forum.opennet.ru - "С Radius сервера не работают vsa атрибуты" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"С Radius сервера не работают vsa атрибуты"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"С Radius сервера не работают vsa атрибуты"		+/–
Сообщение от enb83 (ok) on 13-Июл-09, 09:32
С Radius сервера не работают vsa атрибуты На Radius: cisco-avpair:=ip:addr-pool=102 На Cisco: interface Virtual-Template1 ip unnumbered Loopback0 ip nat inside ip virtual-reassembly peer default ip address pool PPPoE1 ppp authentication pap chap x-AUTH ! access-list 102 permit icmp any host 81.x.xxx.xxx echo access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply access-list 102 deny icmp any any
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

С Radius сервера не работают vsa атрибуты, enb83, 10:26 , 13-Июл-09, (1)
С Radius сервера не работают vsa атрибуты, StSphinx, 12:21 , 13-Июл-09, (2)

С Radius сервера не работают vsa атрибуты, enb83, 13:14 , 13-Июл-09, (3)

С Radius сервера не работают vsa атрибуты, enb83, 13:16 , 13-Июл-09, (4)

С Radius сервера не работают vsa атрибуты, StSphinx, 14:02 , 13-Июл-09, (5)

С Radius сервера не работают vsa атрибуты, StSphinx, 14:11 , 13-Июл-09, (6)

С Radius сервера не работают vsa атрибуты, enb83, 14:48 , 13-Июл-09, (10)

С Radius сервера не работают vsa атрибуты, enb83, 14:53 , 13-Июл-09, (11)

С Radius сервера не работают vsa атрибуты, enb83, 14:12 , 13-Июл-09, (7)

С Radius сервера не работают vsa атрибуты, enb83, 14:24 , 13-Июл-09, (8)

С Radius сервера не работают vsa атрибуты, enb83, 14:41 , 13-Июл-09, (9)

С Radius сервера не работают vsa атрибуты, StSphinx, 15:58 , 13-Июл-09, (12)

С Radius сервера не работают vsa атрибуты, enb83, 06:13 , 15-Июл-09, (13)

С Radius сервера не работают vsa атрибуты, enb83, 07:29 , 15-Июл-09, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 10:26

