The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"как прописать два радиус-сервера в кошке ?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"как прописать два радиус-сервера в кошке ?"  
Сообщение от redmoon email(??) on 29-Ноя-06, 10:01 
Всем зрасте.
интересует вот такой вопрос:
есть cisco2621.
на ней поднят pppoe-сервер, на него ходят пользователи, их логины и пароли отправляются в радиус на удаленном linux, если да - то они идут в интернет, если нет - то не идут.
стала задача - сделать на киске кроме пппое сервера еще и vpn-сервер. Ну сказано-сделано.
Но проблема состоит в том что пользователи, идущие в впн, авторизовываются через радиус-сервер, предназначенный для pppoe-шников, как такого избежать? ниже конфиг:

!
!
....
aaa new-model
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update newinfo periodic 1
aaa accounting network default start-stop group radius
aaa session-id common
!
{не знаю зачем это, но прочитал здесь на форуме, что это нужно для работы pppoe, так и сделал}
...
vpdn enable {как я понимаю - включаем поддержку туннелей, без этого не будет работать пппое и впн}
!
......
!
!
vpdn-group 1 {группа, созданная для pppoe-шников}
accept-dialin
  protocol pppoe
  virtual-template 1
!
!
!
vpdn-group 2 {группа для vpn-щиков}
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 2
!
!
interface Virtual-Template1 {темплайт для пппое-шников}
mtu 1492
ip unnumbered FastEthernet0/0.1
ip access-group fast_eth_0_1_in in
ip access-group fast_eth_0_1_out out
ip accounting output-packets
ip nat inside
ppp authentication chap pap ms-chap
!
interface Virtual-Template2 {темплайт для впн-щиков}
description VPN-Server
mtu 1378
ip unnumbered FastEthernet0/0.1
ip access-group fast_eth_0_1_in in
ip access-group fast_eth_0_1_out out
ip accounting output-packets
ip nat inside
ppp authentication chap pap ms-chap ms-chap-v2
!
!
radius-server host 192.168.11.2 auth-port 1812 acct-port 1813 {собственно, работающий радиус}
radius-server key 7 062023187C6F3A2A
radius-server authorization permit missing Service-Type
!
вот такой у меня конфиг.
только блин и пппое-ники и впн-щики идут авторизовываться в этот один радиус.
а мне нужно что бы этот, выше описанный радиус был только для пппоешников, а для впн-щиков другой радиус, который уже настроен и ждет своего часа.
ЗЫ просьба сильно не пинать, цискам только учусь, НО с очень большим энтузиазмом.
просто в навигации по cisco.com - нифига не разобрался.
Подскажите если не сложно.
Заранее спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "как прописать два радиус-сервера в кошке ?"  
Сообщение от vorch on 29-Ноя-06, 10:40 
Думается мне, что копать вам надо не циску, а радиус. Возможность задания в конфиге циски двух радиус-серверов предназанчена только для бэкапа. Следовательно до второго радиус-сервера запрос может дойти только в том случае, когда первый перестанет отвечать.
С другой стороны возможности радиуса позволяют организовывать сколь угодно гибкие схемы. Так можно настроить радиус как прокси-радиус для определенных пользователей, тогда он просто будет отправлять запрос на авторизацию соответствующему радиус-серверу, а потом передавать ответ NAS'у. Где-то я встречал описание классического примера, когда два провайдера устанавливают партнерские отношения и пользователь одного провайдера может авторизоваться в сети второго провайдера - реализовано именно через настроку режима прокси.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "как прописать два радиус-сервера в кошке ?"  
Сообщение от redmoon email(??) on 29-Ноя-06, 10:53 
>Думается мне, что копать вам надо не циску, а радиус. Возможность задания
>в конфиге циски двух радиус-серверов предназанчена только для бэкапа. Следовательно до
>второго радиус-сервера запрос может дойти только в том случае, когда первый
>перестанет отвечать.
>С другой стороны возможности радиуса позволяют организовывать сколь угодно гибкие схемы. Так
>можно настроить радиус как прокси-радиус для определенных пользователей, тогда он просто
>будет отправлять запрос на авторизацию соответствующему радиус-серверу, а потом передавать ответ
>NAS'у. Где-то я встречал описание классического примера, когда два провайдера устанавливают
>партнерские отношения и пользователь одного провайдера может авторизоваться в сети второго
>провайдера - реализовано именно через настроку режима прокси.


