URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14751
[ Назад ]

Исходное сообщение
"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 26-Окт-07 14:17

Стоит cisco 3620.
На ней терминируются и dialup-пользователи и pptp-пользователи.
Для авторизации по логину/паролю cisco обращается в радиус на линукс-сервере.
Радиусом же определяется из какого диапазона ip-адресов надо выдать ip-адрес авторизующемуся клиенту.
Для диалап-клиентов:
Reply Item: Framed-IP-Address ххх.ххх.191.33+
Для pptp-клиентов:
Reply Item: Framed-IP-Address ххх.ххх.191.49+
Если радиус дает ххх.ххх.191.33+, то раздаются адреса с ххх.ххх.191.34 и далее. А на сколько далее? Как это задается? Сейчас получается, что два разных пользователя (один dialup, а другой pptp) запросто получают один и тот же ip-адрес. Почему?
На cisco 3620 никаких ip local pool нет.

Содержание

CISCO 3620 - авторизация dialup & pptp ,ShyLion, 14:21 , 26-Окт-07
- CISCO 3620 - авторизация dialup & pptp ,Andrei_V, 15:15 , 26-Окт-07
  - CISCO 3620 - авторизация dialup & pptp ,ShyLion, 12:46 , 27-Окт-07
    - CISCO 3620 - авторизация dialup & pptp ,Andrei_V, 10:00 , 28-Окт-07
      - CISCO 3620 - авторизация dialup & pptp ,ShyLion, 07:05 , 29-Окт-07
        
        CISCO 3620 - авторизация dialup & pptp ,Andrei_V, 07:35 , 29-Окт-07
        CISCO 3620 - авторизация dialup & pptp ,Andrei_V, 07:07 , 30-Окт-07
        
        CISCO 3620 - авторизация dialup & pptp ,ShyLion, 10:14 , 30-Окт-07
        
        CISCO 3620 - авторизация dialup & pptp ,Andrei_V, 11:54 , 30-Окт-07
        
        CISCO 3620 - авторизация dialup & pptp ,ShyLion, 12:49 , 30-Окт-07
        
        CISCO 3620 - авторизация dialup & pptp ,Andrei_V, 08:13 , 15-Фев-08

Сообщения в этом обсуждении

"CISCO 3620 - авторизация dialup & pptp "
Отправлено ShyLion , 26-Окт-07 14:21

>На cisco 3620 никаких ip local pool нет.
что мешает сделать?
читай доки к радиусу.

"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 26-Окт-07 15:15

>>На cisco 3620 никаких ip local pool нет.
>
>что мешает сделать?
>читай доки к радиусу.
Пришлось сделать их на циске:
ip local pool dial ххх.ххх.191.33 ххх.ххх.191.48
ip local pool pptp ххх.ххх.191.49 ххх.ххх.191.62
Ну и навесить для каждого теплейта:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin
!
interface Group-Async0
ip unnumbered FastEthernet1/0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
encapsulation ppp
no logging event link-status
autodetect encapsulation ppp
async mode interactive
peer default ip address pool dial
ppp authentication pap callin
group-range 1 30
А из радиуса вообще убрать указанный reply item на фиг!
Вот тогда заработало как надо. :)

"CISCO 3620 - авторизация dialup & pptp "
Отправлено ShyLion , 27-Окт-07 12:46

>А из радиуса вообще убрать указанный reply item на фиг!
>Вот тогда заработало как надо. :)
В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так и имени пула адресов и киса оба способа поддерживает.
Так что это вопрос не о конфигурации кисы а о конкретной реализации сервера авторизации.

"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 28-Окт-07 10:00

>>А из радиуса вообще убрать указанный reply item на фиг!
>>Вот тогда заработало как надо. :)
>
>В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так
>и имени пула адресов и киса оба способа поддерживает.
>Так что это вопрос не о конфигурации кисы а о конкретной реализации
>сервера авторизации.
Оказалось, что если есть и ip local pool на циске, и reply item в радиусе, что приоритетней является атрибут радиуса. При этом циска уже не проверяет кому и какие адреса выданы. В результате и получается, что могут быть два абонента с одинаковыми ip-адресами.
Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.

"CISCO 3620 - авторизация dialup & pptp "
Отправлено ShyLion , 29-Окт-07 07:05

>Оказалось, что если есть и ip local pool на циске, и reply
>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>уже не проверяет кому и какие адреса выданы. В результате и
>получается, что могут быть два абонента с одинаковыми ip-адресами.
>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
Это если радиус конкретный адрес выдает. А если имя пула, то все ок.

"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 29-Окт-07 07:35

>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок.
Радиус выдавал по reply item, например: Framed-IP-Address: xxx.xxx.191.33+
Т.е. начиная с xxx.xxx.191.34. Но непонятно как надо было в радиусе поставить ограничение: выдавать с xxx.xxx.191.34 по с xxx.xxx.191.63.

"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 30-Окт-07 07:07

>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок.
А как радиусом сообщить кошке из какого пула надо выдать ip?
Cisco-IP-Pool-Definition ?

"CISCO 3620 - авторизация dialup & pptp "
Отправлено ShyLion , 30-Окт-07 10:14

>А как радиусом сообщить кошке из какого пула надо выдать ip?
>Cisco-IP-Pool-Definition ?
Cisco-AVPair =3D "ip:addr-pool=pool_name"

"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 30-Окт-07 11:54

>>А как радиусом сообщить кошке из какого пула надо выдать ip?
>>Cisco-IP-Pool-Definition ?
>
>Cisco-AVPair =3D "ip:addr-pool=pool_name"
Наверное Cisco-AVPair ="ip:addr-pool=pool_name" ?
Тогда наверное из темплейта:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin
надо убрать строку "peer default ip address pool pptp" ?
Просто убрать?

"CISCO 3620 - авторизация dialup & pptp "
Отправлено ShyLion , 30-Окт-07 12:49

>надо убрать строку "peer default ip address pool pptp" ?
>Просто убрать?
как хош. если не убирать, то будет использоваться при отсутствии в ответе от радиуса. у радиуса больший приоритет.

"CISCO 3620 - авторизация dialup & pptp "
Отправлено Andrei_V , 15-Фев-08 08:13

>>надо убрать строку "peer default ip address pool pptp" ?
>>Просто убрать?
>
>как хош. если не убирать, то будет использоваться при отсутствии в ответе
>от радиуса. у радиуса больший приоритет.
А если в радиусе есть:
и Cisco-AVPair ip:addr-pool=pptp
и Framed-IP-Address ххх.ххх.191.44
причем пул адресов с именем pptp на циске не пересекается с адресом, указанным в Framed-IP-Address, то юзер вообще не может получить никакого адреса. :( А хочется, чтобы получал всегда один и тот же адрес (ххх.ххх.191.44).
Убрать Cisco-AVPair ip:addr-pool=pptp для этого клиента не получается по другим причинам.
Подскажете?