URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17564
[ Назад ]

Исходное сообщение
"запрет приема ИП от клинта"

Отправлено Димыч , 12-Ноя-08 13:22 
.. а вот еще подскажите
есть 72хх циска, есть на ней иос 122-31.sb6
пптп сервер, авторизвция на радиус
ип клиентам раздает радиус.
но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
как запретить ?

Содержание

Сообщения в этом обсуждении
"запрет приема ИП от клинта"
Отправлено CrAzOiD , 12-Ноя-08 13:30 
>.. а вот еще подскажите
>есть 72хх циска, есть на ней иос 122-31.sb6
>пптп сервер, авторизвция на радиус
>ип клиентам раздает радиус.
>но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
>
>как запретить ?

Динамический ACL в котором пермит только на выдаваемый IP, все остальное запретить.


"запрет приема ИП от клинта"
Отправлено Димыч , 12-Ноя-08 15:53 
>Динамический ACL в котором пермит только на выдаваемый IP, все остальное запретить.

оппа
однако есть 2821 с более свежим иос, там " по-умолчанию " клиент не может выставить себе адрес, только назначается.



"запрет приема ИП от клинта"
Отправлено nikl , 12-Ноя-08 19:00 
>.. а вот еще подскажите
>есть 72хх циска, есть на ней иос 122-31.sb6
>пптп сервер, авторизвция на радиус
>ип клиентам раздает радиус.
>но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
>
>как запретить ?

покажите sh run interface virtual-template <номер>


"запрет приема ИП от клинта"
Отправлено Димыч , 13-Ноя-08 00:47 
>покажите sh run interface virtual-template <номер>

interface Virtual-Template1
ip unnumbered Loopback0
no ip proxy-arp
ip flow egress
no logging event link-status
no peer default ip address
ppp authentication ms-chap-v2 ms-chap chap
end



"запрет приема ИП от клинта"
Отправлено nikl , 13-Ноя-08 09:06 
>>покажите sh run interface virtual-template <номер>
>
>interface Virtual-Template1
> ip unnumbered Loopback0
> no ip proxy-arp
> ip flow egress
> no logging event link-status
> no peer default ip address
> ppp authentication ms-chap-v2 ms-chap chap
>end

no ppp authentication ms-chap-v2 ms-chap chap
ppp authentication chap


"запрет приема ИП от клинта"
Отправлено Димыч , 13-Ноя-08 16:19 
>no ppp authentication ms-chap-v2 ms-chap chap
>ppp authentication chap

хм, но ведь нужен именно мс-чап-в.2
просто что удивило, в 2821 с иос 12.4.. что-то
нормально отрабатывает, то-есть если пользователь пытается подключится с уже выставленным ипом, то его отлупает.
конфиг точно такой-же.


"запрет приема ИП от клинта"
Отправлено Cyrill Malevanov , 14-Ноя-08 16:45 
>>no ppp authentication ms-chap-v2 ms-chap chap
>>ppp authentication chap
>
>хм, но ведь нужен именно мс-чап-в.2
>просто что удивило, в 2821 с иос 12.4.. что-то
>нормально отрабатывает, то-есть если пользователь пытается подключится с уже выставленным ипом, то
>его отлупает.
>конфиг точно такой-же.

ip verify unicast source reachable-via rx ?
отлупать не будет, но пакеты не пустит, по идее


"запрет приема ИП от клинта"
Отправлено Димыч , 15-Ноя-08 02:11 
>ip verify unicast source reachable-via rx ?
>отлупать не будет, но пакеты не пустит, по идее

попрбовал, ничего не отлупает.
в общем поставил 12.4 и сия проблема решилась.. правда незнаю как она с надежностью/глюками..



"запрет приема ИП от клинта"
Отправлено nitalaut , 15-Ноя-08 21:50 
правильный вариант - указать в конфиге virtual-template
peer ip address forced

>.. а вот еще подскажите
>есть 72хх циска, есть на ней иос 122-31.sb6
>пптп сервер, авторизвция на радиус
>ип клиентам раздает радиус.
>но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
>
>как запретить ?