Добрый день, подскажите пожалуйста есть ли возможность на cisco 871 выдавать IP-адрес впн клиенту неважно pptp или ipsec на основании его логина. Типа как для группы назначается пул IP-адресов, только именно конкретный IP для определенного клиента. Пробовал создавать пулы в один адрес и назначать их группам, но во первых неудобно каждому клиенту заводить группу во вторых бывает что клиент отсоединился а циска почему то думает что адрес еще занят, и вообще не принимает соединение. Может кто нибудь решил этот вопрос с помощью авторизации на радиусе? У меня клиенты проходят AAA на радиусе, и я вижу что он в ответ отдает поле Framed-IP однако циска его не использует, и все равно выдает IP из пула назначенного этой группе. Помогите пожалуйста уже месяц бьюсь. Вот выдержки из конфига:
aaa new-model
!
!
aaa authentication login group1 local group radius
aaa authentication ppp default group radius local
aaa authorization network group1 local group radius
aaa accounting delay-start
aaa accounting network radac start-stop group radius
vpdn enable
!
vpdn-group PPTP_WIN
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
vpdn-group pppoe
crypto isakmp client configuration group group1
key key1
pool vpnpool
acl 199
save-password
crypto isakmp profile vpn1
self-identity address
match identity group group1
client authentication list group1
isakmp authorization list group1
client configuration address respond
accounting radac
local-address FastEthernet4.1
!
попробуйте удалить пул с циски.
ну и надо смотреть дебаги радиуса.
у нас такая схема реализована на фрирадиусе, все работает.
>попробуйте удалить пул с циски.
>ну и надо смотреть дебаги радиуса.
>у нас такая схема реализована на фрирадиусе, все работает.Пробывал, тогда вообще не подключается, вы не могли бы выложить конфиг, связанный с радиусом, и второй момент какое поле с радиуса вы отдаете циске? Framed-IP или какую то пару Cisco-AV pair?
отправил свои контакты вам на мыло
Cisco-router позволяет выдать определенный атрибут без использования внешнего tacacs/radius-сервера.Вот пример из конфига, локальному пользователю отдается необходимый IP-адрес.
aaa attribute list raidervpn_ip
attribute type addr 192.168.168.230 service ppp protocol ip
Так создаем список атрибутов.username raidervpn password XXXX
Это локальный пользователь.username raidervpn aaa attribute list raidervpn_ip
Это привязка списка атрибутов к пользователю.Атрибуты можно отдать практически любые.
---
Удачи!
>[оверквотинг удален]
>username raidervpn password XXXX
>Это локальный пользователь.
>
>username raidervpn aaa attribute list raidervpn_ip
>Это привязка списка атрибутов к пользователю.
>
>Атрибуты можно отдать практически любые.
>
>---
>Удачи!Вот спасибо! хотя б так а дальше на радиусе реализую.
Вобщем опять уперся в стену :(
Даже локальный ААА сервер не помогает. Рыская по мануалам как то напал на такую фразу:
someRADIUS attributes no longer appear on the Group Setup page. This is because IP pools and Callback supersede the following attributes:
8, Framed-IP-Address
19, Callback-Number
218, Ascend-Assign-IP-Pool
Additionally, these attributes cannot be set via database synchronization.
8 - это именно атрибут addr - который циска ни в какую не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если создавать его в локальном ААА сервере получается следующее:
altera(config)#aaa attribute list pptp_list
altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip"
При этом в списке доступных атрибутов он есть, и любой другой кроме этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>[оверквотинг удален]
>8 - это именно атрибут addr - который циска ни в какую
>не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если
>создавать его в локальном ААА сервере получается следующее:
>altera(config)#aaa attribute list pptp_list
>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip"
>
>При этом в списке доступных атрибутов он есть, и любой другой кроме
>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет
>[оверквотинг удален]
>>создавать его в локальном ААА сервере получается следующее:
>>altera(config)#aaa attribute list pptp_list
>>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>>% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip"
>>
>>При этом в списке доступных атрибутов он есть, и любой другой кроме
>>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>>
>
>http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишетСпасибо большое, ссылка очень помогла, через локальный ААА заработало, проблема была не в той прошивке, также заработало через циско ACS, теперь буду пробывать через радиус.
>[оверквотинг удален]
>8 - это именно атрибут addr - который циска ни в какую
>не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если
>создавать его в локальном ААА сервере получается следующее:
>altera(config)#aaa attribute list pptp_list
>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip"
>
>При этом в списке доступных атрибутов он есть, и любой другой кроме
>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>Вобщем на другом иосе прокатила команда буду пробовать, спасибо!
>отправил свои контакты вам на мылоК сожалению ничего не пришло :(
>>отправил свои контакты вам на мыло
>
>К сожалению ничего не пришло :(странно, тогда отправьте Вы мне свои
часть конфига:user Auth-Type := MS-CHAP, User-Password == "qwerty"
Framed-Protocol = PPP,
Framed-IP-Address = 10.5.20.2,
Framed-IP-Netmask = 255.255.255.255, Framed-Route := "10.2.1.0/24 10.5.20.2 1"