Помогите разобраться!
Не могу никак понять в чём же дело. Может IOS не та 124-23 или настройки на Сisco 7301 не те сделал.
Может NAT мешает или с interface Loopback0 не будет работать.
Подключаюсь VPN клиентом через винду. Ping идёт.
Если ACL 102 повешать на interface Virtual-Template1 то пингует по правилам, как и надо, а вот с Радиуса не хочет. Пробывал разные атрибуты.
interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
peer default ip address pool PPPoE1
ppp authentication pap chap x-AUTH
ip nat inside source list 1 interface GigabitEthernet0/1 overload
access-list 1 permit 192.168.1.0 0.0.0.255
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
Вот debug radius:
Jul 13 13:21:54.926: RADIUS/ENCODE(000001EF):Orig. component type = VPDN
Jul 13 13:21:54.926: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included
Jul 13 13:21:54.926: RADIUS/ENCODE(000001EF): acct_session_id: 690
Jul 13 13:21:54.926: RADIUS(000001EF): sending
Jul 13 13:21:54.926: RADIUS(000001EF): Send Access-Request to 10.141.1.1:1812 id 1645/45, len 151
Jul 13 13:21:54.926: RADIUS:  authenticator 3A 18 8A 84 2A 11 98 52 - 63 C7 10 BD 11 8B 41 3D
Jul 13 13:21:54.926: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 13:21:54.926: RADIUS:  User-Name           [1]   8   "180174"
Jul 13 13:21:54.926: RADIUS:  CHAP-Password       [3]   19  *
Jul 13 13:21:54.926: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 13 13:21:54.926: RADIUS:  Vendor, Cisco       [26]  23
Jul 13 13:21:54.926: RADIUS:   cisco-nas-port     [2]   17  "Uniq-Sess-ID330"
Jul 13 13:21:54.926: RADIUS:  NAS-Port            [5]   6   330
Jul 13 13:21:54.926: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID330"
Jul 13 13:21:54.926: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Jul 13 13:21:54.926: RADIUS:  NAS-IP-Address      [4]   6   10.141.1.249
Jul 13 13:21:54.926: RADIUS:  Acct-Session-Id     [44]  18  "0A8D01F9000002B2"
Jul 13 13:21:54.926: RADIUS:  Nas-Identifier      [32]  10  "ciscoISG"
Jul 13 13:21:54.926: RADIUS:  Event-Timestamp     [55]  6   1247491314
Jul 13 13:21:54.938: RADIUS: Received from id 1645/45 10.141.1.1:1812, Access-Accept, len 56
Jul 13 13:21:54.938: RADIUS:  authenticator 06 9B 0C 10 BC 90 FA 4C - 71 69 F4 FA 3B A9 96 22
Jul 13 13:21:54.938: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 13:21:54.938: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP Header Compressi[1]
Jul 13 13:21:54.938: RADIUS:  Vendor, Cisco       [26]  24
Jul 13 13:21:54.938: RADIUS:   Cisco AVpair       [1]   18  "ip:addr-pool=102"
Jul 13 13:21:54.938: RADIUS(000001EF): Received from id 1645/45
Jul 13 13:21:54.946: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
Jul 13 13:21:54.946: RADIUS/ENCODE(000001EF):Orig. component type = VPDN
Jul 13 13:21:54.946: RADIUS(000001EF): sending
Jul 13 13:21:54.946: RADIUS(000001EF): Send Accounting-Request to 10.141.1.1:1813 id 1646/160, len 219
Jul 13 13:21:54.946: RADIUS:  authenticator 8C 30 75 ED 2E E6 0C F9 - 19 7B BA 1B 50 C0 4D FD
Jul 13 13:21:54.946: RADIUS:  Acct-Session-Id     [44]  18  "0A8D01F9000002B2"
Jul 13 13:21:54.946: RADIUS:  Tunnel-Medium-Type  [65]  6   00:IPv4                   [1]
Jul 13 13:21:54.946: RADIUS:  Tunnel-Server-Endpoi[67]  14  "10.141.1.249"
Jul 13 13:21:54.946: RADIUS:  Tunnel-Client-Endpoi[66]  14  "10.141.1.140"
Jul 13 13:21:54.946: RADIUS:  Tunnel-Assignment-Id[82]  3   "1"
Jul 13 13:21:54.946: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 13:21:54.946: RADIUS:  User-Name           [1]   8   "180174"
Jul 13 13:21:54.946: RADIUS:  Vendor, Cisco       [26]  32
Jul 13 13:21:54.946: RADIUS:   Cisco AVpair       [1]   26  "connect-progress=Call Up"