да, действительно,спасибо. полистал форум .. все говорят - что этого нельзя добиться.
печально, а так хотелось .. а вы не пробовали поиграться с aaa group server radius <group name> ?
нашел здесь же в форуме.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "как прописать два радиус-сервера в кошке ?"  
Сообщение от silencer email(ok) on 29-Ноя-06, 10:56 
Делаешь две группы серверов на циске

aaa group server radius <имя 1-ой группы>
server ...
!
aaa group server radius <имя 2-ой группы>
server ...
!

aaa authentication ppp <list1> group <имя 1-ой группы>
aaa authentication ppp <list2> group <имя 2-ой группы>
! аналогично для авторизации и аккаунтинга
!

interface Virtual-Template1
  ppp authentication chap pap ms-chap <list1>
!
interface Virtual-Template2
  ppp authentication chap pap ms-chap ms-chap-v2 <list2>
!

По крайней мере с такаксом такое проходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "как прописать два радиус-сервера в кошке ?"  
Сообщение от Lacunacoil email(ok) on 29-Ноя-06, 10:59 
>Делаешь две группы серверов на циске
>
>aaa group server radius <имя 1-ой группы>
> server ...
>!
>aaa group server radius <имя 2-ой группы>
> server ...
>!
>
>aaa authentication ppp <list1> group <имя 1-ой группы>
>aaa authentication ppp <list2> group <имя 2-ой группы>
>! аналогично для авторизации и аккаунтинга
>!
>
>interface Virtual-Template1
>  ppp authentication chap pap ms-chap <list1>
>!
>interface Virtual-Template2
>  ppp authentication chap pap ms-chap ms-chap-v2 <list2>
>!
Люблю этот форум, хотел написать человеку тоже самое, но пока залогинелся...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "как прописать два радиус-сервера в кошке ?"  
Сообщение от redmoon email(??) on 29-Ноя-06, 11:01 
>>Делаешь две группы серверов на циске
>>
>>aaa group server radius <имя 1-ой группы>
>> server ...
>>!
>>aaa group server radius <имя 2-ой группы>
>> server ...
>>!
>>
>>aaa authentication ppp <list1> group <имя 1-ой группы>
>>aaa authentication ppp <list2> group <имя 2-ой группы>
>>! аналогично для авторизации и аккаунтинга
>>!
>>
>>interface Virtual-Template1
>>  ppp authentication chap pap ms-chap <list1>
>>!
>>interface Virtual-Template2
>>  ppp authentication chap pap ms-chap ms-chap-v2 <list2>
>>!
>Люблю этот форум, хотел написать человеку тоже самое, но пока залогинелся...


спасибо мужики.
а вы как тогда прокомментируете, что мол у циски не может быть два радиуса, только как один основной второй как резервный . - или это не так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "как прописать два радиус-сервера в кошке ?"  
Сообщение от redmoon email(??) on 29-Ноя-06, 11:08 
а ничего не произойдет опасного связанного с тем что у меня не два пппое, а один пппое и один впн ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "как прописать два радиус-сервера в кошке ?"  
Сообщение от silencer email(ok) on 29-Ноя-06, 11:22 
>а ничего не произойдет опасного связанного с тем что у меня не
>два пппое, а один пппое и один впн ?
Да нет, они же у тебя на разные темплейты биндятся...

