форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"IP адрес клиента PPTP в атрибутах Радиуса"

Сообщение от dmitriy_rsl (ok) on 18-Авг-07, 23:54

У нас имеется Ethernet сетка городского масштаба. Клиенты подключаются к интернету через PPTP. В качестве VPN шлюза - Cisco (точно модель не напишу, ибо возможно она поменяется скоро, один из возможных вариантов - AS5350). В последнее время участились жалобы от клиентов о том, что кто-то подключался по PPTP под их логином и паролем, причем жалуются обычно через несколько дней после подключения. Понятное дело, что это проблема клиента следить за своими паролями, но тем  не менее это не значит, что искать злоумышленника не нужно. Естественно, что искать можно только на основании логов аккаунтинга и авторизации, поступающих на Radius-сервер. А вот в нем какраз и нехватает самого важного компонента для этого: IP-адреса, с которого устанавливается PPTP соединение. Циска этот адрес знает (sh vpdn session all: "Internet Address is"), но отдавать его радиусу не спешит. Уже перерыл все, что можно, но не нашел ни атрибута радиуса для этого, ни даже описания как это можно было-бы сделать через TCL (такое чувство, что TCL в циске заточен исключительно под войс). Конечно можно начать извращаться запуская с каким-то интервалом утилитки, которые через SNMP, RSH и пр. будут выгребать с циски данные по IP-адресам всех активных подключений и писать их в базу, но это как говорят: "не кашерно". Да и короткие коннекты можно упустить. Неужели я один такой и больше никто с этим не сталкивался? Я понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, токо возможно искать надо не Ip-адрес, а MAC-адрес.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IP адрес клиента PPTP в атрибутах Радиуса"

Сообщение от TroRg (??) on 19-Авг-07, 21:53

>[оверквотинг удален] >Уже перерыл все, что можно, но не нашел ни атрибута радиуса для >этого, ни даже описания как это можно было-бы сделать через TCL >(такое чувство, что TCL в циске заточен исключительно под войс). Конечно >можно начать извращаться запуская с каким-то интервалом утилитки, которые через SNMP, >RSH и пр. будут выгребать с циски данные по IP-адресам всех >активных подключений и писать их в базу, но это как говорят: >"не кашерно". Да и короткие коннекты можно упустить. >Неужели я один такой и больше никто с этим не сталкивался? Я >понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, >токо возможно искать надо не Ip-адрес, а MAC-адрес. Freeradius: %{NAS-IP-Address} - IP если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них клиента, другой по идее цисковский)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от dmitriy_rsl (ok) on 20-Авг-07, 09:11
	>Freeradius: >%{NAS-IP-Address} - IP Это ип NAS-а... К ИПу клиента он отношения не имеет. >если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них клиента, другой >по идее цисковский) А эти атрибуты насколько я помню используются в войсе... У меня они ни при авторизации ни при аккаунтинге не передаются. По логике вещей они конечно могут содержать нужные данные, но  у меня они не передаются - возможно в циске чего-то настроить нада?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IP адрес клиента PPTP в атрибутах Радиуса"