Jul 13 13:21:54.946: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
Jul 13 13:21:54.946: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
Jul 13 13:21:54.946: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 13 13:21:54.946: RADIUS:  Vendor, Cisco       [26]  23
Jul 13 13:21:54.946: RADIUS:   cisco-nas-port     [2]   17  "Uniq-Sess-ID330"
Jul 13 13:21:54.946: RADIUS:  NAS-Port            [5]   6   330
Jul 13 13:21:54.946: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID330"
Jul 13 13:21:54.946: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Jul 13 13:21:54.946: RADIUS:  NAS-IP-Address      [4]   6   10.141.1.249
Jul 13 13:21:54.946: RADIUS:  Event-Timestamp     [55]  6   1247491314
Jul 13 13:21:54.946: RADIUS:  Nas-Identifier      [32]  10  "ciscoISG"
Jul 13 13:21:54.946: RADIUS:  Acct-Delay-Time     [41]  6   0
Jul 13 13:21:54.950: RADIUS/ENCODE(000001EF):Orig. component type = VPDN
Jul 13 13:21:54.950: RADIUS(000001EF): sending
Jul 13 13:21:54.950: RADIUS(000001EF): Send Accounting-Request to 10.141.1.1:1813 id 1646/161, len 258
Jul 13 13:21:54.950: RADIUS:  authenticator 88 57 3D 11 B2 BD 04 F9 - 00 06 8A C9 58 11 24 74
Jul 13 13:21:54.950: RADIUS:  Acct-Session-Id     [44]  18  "0A8D01F9000002B2"
Jul 13 13:21:54.950: RADIUS:  Tunnel-Medium-Type  [65]  6   00:IPv4                   [1]
Jul 13 13:21:54.950: RADIUS:  Tunnel-Server-Endpoi[67]  14  "10.141.1.249"
Jul 13 13:21:54.950: RADIUS:  Tunnel-Client-Endpoi[66]  14  "10.141.1.140"
Jul 13 13:21:54.950: RADIUS:  Tunnel-Assignment-Id[82]  3   "1"
Jul 13 13:21:54.950: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 13:21:54.950: RADIUS:  Framed-IP-Address   [8]   6   192.168.1.2
Jul 13 13:21:54.950: RADIUS:  User-Name           [1]   8   "180174"
Jul 13 13:21:54.950: RADIUS:  Vendor, Cisco       [26]  35
Jul 13 13:21:54.950: RADIUS:   Cisco AVpair       [1]   29  "connect-progress=LAN Ses Up"
Jul 13 13:21:54.950: RADIUS:  Acct-Session-Time   [46]  6   0
Jul 13 13:21:54.950: RADIUS:  Acct-Input-Octets   [42]  6   106
Jul 13 13:21:54.950: RADIUS:  Acct-Output-Octets  [43]  6   108
Jul 13 13:21:54.950: RADIUS:  Acct-Input-Packets  [47]  6   5
Jul 13 13:21:54.950: RADIUS:  Acct-Output-Packets [48]  6   6
Jul 13 13:21:54.950: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
Jul 13 13:21:54.950: RADIUS:  Acct-Status-Type    [40]  6   Watchdog                  [3]
Jul 13 13:21:54.950: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 13 13:21:54.950: RADIUS:  Vendor, Cisco       [26]  23
Jul 13 13:21:54.950: RADIUS:   cisco-nas-port     [2]   17  "Uniq-Sess-ID330"
Jul 13 13:21:54.950: RADIUS:  NAS-Port            [5]   6   330
Jul 13 13:21:54.950: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID330"
Jul 13 13:21:54.950: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Jul 13 13:21:54.950: RADIUS:  NAS-IP-Address      [4]   6   10.141.1.249
Jul 13 13:21:54.950: RADIUS:  Event-Timestamp     [55]  6   1247491314
Jul 13 13:21:54.950: RADIUS:  Nas-Identifier      [32]  10  "ciscoISG"
Jul 13 13:21:54.950: RADIUS:  Acct-Delay-Time     [41]  6   0
Jul 13 13:21:54.958: RADIUS: Received from id 1646/160 10.141.1.1:1813, Accounting-response, len 20
Jul 13 13:21:54.958: RADIUS:  authenticator 74 A2 86 B3 15 DF 41 95 - A2 97 3A F8 D9 46 10 BA
Jul 13 13:21:54.970: RADIUS: Received from id 1646/161 10.141.1.1:1813, Accounting-response, len 20
Jul 13 13:21:54.970: RADIUS:  authenticator 9A 6F 4C 8E E3 3A 4E 3A - 7E 14 33 26 F6 7F 24 2B
Jul 13 13:21:55.946: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от StSphinx (??) on 13-Июл-09, 12:21