А вот переход лучше продумать...
Я бы сначала сделал первую группу, занес в нее существующий сервер, потом создал ааа-листы под нее, потом перебросил темплейт пппое-шный на эти листы...
А потом уже не спеша занимался бы второй группой

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "как прописать два радиус-сервера в кошке ?"  
Сообщение от silencer email(ok) on 29-Ноя-06, 11:16 
>спасибо мужики.
>а вы как тогда прокомментируете, что мол у циски не может быть
>два радиуса, только как один основной второй как резервный . -
>или это не так?
Я так себе это понимаю:
Если у тебя в одной группе 2 сервера, то циска не сможет балансировать запросы на два сервера. Все запросы пойдут на первый сервер в группе, а в случае его падения - на второй.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "как прописать два радиус-сервера в кошке ?"  
Сообщение от redmoon email(??) on 29-Ноя-06, 11:25 
>>спасибо мужики.
>>а вы как тогда прокомментируете, что мол у циски не может быть
>>два радиуса, только как один основной второй как резервный . -
>>или это не так?
>Я так себе это понимаю:
>Если у тебя в одной группе 2 сервера, то циска не сможет
>балансировать запросы на два сервера. Все запросы пойдут на первый сервер
>в группе, а в случае его падения - на второй
короче так :) юзеры в 18-00 по москве пойдут домой :))
вот тогда и будем играться :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "как прописать два радиус-сервера в кошке ?"  
Сообщение от Krivoy email(ok) on 05-Дек-06, 15:23 
  Простите насквозь что вклиниваюсь, но из поиска по форуму сделал вывод что авторизация на втором радиусе происходит только тогда когда первый именно не ответил и если первый ответил status = FAIL попытка авторизации через второй НЕ производится???
И всё же я попробовал по варианту
http://www.opennet.me/openforum/vsluhforumID6/3276.html
и по варианту что оба радиус-сервера находятся в одной группе - результат в обоих случаях отрицательный...... Успокоившись обломил руководство с вариантом одновременной работы....случайно....совершенно сслучайно....
sh deb aaa authe
term mon
и в логах ИНОГДА (именно ИНОГДА!!!) одного и того же пользователя циска всё-таки пытается лезть на второй хотя первый как обычно ответил status = FAIL. С чем это может быть связано? Cisco 3620

Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): port='Virtual-Access42' list='' action=LOGIN service=PPP
Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): using "default" list
Dec  5 12:01:11.347 msk: AAA/AUTHEN (818555166): status = UNKNOWN
Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): Method=rad1 (radius)
Dec  5 12:01:13.379 msk: AAA/AUTHEN (818555166): status = FAIL
Dec  5 12:01:13.383 msk: AAA/MEMORY: free_user (0x62B5E910) user='maria2' ruser='NULL' port='Virtual-Access42' rem_addr='' authen_type=CHAP service=PPP priv=1
Dec  5 12:01:19.520 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to up
Dec  5 12:01:21.608 msk: AAA: parse name=Virtual-Access18 idb type=21 tty=-1
Dec  5 12:01:21.608 msk: AAA: name=Virtual-Access18 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=18 channel=0
Dec  5 12:01:21.608 msk: AAA: parse name=<no string> idb type=-1 tty=-1
Dec  5 12:01:21.612 msk: AAA/MEMORY: create_user (0x62B3C75C) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access18' rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): port='Virtual-Access18' list='' action=LOGIN service=PPP
Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): using "default" list
Dec  5 12:01:21.612 msk: AAA/AUTHEN (4077394215): status = UNKNOWN
Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): Method=rad1 (radius)
Dec  5 12:01:22.092 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to down
Dec  5 12:01:23.652 msk: AAA/AUTHEN (4077394215): status = FAIL
Dec  5 12:01:23.652 msk: AAA/AUTHEN/START (4077394215): Method=rad2 (radius)
Dec  5 12:01:23.712 msk: AAA/AUTHEN (4077394215): status = FAIL
Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): no methods left to try
Dec  5 12:01:23.716 msk: AAA/AUTHEN (4077394215): status = ERROR
Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): failed to authenticate
Dec  5 12:01:23.716 msk: AAA/MEMORY: free_user (0x62B3C75C) user='maria2' ruser='NULL' port='Virtual-Access18' rem_addr='' authen_type=CHAP service=PPP priv=1
Dec  5 12:01:27.388 msk: %LINK-3-UPDOWN: Interface Virtual-Access51, changed state to up
Dec  5 12:01:29.416 msk: AAA: parse name=Virtual-Access51 idb type=21 tty=-1
Dec  5 12:01:29.420 msk: AAA: name=Virtual-Access51 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=51 channel=0
Dec  5 12:01:29.420 msk: AAA: parse name=<no string> idb type=-1 tty=-1
Dec  5 12:01:29.420 msk: AAA/MEMORY: create_user (0x62B875A8) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access51' rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): port='Virtual-Access51' list='' action=LOGIN service=PPP
Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): using "default" list
Dec  5 12:01:29.424 msk: AAA/AUTHEN (1890588766): status = UNKNOWN
Dec  5 12:01:29.424 msk: AAA/AUTHEN/START (1890588766): Method=rad1 (radius)
Dec  5 12:01:31.460 msk: AAA/AUTHEN (1890588766): status = FAIL
Dec  5 12:01:31.464 msk: AAA/MEMORY: free_user (0x62B875A8) user='maria2' ruser='NULL' port='Virtual-Access51' rem_addr='' authen_type=CHAP service=PPP priv=1
Dec  5 12:01:32.588 msk: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
Dec  5 12:01:34.680 msk: AAA: parse name=Virtual-Access5 idb type=21 tty=-1
Dec  5 12:01:34.680 msk: AAA: name=Virtual-Access5 flags=0x11 t

