Стоит cisco 3620.
На ней терминируются и dialup-пользователи и pptp-пользователи.
Для авторизации по логину/паролю cisco обращается в радиус на линукс-сервере.
Радиусом же определяется из какого диапазона ip-адресов надо выдать ip-адрес авторизующемуся клиенту.
Для диалап-клиентов:
Reply Item: Framed-IP-Address ххх.ххх.191.33+
Для pptp-клиентов:
Reply Item: Framed-IP-Address ххх.ххх.191.49+Если радиус дает ххх.ххх.191.33+, то раздаются адреса с ххх.ххх.191.34 и далее. А на сколько далее? Как это задается? Сейчас получается, что два разных пользователя (один dialup, а другой pptp) запросто получают один и тот же ip-адрес. Почему?
На cisco 3620 никаких ip local pool нет.
>На cisco 3620 никаких ip local pool нет.что мешает сделать?
читай доки к радиусу.
>>На cisco 3620 никаких ip local pool нет.
>
>что мешает сделать?
>читай доки к радиусу.Пришлось сделать их на циске:
ip local pool dial ххх.ххх.191.33 ххх.ххх.191.48
ip local pool pptp ххх.ххх.191.49 ххх.ххх.191.62Ну и навесить для каждого теплейта:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin
!
interface Group-Async0
ip unnumbered FastEthernet1/0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
encapsulation ppp
no logging event link-status
autodetect encapsulation ppp
async mode interactive
peer default ip address pool dial
ppp authentication pap callin
group-range 1 30А из радиуса вообще убрать указанный reply item на фиг!
Вот тогда заработало как надо. :)
>А из радиуса вообще убрать указанный reply item на фиг!
>Вот тогда заработало как надо. :)В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так и имени пула адресов и киса оба способа поддерживает.
Так что это вопрос не о конфигурации кисы а о конкретной реализации сервера авторизации.
>>А из радиуса вообще убрать указанный reply item на фиг!
>>Вот тогда заработало как надо. :)
>
>В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так
>и имени пула адресов и киса оба способа поддерживает.
>Так что это вопрос не о конфигурации кисы а о конкретной реализации
>сервера авторизации.Оказалось, что если есть и ip local pool на циске, и reply item в радиусе, что приоритетней является атрибут радиуса. При этом циска уже не проверяет кому и какие адреса выданы. В результате и получается, что могут быть два абонента с одинаковыми ip-адресами.
Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>Оказалось, что если есть и ip local pool на циске, и reply
>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>уже не проверяет кому и какие адреса выданы. В результате и
>получается, что могут быть два абонента с одинаковыми ip-адресами.
>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.Это если радиус конкретный адрес выдает. А если имя пула, то все ок.
>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок.Радиус выдавал по reply item, например: Framed-IP-Address: xxx.xxx.191.33+
Т.е. начиная с xxx.xxx.191.34. Но непонятно как надо было в радиусе поставить ограничение: выдавать с xxx.xxx.191.34 по с xxx.xxx.191.63.
>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок.А как радиусом сообщить кошке из какого пула надо выдать ip?
Cisco-IP-Pool-Definition ?
>А как радиусом сообщить кошке из какого пула надо выдать ip?
>Cisco-IP-Pool-Definition ?Cisco-AVPair =3D "ip:addr-pool=pool_name"
>>А как радиусом сообщить кошке из какого пула надо выдать ip?
>>Cisco-IP-Pool-Definition ?
>
>Cisco-AVPair =3D "ip:addr-pool=pool_name"Наверное Cisco-AVPair ="ip:addr-pool=pool_name" ?
Тогда наверное из темплейта:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callinнадо убрать строку "peer default ip address pool pptp" ?
Просто убрать?
>надо убрать строку "peer default ip address pool pptp" ?
>Просто убрать?как хош. если не убирать, то будет использоваться при отсутствии в ответе от радиуса. у радиуса больший приоритет.
>>надо убрать строку "peer default ip address pool pptp" ?
>>Просто убрать?
>
>как хош. если не убирать, то будет использоваться при отсутствии в ответе
>от радиуса. у радиуса больший приоритет.А если в радиусе есть:
и Cisco-AVPair ip:addr-pool=pptp
и Framed-IP-Address ххх.ххх.191.44
причем пул адресов с именем pptp на циске не пересекается с адресом, указанным в Framed-IP-Address, то юзер вообще не может получить никакого адреса. :( А хочется, чтобы получал всегда один и тот же адрес (ххх.ххх.191.44).
Убрать Cisco-AVPair ip:addr-pool=pptp для этого клиента не получается по другим причинам.
Подскажете?