>[оверквотинг удален]
>interface Virtual-Template1
> ip unnumbered Loopback0
> ip nat inside
> ip virtual-reassembly
> peer default ip address pool PPPoE1
> ppp authentication pap chap x-AUTH
>!
>access-list 102 permit icmp any host 81.x.xxx.xxx echo
>access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply
>access-list 102 deny   icmp any any
Насколько я понял, вы пытаетесь навесить 102 ACL на Virtual-Access из vsa ?
Если так, то вы передаете не то значение атрибута...
"ip:inacl[#number]={standardACL | extendedACL}"—Upstream access control list (ACL). Specifies either a Cisco IOS standard ACL or an extended ACL to be applied to upstream traffic coming from the subscriber.
# "ip:outacl[#number]={standardACL | extendedACL}"—Downstream ACL. Specifies either a Cisco IOS standard ACL or an extended ACL to be applied to downstream traffic going to the subscriber.
    * number—Identifies the access list. If a profile includes multiple inacl or outacl attributes, the attributes are downloaded and executed according to the order implied by number.
    * standardACL—A Cisco IOS standard ACL.
    * extendedACL—A Cisco IOS extended ACL.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 13:14

>[оверквотинг удален]
>or an extended ACL to be applied to downstream traffic going
>to the subscriber.
>
>    * number—Identifies the access list. If a profile
>includes multiple inacl or outacl attributes, the attributes are downloaded and
>executed according to the order implied by number.
>
>    * standardACL—A Cisco IOS standard ACL.
>
>    * extendedACL—A Cisco IOS extended ACL.
там опечатка вместо:
На Radius: cisco-avpair:=ip:addr-pool=102
надо
На Radius:
cisco-avpair+=ip:outacl#1=deny icmp any any
cisco-avpair+=ip:inacl#2=deny icmp any any
хотябы так
чтобы ping-а небыло никуда
Но всеравно неработает
вот debug radius:
Jul 13 16:13:26.177: %ENVM-4-RPSFAIL: Power Supply may have a failed channel
Jul 13 16:13:27.553: RADIUS: acct-timeout for E32F8D4 now 30, acct-jitter -1, acct-delay-time (at E32F9FD) now 29
Jul 13 16:13:27.553: RADIUS: no sg in radius-timers: ctx 0x651C6A34 sg 0x0000
Jul 13 16:13:27.553: RADIUS: Retransmit to (10.141.1.1:1812,1813) for id 1646/244
Jul 13 16:13:30.369: RADIUS/ENCODE(000001F9):Orig. component type = VPDN
Jul 13 16:13:30.369: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included
Jul 13 16:13:30.369: RADIUS/ENCODE(000001F9): acct_session_id: 707
Jul 13 16:13:30.369: RADIUS(000001F9): sending
Jul 13 16:13:30.369: RADIUS(000001F9): Send Access-Request to 10.141.1.1:1812 id 1645/52, len 151
Jul 13 16:13:30.369: RADIUS:  authenticator 30 E3 AA 90 EB 99 BC C2 - 63 C7 10 BD DA F8 45 B9
Jul 13 16:13:30.369: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 16:13:30.369: RADIUS:  User-Name           [1]   8   "180174"
Jul 13 16:13:30.369: RADIUS:  CHAP-Password       [3]   19  *
Jul 13 16:13:30.369: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 13 16:13:30.369: RADIUS:  Vendor, Cisco       [26]  23
Jul 13 16:13:30.369: RADIUS:   cisco-nas-port     [2]   17  "Uniq-Sess-ID337"
Jul 13 16:13:30.369: RADIUS:  NAS-Port            [5]   6   337
Jul 13 16:13:30.369: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID337"
Jul 13 16:13:30.369: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Jul 13 16:13:30.369: RADIUS:  NAS-IP-Address      [4]   6   10.141.1.249
Jul 13 16:13:30.369: RADIUS:  Acct-Session-Id     [44]  18  "0A8D01F9000002C3"
Jul 13 16:13:30.369: RADIUS:  Nas-Identifier      [32]  10  "ciscoISG"
Jul 13 16:13:30.369: RADIUS:  Event-Timestamp     [55]  6   1247501610
Jul 13 16:13:30.381: RADIUS: Received from id 1645/52 10.141.1.1:1812, Access-Accept, len 107
Jul 13 16:13:30.381: RADIUS:  authenticator E0 7D F0 6A AB 76 22 3B - 6F E9 92 2B 22 A2 2B 2A
Jul 13 16:13:30.381: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 16:13:30.381: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP Header Compressi[1]
Jul 13 16:13:30.381: RADIUS:  Vendor, Cisco       [26]  37
Jul 13 16:13:30.381: RADIUS:   Cisco AVpair       [1]   31  "ip:inacl#2= deny icmp any any"
Jul 13 16:13:30.381: RADIUS:  Vendor, Cisco       [26]  38
Jul 13 16:13:30.381: RADIUS:   Cisco AVpair       [1]   32  "ip:outacl#1= deny icmp any any"
Jul 13 16:13:30.381: RADIUS(000001F9): Received from id 1645/52
Jul 13 16:13:30.401: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up
Jul 13 16:13:30.401: RADIUS/ENCODE(000001F9):Orig. component type = VPDN
Jul 13 16:13:30.401: RADIUS(000001F9): sending
Jul 13 16:13:30.401: RADIUS(000001F9): Send Accounting-Request to 10.141.1.1:1813 id 1646/245, len 219
Jul 13 16:13:30.401: RADIUS:  authenticator E2 0E 6E 23 25 0B 04 32 - 08 92 3A C8 7B 32 DD B6