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "как прописать два радиус-сервера в кошке ?"  
Сообщение от silencer email(ok) on 06-Дек-06, 10:30 
>  Простите насквозь что вклиниваюсь, но из поиска по форуму сделал
>вывод что авторизация на втором радиусе происходит только тогда когда первый
>именно не ответил и если первый ответил status = FAIL попытка
>авторизации через второй НЕ производится???
> И всё же я попробовал по варианту
> http://www.opennet.me/openforum/vsluhforumID6/3276.html
>и по варианту что оба радиус-сервера находятся в одной группе - результат
>в обоих случаях отрицательный...... Успокоившись обломил руководство с вариантом одновременной работы....случайно....совершенно
>сслучайно....
>sh deb aaa authe
>term mon
>и в логах ИНОГДА (именно ИНОГДА!!!) одного и того же пользователя циска
>всё-таки пытается лезть на второй хотя первый как обычно ответил status
>= FAIL. С чем это может быть связано? Cisco 3620
>
>Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): port='Virtual-Access42' list='' action=LOGIN service=PPP
>Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): using "default" list
>Dec  5 12:01:11.347 msk: AAA/AUTHEN (818555166): status = UNKNOWN
>Dec  5 12:01:11.347 msk: AAA/AUTHEN/START (818555166): Method=rad1 (radius)
>Dec  5 12:01:13.379 msk: AAA/AUTHEN (818555166): status = FAIL
>Dec  5 12:01:13.383 msk: AAA/MEMORY: free_user (0x62B5E910) user='maria2' ruser='NULL' port='Virtual-Access42' rem_addr=''
>authen_type=CHAP service=PPP priv=1
>Dec  5 12:01:19.520 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to up
>
>Dec  5 12:01:21.608 msk: AAA: parse name=Virtual-Access18 idb type=21 tty=-1
>Dec  5 12:01:21.608 msk: AAA: name=Virtual-Access18 flags=0x11 type=5 shelf=0 slot=0 adapter=0
>port=18 channel=0
>Dec  5 12:01:21.608 msk: AAA: parse name=<no string> idb type=-1 tty=-1
>Dec  5 12:01:21.612 msk: AAA/MEMORY: create_user (0x62B3C75C) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access18'
>rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
>Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): port='Virtual-Access18' list='' action=LOGIN service=PPP
>Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): using "default" list
>Dec  5 12:01:21.612 msk: AAA/AUTHEN (4077394215): status = UNKNOWN
>Dec  5 12:01:21.612 msk: AAA/AUTHEN/START (4077394215): Method=rad1 (radius)
>Dec  5 12:01:22.092 msk: %LINK-3-UPDOWN: Interface Virtual-Access18, changed state to down
>
>Dec  5 12:01:23.652 msk: AAA/AUTHEN (4077394215): status = FAIL
>Dec  5 12:01:23.652 msk: AAA/AUTHEN/START (4077394215): Method=rad2 (radius)
>Dec  5 12:01:23.712 msk: AAA/AUTHEN (4077394215): status = FAIL
>Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): no methods left to try
>
>Dec  5 12:01:23.716 msk: AAA/AUTHEN (4077394215): status = ERROR
>Dec  5 12:01:23.716 msk: AAA/AUTHEN/START (4077394215): failed to authenticate
>Dec  5 12:01:23.716 msk: AAA/MEMORY: free_user (0x62B3C75C) user='maria2' ruser='NULL' port='Virtual-Access18' rem_addr=''
>authen_type=CHAP service=PPP priv=1
>Dec  5 12:01:27.388 msk: %LINK-3-UPDOWN: Interface Virtual-Access51, changed state to up
>
>Dec  5 12:01:29.416 msk: AAA: parse name=Virtual-Access51 idb type=21 tty=-1
>Dec  5 12:01:29.420 msk: AAA: name=Virtual-Access51 flags=0x11 type=5 shelf=0 slot=0 adapter=0
>port=51 channel=0
>Dec  5 12:01:29.420 msk: AAA: parse name=<no string> idb type=-1 tty=-1
>Dec  5 12:01:29.420 msk: AAA/MEMORY: create_user (0x62B875A8) user='maria2' ruser='NULL' ds0=0 port='Virtual-Access51'
>rem_addr='' authen_type=CHAP service=PPP priv=1 initial_task_id='0'
>Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): port='Virtual-Access51' list='' action=LOGIN service=PPP
>Dec  5 12:01:29.420 msk: AAA/AUTHEN/START (1890588766): using "default" list
>Dec  5 12:01:29.424 msk: AAA/AUTHEN (1890588766): status = UNKNOWN
>Dec  5 12:01:29.424 msk: AAA/AUTHEN/START (1890588766): Method=rad1 (radius)
>Dec  5 12:01:31.460 msk: AAA/AUTHEN (1890588766): status = FAIL
>Dec  5 12:01:31.464 msk: AAA/MEMORY: free_user (0x62B875A8) user='maria2' ruser='NULL' port='Virtual-Access51' rem_addr=''
>authen_type=CHAP service=PPP priv=1
>Dec  5 12:01:32.588 msk: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
>
>Dec  5 12:01:34.680 msk: AAA: parse name=Virtual-Access5 idb type=21 tty=-1
>Dec  5 12:01:34.680 msk: AAA: name=Virtual-Access5 flags=0x11 t
>

Похоже на глюк какой-то.
Может это как-то связано с тем, что именно в этом случае виртуал-аксесс отваливается между отправкой запроса и получением ответа.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "как прописать два радиус-сервера в кошке ?"  
Сообщение от Krivoy email(ok) on 06-Дек-06, 11:45 
   Мне подсказали что действительно версия с глюком в иосе довольно реальна. Так что подобновлю ка я иос тем более что это не последний глюк с VPN(PPTP Mgmt)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру