форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Cisco 7206, RADIUS"

Сообщение от Begemot2 (ok) on 20-Мрт-07, 13:34

Всем привет. Есть сиска с двумя интерфейсами. Как передать в радиус при_авторизации в Access_Request еще хоть что-нибудь, шоб понять на какой из двух интервейсов зацепился клиент (внутренний или внешний) Приходит такое:        Framed-Protocol = PPP        User-Name = "test"        MS-CHAP-Challenge = ....        MS-CHAP-Response = .....        NAS-Port-Type = Virtual        Cisco-NAS-Port = "Uniq-Sess-ID248"        NAS-Port = 0        NAS-Port-Id = "Uniq-Sess-ID248"        Service-Type = Framed-User        NAS-IP-Address = 172.29.29.163        NAS-Identifier = "xxx.xxx" А из этого непонятно куда цеплялся... 172.29.29.163 - адрес NAS. С него на радиус-сервер идут запросы. Очень бы устроил вывод 66 и 67 атрибутов, которые успешно получаю в аккаунтинге. Tunnel-Server-Endpoint & Tunnel-Client-Endpoint Поможите!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Cisco 7206, RADIUS"

Сообщение от fantom (??) on 20-Мрт-07, 14:12

>Всем привет. > >Есть сиска с двумя интерфейсами. >Как передать в радиус при_авторизации в Access_Request >еще хоть что-нибудь, шоб понять на какой из двух интервейсов зацепился клиент >(внутренний или внешний) >Приходит такое: > >       Framed-Protocol = PPP >       User-Name = "test" >       MS-CHAP-Challenge = .... >       MS-CHAP-Response = ..... >       NAS-Port-Type = Virtual >       Cisco-NAS-Port = "Uniq-Sess-ID248" >       NAS-Port = 0 >       NAS-Port-Id = "Uniq-Sess-ID248" >       Service-Type = Framed-User >       NAS-IP-Address = 172.29.29.163 >       NAS-Identifier = "xxx.xxx" > >А из этого непонятно куда цеплялся... 172.29.29.163 - адрес NAS. С него >на радиус-сервер идут запросы. > >Очень бы устроил вывод 66 и 67 атрибутов, которые успешно получаю в >аккаунтинге. >Tunnel-Server-Endpoint & Tunnel-Client-Endpoint > >Поможите!!! radius-server attribute nas-port format ? И выбирай в каком формате.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco 7206, RADIUS"
	Сообщение от Begemot2 (ok) on 20-Мрт-07, 14:17
	>>Всем привет. >> >>Есть сиска с двумя интерфейсами. >>Как передать в радиус при_авторизации в Access_Request >>еще хоть что-нибудь, шоб понять на какой из двух интервейсов зацепился клиент >>(внутренний или внешний) >>Приходит такое: >> >>       Framed-Protocol = PPP >>       User-Name = "test" >>       MS-CHAP-Challenge = .... >>       MS-CHAP-Response = ..... >>       NAS-Port-Type = Virtual >>       Cisco-NAS-Port = "Uniq-Sess-ID248" >>       NAS-Port = 0 >>       NAS-Port-Id = "Uniq-Sess-ID248" >>       Service-Type = Framed-User >>       NAS-IP-Address = 172.29.29.163 >>       NAS-Identifier = "xxx.xxx" >> >>А из этого непонятно куда цеплялся... 172.29.29.163 - адрес NAS. С него >>на радиус-сервер идут запросы. >> >>Очень бы устроил вывод 66 и 67 атрибутов, которые успешно получаю в >>аккаунтинге. >>Tunnel-Server-Endpoint & Tunnel-Client-Endpoint >> >>Поможите!!! > >radius-server attribute nas-port format ? > >И выбирай в каком формате. А можно какой-нить любой пример. Все перепробовал
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco 7206, RADIUS"
	Сообщение от Begemot2 (ok) on 20-Мрт-07, 14:18
	Забыл сказать, что речь идет о PPTP соединениях
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco 7206, RADIUS"
	Сообщение от Begemot2 (??) on 20-Мрт-07, 22:00
	На циску можно залогиниться с помощью pptp (VPN) на два IP адреса, условно назовем: внешний и внутренний. Циска передает access_request на радиус-сервер. Очень надо передать в этом запросе хоть какой-нибудь намек, на то, что коннекция активирована внешним пользователем или внутренним. Поскольку соединение виртуальное и NAS-Port-Type = Virtual не получается получить NAS-Port отличный от нуля или просто тупо - порядкового номера соединения. Пожалуйста, помогите. Радиус-сервер - не проблема. Как сделать передачу "условного сигнала" с NAS-а? (коим является cisco 7206).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco 7206, RADIUS"
	Сообщение от fantom (??) on 21-Мрт-07, 11:26