Jul 13 16:13:30.401: RADIUS:  Acct-Session-Id     [44]  18  "0A8D01F9000002C3"
Jul 13 16:13:30.401: RADIUS:  Tunnel-Medium-Type  [65]  6   00:IPv4                   [1]
Jul 13 16:13:30.401: RADIUS:  Tunnel-Server-Endpoi[67]  14  "10.141.1.249"
Jul 13 16:13:30.401: RADIUS:  Tunnel-Client-Endpoi[66]  14  "10.141.1.140"
Jul 13 16:13:30.401: RADIUS:  Tunnel-Assignment-Id[82]  3   "1"
Jul 13 16:13:30.401: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 16:13:30.401: RADIUS:  User-Name           [1]   8   "180174"
Jul 13 16:13:30.401: RADIUS:  Vendor, Cisco       [26]  32
Jul 13 16:13:30.401: RADIUS:   Cisco AVpair       [1]   26  "connect-progress=Call Up"
Jul 13 16:13:30.401: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
Jul 13 16:13:30.401: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
Jul 13 16:13:30.401: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 13 16:13:30.401: RADIUS:  Vendor, Cisco       [26]  23
Jul 13 16:13:30.401: RADIUS:   cisco-nas-port     [2]   17  "Uniq-Sess-ID337"
Jul 13 16:13:30.401: RADIUS:  NAS-Port            [5]   6   337
Jul 13 16:13:30.401: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID337"
Jul 13 16:13:30.401: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Jul 13 16:13:30.401: RADIUS:  NAS-IP-Address      [4]   6   10.141.1.249
Jul 13 16:13:30.401: RADIUS:  Event-Timestamp     [55]  6   1247501610
Jul 13 16:13:30.401: RADIUS:  Nas-Identifier      [32]  10  "ciscoISG"
Jul 13 16:13:30.401: RADIUS:  Acct-Delay-Time     [41]  6   0
Jul 13 16:13:30.405: RADIUS/ENCODE(000001F9):Orig. component type = VPDN
Jul 13 16:13:30.405: RADIUS(000001F9): sending
Jul 13 16:13:30.405: RADIUS(000001F9): Send Accounting-Request to 10.141.1.1:1813 id 1646/246, len 258
Jul 13 16:13:30.405: RADIUS:  authenticator 02 F2 18 CF 30 21 BA 76 - CB CF 68 9C 42 08 9E 1B
Jul 13 16:13:30.405: RADIUS:  Acct-Session-Id     [44]  18  "0A8D01F9000002C3"
Jul 13 16:13:30.405: RADIUS:  Tunnel-Medium-Type  [65]  6   00:IPv4                   [1]
Jul 13 16:13:30.405: RADIUS:  Tunnel-Server-Endpoi[67]  14  "10.141.1.249"
Jul 13 16:13:30.405: RADIUS:  Tunnel-Client-Endpoi[66]  14  "10.141.1.140"
Jul 13 16:13:30.405: RADIUS:  Tunnel-Assignment-Id[82]  3   "1"
Jul 13 16:13:30.405: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Jul 13 16:13:30.405: RADIUS:  Framed-IP-Address   [8]   6   192.168.1.2
Jul 13 16:13:30.405: RADIUS:  User-Name           [1]   8   "180174"
Jul 13 16:13:30.405: RADIUS:  Vendor, Cisco       [26]  35
Jul 13 16:13:30.405: RADIUS:   Cisco AVpair       [1]   29  "connect-progress=LAN Ses Up"
Jul 13 16:13:30.405: RADIUS:  Acct-Session-Time   [46]  6   0
Jul 13 16:13:30.405: RADIUS:  Acct-Input-Octets   [42]  6   106
Jul 13 16:13:30.405: RADIUS:  Acct-Output-Octets  [43]  6   108
Jul 13 16:13:30.405: RADIUS:  Acct-Input-Packets  [47]  6   5
Jul 13 16:13:30.405: RADIUS:  Acct-Output-Packets [48]  6   6
Jul 13 16:13:30.405: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
Jul 13 16:13:30.405: RADIUS:  Acct-Status-Type    [40]  6   Watchdog                  [3]
Jul 13 16:13:30.405: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 13 16:13:30.405: RADIUS:  Vendor, Cisco       [26]  23
Jul 13 16:13:30.405: RADIUS:   cisco-nas-port     [2]   17  "Uniq-Sess-ID337"
Jul 13 16:13:30.405: RADIUS:  NAS-Port            [5]   6   337
Jul 13 16:13:30.405: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID337"
Jul 13 16:13:30.405: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Jul 13 16:13:30.405: RADIUS:  NAS-IP-Address      [4]   6   10.141.1.249
Jul 13 16:13:30.405: RADIUS:  Event-Timestamp     [55]  6   1247501610
Jul 13 16:13:30.405: RADIUS:  Nas-Identifier      [32]  10  "ciscoISG"
Jul 13 16:13:30.405: RADIUS:  Acct-Delay-Time     [41]  6   0
Jul 13 16:13:30.413: RADIUS: Received from id 1646/245 10.141.1.1:1813, Accounting-response, len 20
Jul 13 16:13:30.413: RADIUS:  authenticator 9A 8E 5A F2 3F 96 07 34 - F0 1E 3B BE DB 57 22 56
Jul 13 16:13:30.421: RADIUS: Received from id 1646/246 10.141.1.1:1813, Accounting-response, len 20
Jul 13 16:13:30.421: RADIUS:  authenticator BB 1D 1E 31 D4 CC 3D 7F - 31 29 F4 9D 85 6F B1 B5
Jul 13 16:13:31.401: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up
Jul 13 16:13:36.745: RADIUS: acct-timeout for E005434 now 175, acct-jitter 0, acct-delay-time (at E00555D) now 175
Jul 13 16:13:36.745: RADIUS: no sg in radius-timers: ctx 0x6527DDA4 sg 0x0000
Jul 13 16:13:36.745: RADIUS: No response from (10.141.1.1:1812,1813) for id 1646/243
Jul 13 16:13:36.745: RADIUS/DECODE: No response from radius-server; parse response; FAIL
Jul 13 16:13:36.745: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 13:16

