URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18454
[ Назад ]

Исходное сообщение
"выдавать IP-адрес по логину впн клиента"

Отправлено BLiN , 18-Мрт-09 10:27 
Добрый день, подскажите пожалуйста есть ли возможность на cisco 871 выдавать IP-адрес впн клиенту неважно pptp или ipsec на основании его логина. Типа как для группы назначается пул IP-адресов, только именно конкретный IP для определенного клиента. Пробовал создавать пулы в один адрес и назначать их группам, но во первых неудобно каждому клиенту заводить группу во вторых бывает что клиент отсоединился а циска почему то думает что адрес еще занят, и вообще не принимает соединение. Может кто нибудь решил этот вопрос с помощью авторизации на радиусе? У меня клиенты проходят AAA на радиусе, и я вижу что он в ответ отдает поле Framed-IP однако циска его не использует, и все равно выдает IP из пула назначенного этой группе. Помогите пожалуйста уже месяц бьюсь. Вот выдержки из конфига:
aaa new-model
!
!
aaa authentication login group1 local group radius
aaa authentication ppp default group radius local
aaa authorization network group1 local group radius
aaa accounting delay-start
aaa accounting network radac start-stop group radius
vpdn enable
!
vpdn-group PPTP_WIN
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
vpdn-group pppoe
crypto isakmp client configuration group group1
key key1
pool vpnpool
acl 199
save-password
crypto isakmp profile vpn1
   self-identity address
   match identity group group1
   client authentication list group1
   isakmp authorization list group1
   client configuration address respond
   accounting radac
   local-address FastEthernet4.1
!


Содержание

Сообщения в этом обсуждении
"выдавать IP-адрес по логину впн клиента"
Отправлено denp , 18-Мрт-09 11:21 
попробуйте удалить пул с циски.
ну и надо смотреть дебаги радиуса.
у нас такая схема реализована на фрирадиусе, все работает.

"выдавать IP-адрес по логину впн клиента"
Отправлено BLiN , 18-Мрт-09 12:12 
>попробуйте удалить пул с циски.
>ну и надо смотреть дебаги радиуса.
>у нас такая схема реализована на фрирадиусе, все работает.

Пробывал, тогда вообще не подключается, вы не могли бы выложить конфиг, связанный с радиусом, и второй момент какое поле с радиуса вы отдаете циске? Framed-IP или какую то пару Cisco-AV pair?



"выдавать IP-адрес по логину впн клиента"
Отправлено denp , 18-Мрт-09 16:27 
отправил свои контакты вам на мыло

"выдавать IP-адрес по логину впн клиента"
Отправлено Alexander Yakimenko , 18-Мрт-09 20:08 
Cisco-router позволяет выдать определенный атрибут без использования внешнего tacacs/radius-сервера.

Вот пример из конфига, локальному пользователю отдается необходимый IP-адрес.

aaa attribute list raidervpn_ip
attribute type addr 192.168.168.230 service ppp protocol ip
Так создаем список атрибутов.

username raidervpn password XXXX
Это локальный пользователь.

username raidervpn aaa attribute list raidervpn_ip
Это привязка списка атрибутов к пользователю.

Атрибуты можно отдать практически любые.

---
Удачи!


"выдавать IP-адрес по логину впн клиента"
Отправлено BLiN , 19-Мрт-09 10:17 
>[оверквотинг удален]
>username raidervpn password XXXX
>Это локальный пользователь.
>
>username raidervpn aaa attribute list raidervpn_ip
>Это привязка списка атрибутов к пользователю.
>
>Атрибуты можно отдать практически любые.
>
>---
>Удачи!

Вот спасибо! хотя б так а дальше на радиусе реализую.


"выдавать IP-адрес по логину впн клиента"
Отправлено BLiN , 19-Мрт-09 12:18 
Вобщем опять уперся в стену :(
Даже локальный ААА сервер не помогает. Рыская по мануалам как то напал на такую фразу:
someRADIUS attributes no longer appear on the Group Setup page. This is because IP pools and Callback supersede the following attributes:
8, Framed-IP-Address
19, Callback-Number
218, Ascend-Assign-IP-Pool
Additionally, these attributes cannot be set via database synchronization.
8 - это именно атрибут addr - который циска ни в какую не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если создавать его в локальном ААА сервере получается следующее:
altera(config)#aaa attribute list pptp_list
altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
При этом в списке доступных атрибутов он есть, и любой другой кроме этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.


"выдавать IP-адрес по логину впн клиента"
Отправлено shutdown now , 19-Мрт-09 23:44 
>[оверквотинг удален]
>8 - это именно атрибут addr - который циска ни в какую
>не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если
>создавать его в локальном ААА сервере получается следующее:
>altera(config)#aaa attribute list pptp_list
>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
>
>При этом в списке доступных атрибутов он есть, и любой другой кроме
>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>

http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет


"выдавать IP-адрес по логину впн клиента"
Отправлено BLiN , 25-Мрт-09 16:36 
>[оверквотинг удален]
>>создавать его в локальном ААА сервере получается следующее:
>>altera(config)#aaa attribute list pptp_list
>>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
>>
>>При этом в списке доступных атрибутов он есть, и любой другой кроме
>>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>>
>
>http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет

Спасибо большое, ссылка очень помогла, через локальный ААА заработало, проблема была не в той прошивке, также заработало через циско ACS, теперь буду пробывать через радиус.



"выдавать IP-адрес по логину впн клиента"
Отправлено BLiN , 20-Мрт-09 12:06 
>[оверквотинг удален]
>8 - это именно атрибут addr - который циска ни в какую
>не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если
>создавать его в локальном ААА сервере получается следующее:
>altera(config)#aaa attribute list pptp_list
>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
>
>При этом в списке доступных атрибутов он есть, и любой другой кроме
>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>

Вобщем на другом иосе прокатила команда буду пробовать, спасибо!


"выдавать IP-адрес по логину впн клиента"
Отправлено BLiN , 19-Мрт-09 18:15 
>отправил свои контакты вам на мыло

К сожалению ничего не пришло :(


"выдавать IP-адрес по логину впн клиента"
Отправлено denp , 19-Мрт-09 18:43 
>>отправил свои контакты вам на мыло
>
>К сожалению ничего не пришло :(

странно, тогда отправьте Вы мне свои


"выдавать IP-адрес по логину впн клиента"
Отправлено denp , 20-Мрт-09 10:26 
часть конфига:

user Auth-Type := MS-CHAP, User-Password == "qwerty"
        Framed-Protocol = PPP,
        Framed-IP-Address = 10.5.20.2,
        Framed-IP-Netmask = 255.255.255.255, Framed-Route := "10.2.1.0/24 10.5.20.2 1"