https://slinkov.ru/openforum/vsluhforumID6/14239.html У нас имеется Ethernet сетка городского масштаба. Клиенты подключаются к интернету через PPTP. В качестве VPN шлюза - Cisco (точно модель не напишу, ибо возможно она поменяется скоро, один из возможных вариантов - AS5350).<br><br>В последнее время участились жалобы от клиентов о том, что кто-то подключался по PPTP под их логином и паролем, причем жалуются обычно через несколько дней после подключения. Понятное дело, что это проблема клиента следить за своими паролями, но тем не менее это не значит, что искать злоумышленника не нужно. <br>Естественно, что искать можно только на основании логов аккаунтинга и авторизации, поступающих на Radius-сервер. А вот в нем какраз и нехватает самого важного компонента для этого: IP-адреса, с которого устанавливается PPTP соединение. Циска этот адрес знает (sh vpdn session all: "Internet Address is"), но отдавать его радиусу не спешит.<br>Уже перерыл все, что можно, но не нашел ни атрибута радиуса для этого, ни даже описания как это можно было-бы сделать через TCL (такое чувство, https://slinkov.ru/openforum/vsluhforumID6/14239.html#10 Tue, 01 Jul 2008 05:43:16 GMT &gt;Ну как, нашли какое нибудь решение? На c2800nm-advipservicesk9-mz.124-15.T4 тоже не выходит выдрать <br>&gt;Calling-IP-Address :( <br><br>sh ver<br>Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(17), RELEASE SOFTWARE (fc1)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2007 by Cisco Systems, Inc.<br>Compiled Fri 07-Sep-07 16:45 by prod_rel_team<br><br>В атрибутах присылает:<br><br> Tunnel-Medium-Type:0 = IP<br> Tunnel-Server-Endpoint:0 = "172.17.21.254"<br> Acct-Tunnel-Client-Endpoint:0 = "172.17.21.207"<br> Tunnel-Assignment-Id:0 = "PPTP"<br> Framed-Protocol = PPP<br>Насколько я понимаю Acct-Tunnel-Client-Endpoin - это и есть то что вы хотите увидеть?<br> https://slinkov.ru/openforum/vsluhforumID6/14239.html#9 Tue, 01 Jul 2008 01:14:22 GMT Ну как, нашли какое нибудь решение? На c2800nm-advipservicesk9-mz.124-15.T4 тоже не выходит выдрать Calling-IP-Address :(<br> https://slinkov.ru/openforum/vsluhforumID6/14239.html#8 Mon, 20 Aug 2007 07:43:13 GMT стукни в icq - 209611, так быстрее будет<br><br> https://slinkov.ru/openforum/vsluhforumID6/14239.html#7 Mon, 20 Aug 2007 06:12:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Это ип NAS-а... К ИПу клиента он отношения не имеет.<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; &gt;если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них &gt;&gt;клиента, другой<br>&gt;&gt;&gt; &gt;по идее цисковский)<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; А эти атрибуты насколько я помню используются в войсе... У меня они ни при авторизации &gt;&gt;ни при аккаунтинге не передаются. По логике вещей они конечно могут содержать нужные &gt;&gt;данные, но у меня они не передаются - возможно в циске чего-то настроить нада?<br>&gt;<br>&gt;IP клиента, тот что на сетевой прописан или тот который выдаст циска <br>&gt;из пула или статически? <br><br>тот, который циска выдаст меня не интересует. Тот что на сетевой у клиента прописан (или по DHCP получен)<br><br>&gt;у меня cisco7140+FreeRADIUS <br>&gt;Без дополнительных пинаний радиус показал %{NAS-IP-Address} - ип на сетевой с которой <br>&gt;идет подключение, %{Framed-IP-Address} или %{Client-IP-Address} хранит в себе адресс выданый циской, <br>&gt;попробуй проверь... <br><br>NAS-IP-Address - я конечно получаю<br>Framed-Ip-Address - тоже полу https://slinkov.ru/openforum/vsluhforumID6/14239.html#6 Mon, 20 Aug 2007 06:05:32 GMT &gt;&gt; &gt;Freeradius:<br>&gt;&gt; &gt;%{NAS-IP-Address} - IP<br>&gt;&gt;<br>&gt;&gt; Это ип NAS-а... К ИПу клиента он отношения не имеет.<br>&gt;&gt;<br>&gt;&gt; &gt;если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них &gt;&gt;клиента, другой<br>&gt;&gt; &gt;по идее цисковский)<br>&gt;&gt;<br>&gt;&gt; А эти атрибуты насколько я помню используются в войсе... У меня они ни при авторизации &gt;&gt;ни при аккаунтинге не передаются. По логике вещей они конечно могут содержать нужные &gt;&gt;данные, но у меня они не передаются - возможно в циске чего-то настроить нада?<br><br>IP клиента, тот что на сетевой прописан или тот который выдаст циска из пула или статически?