Вообще с Радиуса не работает vsa атрибуты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от StSphinx (??) on 13-Июл-09, 14:02

>Вообще с Радиуса не работает vsa атрибуты.
Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте указывается НОМЕР ACL, а не сами правила.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от StSphinx (??) on 13-Июл-09, 14:11

>>Вообще с Радиуса не работает vsa атрибуты.
>
>Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте
>указывается НОМЕР ACL, а не сами правила.
Хотя нет... Не прав я. Почитал внимательно, да, можно передавать сами правила...
А что говорит sh ip int тот_virtual_access_который_создается ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 14:48

>>>Вообще с Радиуса не работает vsa атрибуты.
>>
>>Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте
>>указывается НОМЕР ACL, а не сами правила.
>
>Хотя нет... Не прав я. Почитал внимательно, да, можно передавать сами правила...
>
>А что говорит sh ip int тот_virtual_access_который_создается ?
ciscoISG#sh ip int Virtual-Access 3
Virtual-Access3 is up, line protocol is up
  Interface is unnumbered. Using address of Loopback0 (192.168.1.1)
  Broadcast address is 255.255.255.255
  Peer address is 192.168.1.2
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP Feature Fast switching turbo vector
  IP Feature CEF switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain inside
  BGP Policy Mapping is disabled
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 14:53

Я уже как только не пробовал эти правила создавать.
Всё одно и тоже.
Причём если написать на самом интерфейсе Virtual-Template1
ip access-group 102 in
то в все заработает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 14:12

>>Вообще с Радиуса не работает vsa атрибуты.
>
>Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте
>указывается НОМЕР ACL, а не сами правила.
cisco-avpair:=ip:inacl=102
не работает это правило, т.к. пингует не только 81.x.xxx.xxx
access-list 102 permit icmp any host 81.x.xxx.xxx echo
access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply
access-list 102 deny   icmp any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 14:24

>[оверквотинг удален]
>>Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте
>>указывается НОМЕР ACL, а не сами правила.
>
>cisco-avpair:=ip:inacl=102
>
>не работает это правило, т.к. пингует не только 81.x.xxx.xxx
>
>access-list 102 permit icmp any host 81.x.xxx.xxx echo
>access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply
>access-list 102 deny   icmp any any
Теперь правильно написал?
Могу debug предоставить если надо.
Проблема остается открытой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 13-Июл-09, 14:41

>[оверквотинг удален]
>>
>>не работает это правило, т.к. пингует не только 81.x.xxx.xxx
>>
>>access-list 102 permit icmp any host 81.x.xxx.xxx echo
>>access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply
>>access-list 102 deny   icmp any any
>
>Теперь правильно написал?
>Могу debug предоставить если надо.
>Проблема остается открытой.
Может не применяеться правило из-за того что у меня nat и там есть правило?
ip nat inside source list 1 interface GigabitEthernet0/1 overload
access-list 1 permit 192.168.1.0 0.0.0.255
или радиус не на том интерфейсе:
ip radius source-interface GigabitEthernet0/0
!
interface GigabitEthernet0/0
description PPTP clients
ip address 10.141.1.249 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no negotiation auto
pppoe enable group global
no mop enabled
!
Уже не знаю что и подумать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от StSphinx (??) on 13-Июл-09, 15:58

>[оверквотинг удален]
> ip nat inside
> ip virtual-reassembly
> duplex auto
> speed auto
> media-type rj45
> no negotiation auto
> pppoe enable group global
> no mop enabled
>!
>Уже не знаю что и подумать.
NAT точно не при чем... Может просто у Radius сервера нет словаря атрибутов Cisco ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 15-Июл-09, 06:13

>[оверквотинг удален]
>> speed auto
>> media-type rj45
>> no negotiation auto
>> pppoe enable group global
>> no mop enabled
>>!
>>Уже не знаю что и подумать.
>
>NAT точно не при чем... Может просто у Radius сервера нет словаря
>атрибутов Cisco
Словарь атрибутов есть, это таблица dictonary,
и там есть атрибут cisco-avpair.
Может надо писать не в таблицу radreply: cisco-avpair:=ip:inacl=102
Вопрос остается открытым:
  Почему Радиус не передает vsa атрибуты или Cisco не применяет их?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "С Radius сервера не работают vsa атрибуты" +/–

Сообщение от enb83 (ok) on 15-Июл-09, 07:29

УРА! УРА! УРА!
Атрибуты начали применяться на interface Virtual-Template1
после добавления туда ppp authorization X-AUTH