	>На циску можно залогиниться с помощью pptp (VPN) на два IP адреса, >условно назовем: внешний и внутренний. Циска передает access_request на радиус-сервер. Очень >надо передать >в этом запросе хоть какой-нибудь намек, на то, что коннекция активирована внешним >пользователем или внутренним. Поскольку соединение виртуальное и NAS-Port-Type = Virtual >не получается получить NAS-Port отличный от нуля или просто тупо - порядкового >номера соединения. Пожалуйста, помогите. Радиус-сервер - не проблема. Как сделать передачу > >"условного сигнала" с NAS-а? (коим является cisco 7206). radius-server attribute nas-port format ?   a  Format is type, channel, port   b  Either interface(16) or isdn(16), async(16)   c  Data format(bits): shelf(2), slot(4), port(5), channel(5)   d  Data format(bits): slot(4), module(1), port(3), vpi(8), vci(16)   e  Configurable data format Идем на www.cisco.com http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008039caa3.html там есть таблица для формирования собственного формата (e) Пишешь в свой формат, что тебе надо присылать. Если мне память не изменяет, должна быть строка из 32-х символов, например Если верить табличке то что-то типа 000000000000000000000000000000iP должно присылать в наспорте порт и сабинтерфейс, хотя я этого там и неувидел :) Есть другой вариант Tunnel-Server-Endpoint - это IP на который коннектился pptp клиент. Acct-Tunnel-Client-Endpoint - это IP с которого коннектился pptp клиент.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Cisco 7206, RADIUS"
	Сообщение от Begemot2 (ok) on 21-Мрт-07, 12:04
	>radius-server attribute nas-port format ? >  a  Format is type, channel, port >  b  Either interface(16) or isdn(16), async(16) >  c  Data format(bits): shelf(2), slot(4), port(5), channel(5) >  d  Data format(bits): slot(4), module(1), port(3), vpi(8), vci(16) >  e  Configurable data format > Пробовал a,b,c,d - или 0 или 1,2,3,4,.... пробовал и e, но как я понял это лишь способ вызвать компоненты a,b,c,d в своем порядке и несколько новых. По поводу е - не все множество вариантов проверил. Может быть, есть у кого-нить реально работающее е ? >Идем на www.cisco.com >http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008039caa3.html > >там есть таблица для формирования собственного формата (e) >Пишешь в свой формат, что тебе надо присылать. >Если мне память не изменяет, должна быть строка из 32-х символов, >например >Если верить табличке то что-то типа 000000000000000000000000000000iP >должно присылать в наспорте порт и сабинтерфейс, хотя я этого там и >неувидел :) Только что проверил 000000000000000000000000000000iP Получил: ...         NAS-Port-Type = Virtual         NAS-Port = 0         NAS-Port-Id = "Uniq-Sess-ID12" -- тут цифра растет с каждым подключением от рестарта сиски         Service-Type = Framed-User         NAS-IP-Address = 172.29.29.163 ... Кстати, прошивка: c7200p-adventerprisek9-mz.124-4.XD5.bin > >Есть другой вариант >Tunnel-Server-Endpoint - это IP на который коннектился pptp клиент. >Acct-Tunnel-Client-Endpoint - это IP с которого коннектился pptp клиент. В аккаунте это есть. приходит отлично. Но мне хотелось бы получить инфу при авторизации и назначить с помощью Cisco-AV-Pair другие правила для внешнего коннекта. В аккаунте, вообще все супер приходит. Но видимо, при авторизации устанавливаются правила для вирт. интерфейса, а мне надо их подстроить для внешних и внутр. пользователей. :-( хоть вторую сиску покупать для второго NAS-а... (проверять по насу внешний или внутренний)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Cisco 7206, RADIUS"
	Сообщение от fantom (??) on 21-Мрт-07, 13:51
	>>radius-server attribute nas-port format ? >>  a  Format is type, channel, port >>  b  Either interface(16) or isdn(16), async(16) >>  c  Data format(bits): shelf(2), slot(4), port(5), channel(5) >>  d  Data format(bits): slot(4), module(1), port(3), vpi(8), vci(16) >>  e  Configurable data format >> > >Пробовал a,b,c,d - или 0 или 1,2,3,4,.... >пробовал и e, но как я понял это лишь способ вызвать компоненты >a,b,c,d в своем порядке и >несколько новых. >По поводу е - не все множество вариантов проверил. Может быть, есть >у кого-нить >реально работающее е ? > > > >>Идем на www.cisco.com >>http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008039caa3.html >> >>там есть таблица для формирования собственного формата (e) >>Пишешь в свой формат, что тебе надо присылать. >>Если мне память не изменяет, должна быть строка из 32-х символов, >>например >>Если верить табличке то что-то типа 000000000000000000000000000000iP >>должно присылать в наспорте порт и сабинтерфейс, хотя я этого там и >>неувидел :) > >Только что проверил 000000000000000000000000000000iP >Получил: > >... >        NAS-Port-Type = Virtual >        NAS-Port = 0 >        NAS-Port-Id = "Uniq-Sess-ID12" -- >тут цифра растет с каждым подключением от рестарта сиски >        Service-Type = Framed-User >        NAS-IP-Address = 172.29.29.163 >... > >Кстати, прошивка: c7200p-adventerprisek9-mz.124-4.XD5.bin > >> >>Есть другой вариант >>Tunnel-Server-Endpoint - это IP на который коннектился pptp клиент. >>Acct-Tunnel-Client-Endpoint - это IP с которого коннектился pptp клиент. > >В аккаунте это есть. приходит отлично. Но мне хотелось бы получить инфу >при авторизации >и назначить с помощью Cisco-AV-Pair другие правила для внешнего коннекта. >В аккаунте, вообще все супер приходит. Но видимо, при авторизации устанавливаются правила > >для вирт. интерфейса, а мне надо их подстроить для внешних и внутр. >пользователей. >:-( хоть вторую сиску покупать для второго NAS-а... (проверять по насу внешний >или внутренний)        Acct-Session-Id = "бла-бла"         Tunnel-Medium-Type:0 = IP         Tunnel-Server-Endpoint:0 = "бла-бла"         Acct-Tunnel-Client-Endpoint:0 = "бла-бла"         Tunnel-Assignment-Id:0 = "PPTP"         Framed-Protocol = PPP         Framed-IP-Address = бла-бла         User-Name = "бла-бла"         Acct-Authentic = RADIUS         Acct-Status-Type = Start         NAS-Port-Type = Virtual         NAS-Port = 11         Attr-87 = "Uniq-Sess-ID11"         Service-Type = Framed-User         NAS-IP-Address = бла-бла         Acct-Delay-Time = 0         Client-IP-Address = бла-бла         Timestamp = бла-бла         Request-Authenticator = Verified Обрати внимание, что это Start, и в нем есть Tunnel-Server-Endpoint и Acct-Tunnel-Client-Endpoint....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Cisco 7206, RADIUS"
	Сообщение от Begemot2 (ok) on 21-Мрт-07, 14:18
	> >Обрати внимание, что это Start, и в нем есть Tunnel-Server-Endpoint и Acct-Tunnel-Client-Endpoint.... > Да! Но это в account-инге, когда уже поздно настраивать сиску для клиента. У него уже все сложилось и он авторизован. Конечно, можно дождаться аккаунтинга и "перепрошить" все, но это как-то не очень. надо в авторизации сразу
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Проблема решена дурацким способом..."
	Сообщение от Begemot2 (ok) on 21-Мрт-07, 14:14
	если указать: vpdn aaa attribute nas-ip-address vpdn-nas То в NAS-Ip приходит соурс адрес подключаемого. Смешно, но он перебивает и NAS-Identifier , делает его равным по ip, однако, в формате %h.%d (хост с доменом) - дает настоящее имя NAS-a. Коряво? Думаю, да. Если подкрячить радиус-сервер, то все в порядке. Но как коряво... ух. Теперь попытался посклонять: vpdn aaa attribute nas-port vpdn-nas Тут просто тупик. В атрибут приходит всегда нуль. Как ни бился. Возможно получать еще 1,2,3,4,5............ как номер порта Если предположить, что vpdn-nas это source ip-адрес клиента в первом случае, то почему он не лезет в nas-port??? Или он лезет, а радиус его из-за формата воспроизвести не может?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "А может, пойти другим путем?"
	Сообщение от Begemot2 (ok) on 21-Мрт-07, 12:41
	Може быть есть способ разрулить по входящим интерфейсам между двумя Virtual Template и/или двумя разными vpdn-group ???? Можно по соурс и дест. IP адресу, можно по дест. интерфейсу сиски (вн. или внешн.) Как-нибудь в этом направлении возможно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "А может, пойти другим путем?"
	Сообщение от Begemot2 (ok) on 22-Мрт-07, 13:49
	>Може быть есть способ разрулить по входящим интерфейсам между двумя >Virtual Template и/или двумя разными vpdn-group ???? > >Можно по соурс и дест. IP адресу, можно по дест. интерфейсу сиски >(вн. или внешн.) >Как-нибудь в этом направлении возможно? Сделал две vpdn-group. внутри одинаково accept-dialin   protocol pptp   virtual-template 1 source-ip a.a.a.a и accept-dialin   protocol pptp   virtual-template 2 source-ip b.b.b.b Но, первая встает дефаултом и если коннект не подходит под source-ip - все рвется, авторизация не проходит и вторая группа не проверяется. Шож такое то! Как заставить проверять обе группы по очереди?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]