<br>у меня cisco7140+FreeRADIUS<br>Без дополнительных пинаний радиус показал %{NAS-IP-Address} - ип на сетевой с которой идет подключение, %{Framed-IP-Address} или %{Client-IP-Address} хранит в себе адресс выданый циской, попробуй проверь...<br>Еще глянь может в конфиге циски radius-server attribute может принимать значения 4 или 8 там, не помню.<br>По крайней мере атрибут Calling Station ID, циска стала отсылать толь https://slinkov.ru/openforum/vsluhforumID6/14239.html#5 Mon, 20 Aug 2007 05:51:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;"не кашерно". Да и короткие коннекты можно упустить. <br>&gt;&gt;Неужели я один такой и больше никто с этим не сталкивался? Я <br>&gt;&gt;понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, <br>&gt;&gt;токо возможно искать надо не Ip-адрес, а MAC-адрес. <br>&gt;<br>&gt;На cisco2821 <br>&gt;Tunnel-Server-Endpoint:0 = "192.168.12.254" - адрес кошки <br>&gt;Acct-Tunnel-Client-Endpoint:0 = "192.168.25.21" - адрес клиета <br>&gt;Может это не кошка неотсылает, а радиус непринимает/непонимает/необрабатывает? <br>&gt;Поглядите снифером содержимое пакета. <br><br>а вот авторизация:<br>tcpdump: listening on fxp1<br>08:45:11.464341 [NAS-IP].1812 &gt; [Radius-IP].1812: rad-access-req 106 [id 16] Attr[ NAS_ipaddr{[NAS-IP]} NAS_port{38} Vendor_specific{......Virtual-Access38} NAS_port_type{Virtual} User{[username]} Pass Service_type{Framed} Framed_proto{PPP} ]<br><br>никаких туннелей нету :-(<br> https://slinkov.ru/openforum/vsluhforumID6/14239.html#4 Mon, 20 Aug 2007 05:42:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;"не кашерно". Да и короткие коннекты можно упустить. <br>&gt;&gt;Неужели я один такой и больше никто с этим не сталкивался? Я <br>&gt;&gt;понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, <br>&gt;&gt;токо возможно искать надо не Ip-адрес, а MAC-адрес. <br>&gt;<br>&gt;На cisco2821 <br>&gt;Tunnel-Server-Endpoint:0 = "192.168.12.254" - адрес кошки <br>&gt;Acct-Tunnel-Client-Endpoint:0 = "192.168.25.21" - адрес клиета <br>&gt;Может это не кошка неотсылает, а радиус непринимает/непонимает/необрабатывает? <br>&gt;Поглядите снифером содержимое пакета. <br><br>Да нет, должен радиус знать эти аттрибуты. У него в dictionary они есть:<br><br>ATTRIBUTE Acct-Tunnel-Client-Endpoint 66 string<br>ATTRIBUTE Tunnel-Server-Endpoint 67 string<br><br>Да и неизвестные аттрибуты он насколько я помню всеравно в detail пишет, только имена у них не определяет.<br><br>Вот кусок tcpdump для Alive пакета (их быстрее всего поймать):<br>tcpdump: listening on fxp1<br>08:39:48.077975 [NAS-IP].1813 &gt; [Radius-IP].1813: rad-account-r https://slinkov.ru/openforum/vsluhforumID6/14239.html#3 Mon, 20 Aug 2007 05:29:47 GMT &gt;[оверквотинг удален]<br>&gt;Уже перерыл все, что можно, но не нашел ни атрибута радиуса для <br>&gt;этого, ни даже описания как это можно было-бы сделать через TCL <br>&gt;(такое чувство, что TCL в циске заточен исключительно под войс). Конечно <br>&gt;можно начать извращаться запуская с каким-то интервалом утилитки, которые через SNMP, <br>&gt;RSH и пр. будут выгребать с циски данные по IP-адресам всех <br>&gt;активных подключений и писать их в базу, но это как говорят: <br>&gt;"не кашерно". Да и короткие коннекты можно упустить. <br>&gt;Неужели я один такой и больше никто с этим не сталкивался? Я <br>&gt;понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, <br>&gt;токо возможно искать надо не Ip-адрес, а MAC-адрес. <br><br>На cisco2821 <br>Tunnel-Server-Endpoint:0 = "192.168.12.254" - адрес кошки<br>Acct-Tunnel-Client-Endpoint:0 = "192.168.25.21" - адрес клиета<br>Может это не кошка неотсылает, а радиус непринимает/непонимает/необрабатывает?<br>Поглядите снифером содержимое пакета. <br><br><br><br> https://slinkov.ru/openforum/vsluhforumID6/14239.html#2 Mon, 20 Aug 2007 05:11:57 GMT &gt;Freeradius: <br>&gt;%{NAS-IP-Address} - IP <br><br>Это ип NAS-а... К ИПу клиента он отношения не имеет.<br><br>&gt;если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них клиента, другой <br>&gt;по идее цисковский) <br><br>А эти атрибуты насколько я помню используются в войсе... У меня они ни при авторизации ни при аккаунтинге не передаются. По логике вещей они конечно могут содержать нужные данные, но у меня они не передаются - возможно в циске чего-то настроить нада?<br><br><br>