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "С Radius сервера не работают vsa атрибуты"		+/–
Сообщение от enb83 (ok) on 13-Июл-09, 10:26
Помогите разобраться! Не могу никак понять в чём же дело. Может IOS не та 124-23 или настройки на Сisco 7301 не те сделал. Может NAT мешает или с interface Loopback0 не будет работать. Подключаюсь VPN клиентом через винду. Ping идёт. Если ACL 102 повешать на interface Virtual-Template1 то пингует по правилам, как и надо, а вот с Радиуса не хочет. Пробывал разные атрибуты. interface Virtual-Template1 ip unnumbered Loopback0 ip nat inside ip virtual-reassembly peer default ip address pool PPPoE1 ppp authentication pap chap x-AUTH ip nat inside source list 1 interface GigabitEthernet0/1 overload access-list 1 permit 192.168.1.0 0.0.0.255 radius-server vsa send cisco-nas-port radius-server vsa send accounting radius-server vsa send authentication Вот debug radius: Jul 13 13:21:54.926: RADIUS/ENCODE(000001EF):Orig. component type = VPDN Jul 13 13:21:54.926: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included Jul 13 13:21:54.926: RADIUS/ENCODE(000001EF): acct_session_id: 690 Jul 13 13:21:54.926: RADIUS(000001EF): sending Jul 13 13:21:54.926: RADIUS(000001EF): Send Access-Request to 10.141.1.1:1812 id 1645/45, len 151 Jul 13 13:21:54.926: RADIUS: authenticator 3A 18 8A 84 2A 11 98 52 - 63 C7 10 BD 11 8B 41 3D Jul 13 13:21:54.926: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 13:21:54.926: RADIUS: User-Name [1] 8 "180174" Jul 13 13:21:54.926: RADIUS: CHAP-Password [3] 19 * Jul 13 13:21:54.926: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Jul 13 13:21:54.926: RADIUS: Vendor, Cisco [26] 23 Jul 13 13:21:54.926: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID330" Jul 13 13:21:54.926: RADIUS: NAS-Port [5] 6 330 Jul 13 13:21:54.926: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID330" Jul 13 13:21:54.926: RADIUS: Service-Type [6] 6 Framed [2] Jul 13 13:21:54.926: RADIUS: NAS-IP-Address [4] 6 10.141.1.249 Jul 13 13:21:54.926: RADIUS: Acct-Session-Id [44] 18 "0A8D01F9000002B2" Jul 13 13:21:54.926: RADIUS: Nas-Identifier [32] 10 "ciscoISG" Jul 13 13:21:54.926: RADIUS: Event-Timestamp [55] 6 1247491314 Jul 13 13:21:54.938: RADIUS: Received from id 1645/45 10.141.1.1:1812, Access-Accept, len 56 Jul 13 13:21:54.938: RADIUS: authenticator 06 9B 0C 10 BC 90 FA 4C - 71 69 F4 FA 3B A9 96 22 Jul 13 13:21:54.938: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 13:21:54.938: RADIUS: Framed-Compression [13] 6 VJ TCP/IP Header Compressi[1] Jul 13 13:21:54.938: RADIUS: Vendor, Cisco [26] 24 Jul 13 13:21:54.938: RADIUS: Cisco AVpair [1] 18 "ip:addr-pool=102" Jul 13 13:21:54.938: RADIUS(000001EF): Received from id 1645/45 Jul 13 13:21:54.946: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up Jul 13 13:21:54.946: RADIUS/ENCODE(000001EF):Orig. component type = VPDN Jul 13 13:21:54.946: RADIUS(000001EF): sending Jul 13 13:21:54.946: RADIUS(000001EF): Send Accounting-Request to 10.141.1.1:1813 id 1646/160, len 219 Jul 13 13:21:54.946: RADIUS: authenticator 8C 30 75 ED 2E E6 0C F9 - 19 7B BA 1B 50 C0 4D FD Jul 13 13:21:54.946: RADIUS: Acct-Session-Id [44] 18 "0A8D01F9000002B2" Jul 13 13:21:54.946: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1] Jul 13 13:21:54.946: RADIUS: Tunnel-Server-Endpoi[67] 14 "10.141.1.249" Jul 13 13:21:54.946: RADIUS: Tunnel-Client-Endpoi[66] 14 "10.141.1.140" Jul 13 13:21:54.946: RADIUS: Tunnel-Assignment-Id[82] 3 "1" Jul 13 