#58;44&#58;13 28759140 AuthQueue&#58; MSCHAPv2 authentication failed
?Debug &#58; May 22 02&#58;44&#58;13 28759140 AcctQueue&#58; lookup&#58; session ID 7419 closed
?Debug &#58; May 22 02&#58;44&#58;13 28759140 SessionManager&#58; put&#58; sessiond ID 7419 from NAS 71 is closed
?Debug &#58; May 22 02&#58;44&#58;13 28759140 LoginStorage&#58; Release&#58; login 'sokolova-ls' used 0 times
?Debug &#58; May 22 02&#58;44&#58;13 28759140 AuthQueue&#58; Reply

serjk · Сообщение **serjk** » Ср май 22, 2013 10:19

1) revesre в отчете по сессиям связан со старой ошибкой в предыдущих версиях UTM5. В таблице dhs_sessions_log колонка Framed_IP_Address записывалась в network byte order, в то время как все остальные адреса записывались в host byte order. Перешли к единому формату. Соответственно, новые сессии будут отображаться корректно. Можем предложить решение по конвертации старых сессий, если это критично.

2) эти сообщения вероятно связаны с тем, что utm5_radius еще не получил список NAS, соответственно он игнорирует запросы на авторизацию от неизвестных NAS. Когда список получен, запросы начинают обрабатываться.

3) В приведенном ниже логе UTM5 RADIUS видно, что логин пользователя sokolova-ls как раз везде в нижнем регистре. Попробую протестировать MSCHAPv2 с логинами с заглавными буквами, возможно действительно есть проблема. О результатах сообщу.

kirush · Сообщение **kirush** » Ср май 22, 2013 10:24

Ошибку вида:
ERROR : May 22 02:44:13 28759140 AuthQueue: MSCHAPv2 authentication failed
решил исправлением в конфиге radius5.cfg
активацией функции:
radius_auth_mppe=enable
Юзеры начали авторизовываться.

решением по конвертации с удовольствием бы воспользовался - хочется красоты.

А вот это с чем может быть связано:

Код: Выделить всё

 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0

serjk · Сообщение **serjk** » Ср май 22, 2013 10:31

kirush писал(а):Ошибку вида:
ERROR : May 22 02:44:13 28759140 AuthQueue: MSCHAPv2 authentication failed
решил исправлением в конфиге radius5.cfg
активацией функции:
radius_auth_mppe=enable
Юзеры начали авторизовываться.

Вы используете MPPE шифрование? Хотелось бы разобраться, с чем это могло быть связано.

решением по конвертации с удовольствием бы воспользовался - хочется красоты.

А вот это с чем может быть связано:
Код: Выделить всё
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0
 ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0

Сообщения появляются при загрузке RADIUS сервера? Как их много?
Желательно проверить таблицу dhs_sessions_log на предмет записей с Acct-Status-Type = 0 в течение предыдущих суток. Используется ли hotspot ?

kirush · Сообщение **kirush** » Ср май 22, 2013 10:41

нет не используем.
конфиг mpd5.conf
10.1.255.252 - core+radius
10.1.255.251 - nas

Код: Выделить всё


startup&#58;
    set user admin XXX operator
    set web self 10.1.255.251 58585
    set web open
    set console open
    set console self 127.0.0.1 58588
    set netflow peer 10.1.255.252 9996
    set netflow timeouts 60 120
    set radsrv self 10.1.255.251 3799
    set radsrv peer 10.1.255.252 XXX
    set radsrv open

default&#58;
    load pptp_server

pptp_server&#58;
    create bundle template B1
    set bundle disable compression
    set bundle no crypt-reqd
    set iface mtu 1460
    set iface disable on-demand
    set iface enable tcpmssfix
    set iface enable proxy-arp netflow-in netflow-out
    set iface idle -1
    set ccp no pred1
    set ccp no deflate
    set ccp no mppc
    set ipcp yes vjcomp
    set ipcp dns 10.1.255.253
    set ipcp ranges 172.16.200.1 172.16.0.0/16
    create link template L1 pptp
    set pptp self 10.1.255.251
    set pptp disable windowing
    set link action bundle B1
    set pptp enable always-ack
    set link enable incoming
    set link disable multilink
    set link enable incoming
    set link enable chap
    set link disable keep-ms-domain
    set link enable peer-as-calling
    set link accept acfcomp protocomp
    set link no pap chap
    set link enable chap
    set link max-redial -1
    set link mtu 1460
    load radius

radius&#58;
    set radius server 10.1.255.252 XXX 1812 1813
    set radius timeout 10
    set radius retries 3
#    set auth enable internal
    set auth enable radius-auth
    set auth enable radius-acct
    set auth disable acct-mandatory
    set auth disable ext-auth
    set auth disable ext-acct
    set auth disable pam-auth
    set auth disable pam-acct
    set auth disable system-auth
    set auth disable system-acct