Сообщение от fantom (ok) on 20-Авг-07, 09:29

>[оверквотинг удален] >Уже перерыл все, что можно, но не нашел ни атрибута радиуса для >этого, ни даже описания как это можно было-бы сделать через TCL >(такое чувство, что TCL в циске заточен исключительно под войс). Конечно >можно начать извращаться запуская с каким-то интервалом утилитки, которые через SNMP, >RSH и пр. будут выгребать с циски данные по IP-адресам всех >активных подключений и писать их в базу, но это как говорят: >"не кашерно". Да и короткие коннекты можно упустить. >Неужели я один такой и больше никто с этим не сталкивался? Я >понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, >токо возможно искать надо не Ip-адрес, а MAC-адрес. На cisco2821 Tunnel-Server-Endpoint:0 = "192.168.12.254" - адрес кошки Acct-Tunnel-Client-Endpoint:0 = "192.168.25.21" - адрес клиета Может это не кошка неотсылает, а радиус непринимает/непонимает/необрабатывает? Поглядите снифером содержимое пакета.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от dmitriy_rsl (ok) on 20-Авг-07, 09:42
	>[оверквотинг удален] >>"не кашерно". Да и короткие коннекты можно упустить. >>Неужели я один такой и больше никто с этим не сталкивался? Я >>понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, >>токо возможно искать надо не Ip-адрес, а MAC-адрес. > >На cisco2821 >Tunnel-Server-Endpoint:0 = "192.168.12.254" - адрес кошки >Acct-Tunnel-Client-Endpoint:0 = "192.168.25.21" - адрес клиета >Может это не кошка неотсылает, а радиус непринимает/непонимает/необрабатывает? >Поглядите снифером содержимое пакета. Да нет, должен радиус знать эти аттрибуты. У него в dictionary они есть: ATTRIBUTE       Acct-Tunnel-Client-Endpoint     66      string ATTRIBUTE       Tunnel-Server-Endpoint          67      string Да и неизвестные аттрибуты он насколько я помню всеравно в detail пишет, только имена у них не определяет. Вот кусок tcpdump для Alive пакета (их быстрее всего поймать): tcpdump: listening on fxp1 08:39:48.077975 [NAS-IP].1813 > [Radius-IP].1813:  rad-account-req 305 [id 189] Attr[  NAS_ipaddr{[NAS-IP]} NAS_port{31} Vendor_specific{......Virtual-Access31} NAS_port_type{Virtual} User{[username]} Acct_status{Interim-Update} Acct_authentic{RADIUS} Service_type{Framed} Acct_session_id{0000087D} Framed_proto{PPP}#151 Framed_ipaddr{[user-VPN-IP]}#198#190#191#192#193 Acct_in_octets{164157} Acct_out_octets{224480} Acct_in_packets{279} Acct_out_packets{301} Acct_session_time{16:29 min} Vendor_specific{......pre-session-time=8} Vendor_specific{......pre-bytes-in=224} Vendor_specific{ ......pre-bytes-out=148} Vendor_specific{......pre-paks-in=10} Vendor_specific{......pre-paks-out=8} Acct_delay{00 secs} ] P.S. Радиус - GNU-Radius
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от TroRg (ok) on 20-Авг-07, 10:05
	>>    >Freeradius: >>    >%{NAS-IP-Address} - IP >> >>    Это ип NAS-а... К ИПу клиента он отношения не имеет. >> >>    >если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них >>клиента, другой >>    >по идее цисковский) >> >>    А эти атрибуты насколько я помню используются в войсе... У меня они ни при авторизации >>ни при аккаунтинге не передаются. По логике вещей они конечно могут содержать нужные >>данные, но  у меня они не передаются - возможно в циске чего-то настроить нада? IP клиента, тот что на сетевой прописан или тот который выдаст циска из пула или статически? у меня cisco7140+FreeRADIUS Без дополнительных пинаний радиус показал %{NAS-IP-Address} - ип на сетевой с которой идет подключение, %{Framed-IP-Address} или %{Client-IP-Address} хранит в себе адресс выданый циской, попробуй проверь... Еще глянь может в конфиге циски radius-server attribute может принимать значения 4 или 8 там, не помню. По крайней мере атрибут Calling Station ID, циска стала отсылать только после добавления в конфиг radius-server attribute 31 mac format ietf
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от dmitriy_rsl (ok) on 20-Авг-07, 10:12
	>[оверквотинг удален] >>> >>>    Это ип NAS-а... К ИПу клиента он отношения не имеет. >>> >>>    >если PPPoE то маки - %{Called-Station-Id}, %{Calling-Station-Id} (один из них >>клиента, другой >>>    >по идее цисковский) >>> >>>    А эти атрибуты насколько я помню используются в войсе... У меня они ни при авторизации >>ни при аккаунтинге не передаются. По логике вещей они конечно могут содержать нужные >>данные, но  у меня они не передаются - возможно в циске чего-то настроить нада? > >IP клиента, тот что на сетевой прописан или тот который выдаст циска >из пула или статически? тот, который циска выдаст меня не интересует. Тот что на сетевой у клиента прописан (или по DHCP получен) >у меня cisco7140+FreeRADIUS >Без дополнительных пинаний радиус показал %{NAS-IP-Address} - ип на сетевой с которой >идет подключение, %{Framed-IP-Address} или %{Client-IP-Address} хранит в себе адресс выданый циской, >попробуй проверь... NAS-IP-Address - я конечно получаю Framed-Ip-Address - тоже получаю,но он мне не интересен Client-IP-Address - нету такого >Еще глянь может в конфиге циски radius-server attribute может принимать значения 4 >или 8 там, не помню. >По крайней мере атрибут Calling Station ID, циска стала отсылать только после >добавления в конфиг radius-server attribute 31 mac format ietf cisco(config)#radius-server attribute 31 mac format ietf                                            ^ % Invalid input detected at '^' marker. cisco(config)#radius-server attribute ?   44        Acct-Session-Id attribute   69        Tunnel-Password attribute   nas-port  NAS-Port attribute configuration
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от dmitriy_rsl (ok) on 20-Авг-07, 09:51
	>[оверквотинг удален] >>"не кашерно". Да и короткие коннекты можно упустить. >>Неужели я один такой и больше никто с этим не сталкивался? Я >>понимаю конечно, что большинство предпочитают PPPoE, но в нем теже грабли, >>токо возможно искать надо не Ip-адрес, а MAC-адрес. > >На cisco2821 >Tunnel-Server-Endpoint:0 = "192.168.12.254" - адрес кошки >Acct-Tunnel-Client-Endpoint:0 = "192.168.25.21" - адрес клиета >Может это не кошка неотсылает, а радиус непринимает/непонимает/необрабатывает? >Поглядите снифером содержимое пакета. а вот авторизация: tcpdump: listening on fxp1 08:45:11.464341 [NAS-IP].1812 > [Radius-IP].1812:  rad-access-req 106 [id 16] Attr[  NAS_ipaddr{[NAS-IP]} NAS_port{38} Vendor_specific{......Virtual-Access38} NAS_port_type{Virtual} User{[username]} Pass Service_type{Framed} Framed_proto{PPP} ] никаких туннелей нету :-(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от TroRg (ok) on 20-Авг-07, 11:43
	стукни в icq - 209611, так быстрее будет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от Vova on 01-Июл-08, 05:14
	Ну как, нашли какое нибудь решение? На c2800nm-advipservicesk9-mz.124-15.T4 тоже не выходит выдрать Calling-IP-Address :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "IP адрес клиента PPTP в атрибутах Радиуса"
	Сообщение от fantom (ok) on 01-Июл-08, 09:43
	>Ну как, нашли какое нибудь решение? На c2800nm-advipservicesk9-mz.124-15.T4 тоже не выходит выдрать >Calling-IP-Address :( sh ver Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(17), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Fri 07-Sep-07 16:45 by prod_rel_team В атрибутах присылает:         Tunnel-Medium-Type:0 = IP         Tunnel-Server-Endpoint:0 = "172.17.21.254"         Acct-Tunnel-Client-Endpoint:0 = "172.17.21.207"         Tunnel-Assignment-Id:0 = "PPTP"         Framed-Protocol = PPP Насколько я понимаю Acct-Tunnel-Client-Endpoin - это и есть то что вы хотите увидеть?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]