Код: Выделить всё

ERROR &#58; May 22 11&#58;19&#58;13 2899eb00 Transport&#58; unknown or invalid Acct-Status-Type 0

Сообщений 4 штуки, появляются при загрузке radius сервера.
Модуль hotspot не используется.
В БД как раз 4 записи с Acct-Status=0

serjk · Сообщение **serjk** » Ср май 22, 2013 10:52

Работу MSCHAPv2 с отключенным MPPE сейчас протестирую.

По поводу 4х записей, в остальном они выглядят нормальными? По логам ядра нельзя установить, когда они были сделаны?

kirush · Сообщение **kirush** » Ср май 22, 2013 11:11

Не реально.
Вроде все запустил - работает норм ~5 минут.
Потом radius "умирает" - и прекращает авторизовывать.
В это время логи в radius.log (debug level 3) перестают писаться.
radius_debug.log туда пишутся и как будто он живой.
Вернулся на internal аунтификацию.
В логах tcpdumpа на машине с радиусом:

Код: Выделить всё

# tcpdump -i em0 -n port 1812
tcpdump&#58; verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB &#40;Ethernet&#41;, capture size 96 bytes
12&#58;09&#58;50.736421 IP 10.1.255.251.24209 > 10.1.255.252.1812&#58; RADIUS, Access Request &#40;1&#41;, id&#58; 0x7b length&#58; 303
12&#58;09&#58;58.602102 IP 10.1.255.249.54067 > 10.1.255.252.1812&#58; RADIUS, Access Request &#40;1&#41;, id&#58; 0xd6 length&#58; 249
12&#58;10&#58;08.603809 IP 10.1.255.249.54067 > 10.1.255.252.1812&#58; RADIUS, Access Request &#40;1&#41;, id&#58; 0xd6 length&#58; 249

serjk · Сообщение **serjk** » Ср май 22, 2013 11:15

Пришлите пожалуйста логи utm5_radius на почту (мой ник) собака netup.ru

kirush · Сообщение **kirush** » Ср май 22, 2013 11:21

ушли.

kirush · Сообщение **kirush** » Чт май 23, 2013 09:22

Ошибка найдена и исправлена фирмой Netup. Запрашивайте обновление.
Подскажите пожалуйста, обещали что в новых версиях введется действие над группой.
Надо массово всем сменить вот это:

чтобы можно было включить добровольную блокировку - подскажите, как это сделать?

serjk · Сообщение **serjk** » Чт май 23, 2013 09:35

Обещали, в RC3 сделаем.

Так же будут:

- поддержка IPv6 в RADIUS
- поддержка URFA соединений по IPv6
- поддержка Hotspot через RADIUS (например связка с Mikrotik)
- исправления найденных проблем

adeep · Сообщение **adeep** » Пн июн 03, 2013 15:08

Когда ждать RC3?

serjk · Сообщение **serjk** » Пн июн 03, 2013 15:23

Сегодня собираем

Hawk128

Попробовал сегодня завернуть на тестовый сервак нетфлоу v9 из ng_netflow.

UTM его брать отказался.

Код: Выделить всё

ERROR &#58; Jun 04 19&#58;22&#58;52 b4af9b40 NetFlowV9Parser&#58; unable to put 4 data bytes into 2-byte field

serjk · Сообщение **serjk** » Ср июн 05, 2013 09:05

Сдампить пакет сможете?

Причина в настрйках циски, одно из полей netflow записи имеет размер больший, чем предусмотрено биллингом (в nf9 многие поля имеют переменную длину). Предположительно в Вашем случае дело в номере автономной системы (т.е. он имеет длину 4 байта, а не два). Если приведете распечатку пакета, сможем исправить.

upd извините, пропустил про ng_netflow