13:21:54.946: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 13:21:54.946: RADIUS: User-Name [1] 8 "180174" Jul 13 13:21:54.946: RADIUS: Vendor, Cisco [26] 32 Jul 13 13:21:54.946: RADIUS: Cisco AVpair [1] 26 "connect-progress=Call Up" Jul 13 13:21:54.946: RADIUS: Acct-Authentic [45] 6 RADIUS [1] Jul 13 13:21:54.946: RADIUS: Acct-Status-Type [40] 6 Start [1] Jul 13 13:21:54.946: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Jul 13 13:21:54.946: RADIUS: Vendor, Cisco [26] 23 Jul 13 13:21:54.946: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID330" Jul 13 13:21:54.946: RADIUS: NAS-Port [5] 6 330 Jul 13 13:21:54.946: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID330" Jul 13 13:21:54.946: RADIUS: Service-Type [6] 6 Framed [2] Jul 13 13:21:54.946: RADIUS: NAS-IP-Address [4] 6 10.141.1.249 Jul 13 13:21:54.946: RADIUS: Event-Timestamp [55] 6 1247491314 Jul 13 13:21:54.946: RADIUS: Nas-Identifier [32] 10 "ciscoISG" Jul 13 13:21:54.946: RADIUS: Acct-Delay-Time [41] 6 0 Jul 13 13:21:54.950: RADIUS/ENCODE(000001EF):Orig. component type = VPDN Jul 13 13:21:54.950: RADIUS(000001EF): sending Jul 13 13:21:54.950: RADIUS(000001EF): Send Accounting-Request to 10.141.1.1:1813 id 1646/161, len 258 Jul 13 13:21:54.950: RADIUS: authenticator 88 57 3D 11 B2 BD 04 F9 - 00 06 8A C9 58 11 24 74 Jul 13 13:21:54.950: RADIUS: Acct-Session-Id [44] 18 "0A8D01F9000002B2" Jul 13 13:21:54.950: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1] Jul 13 13:21:54.950: RADIUS: Tunnel-Server-Endpoi[67] 14 "10.141.1.249" Jul 13 13:21:54.950: RADIUS: Tunnel-Client-Endpoi[66] 14 "10.141.1.140" Jul 13 13:21:54.950: RADIUS: Tunnel-Assignment-Id[82] 3 "1" Jul 13 13:21:54.950: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 13:21:54.950: RADIUS: Framed-IP-Address [8] 6 192.168.1.2 Jul 13 13:21:54.950: RADIUS: User-Name [1] 8 "180174" Jul 13 13:21:54.950: RADIUS: Vendor, Cisco [26] 35 Jul 13 13:21:54.950: RADIUS: Cisco AVpair [1] 29 "connect-progress=LAN Ses Up" Jul 13 13:21:54.950: RADIUS: Acct-Session-Time [46] 6 0 Jul 13 13:21:54.950: RADIUS: Acct-Input-Octets [42] 6 106 Jul 13 13:21:54.950: RADIUS: Acct-Output-Octets [43] 6 108 Jul 13 13:21:54.950: RADIUS: Acct-Input-Packets [47] 6 5 Jul 13 13:21:54.950: RADIUS: Acct-Output-Packets [48] 6 6 Jul 13 13:21:54.950: RADIUS: Acct-Authentic [45] 6 RADIUS [1] Jul 13 13:21:54.950: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Jul 13 13:21:54.950: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Jul 13 13:21:54.950: RADIUS: Vendor, Cisco [26] 23 Jul 13 13:21:54.950: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID330" Jul 13 13:21:54.950: RADIUS: NAS-Port [5] 6 330 Jul 13 13:21:54.950: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID330" Jul 13 13:21:54.950: RADIUS: Service-Type [6] 6 Framed [2] Jul 13 13:21:54.950: RADIUS: NAS-IP-Address [4] 6 10.141.1.249 Jul 13 13:21:54.950: RADIUS: Event-Timestamp [55] 6 1247491314 Jul 13 13:21:54.950: RADIUS: Nas-Identifier [32] 10 "ciscoISG" Jul 13 13:21:54.950: RADIUS: Acct-Delay-Time [41] 6 0 Jul 13 13:21:54.958: RADIUS: Received from id 1646/160 10.141.1.1:1813, Accounting-response, len 20 Jul 13 13:21:54.958: RADIUS: authenticator 74 A2 86 B3 15 DF 41 95 - A2 97 3A F8 D9 46 10 BA Jul 13 13:21:54.970: RADIUS: Received from id 1646/161 10.141.1.1:1813, Accounting-response, len 20 Jul 13 13:21:54.970: RADIUS: authenticator 9A 6F 4C 8E E3 3A 4E 3A - 7E 14 33 26 F6 7F 24 2B Jul 13 13:21:55.946: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "С Radius сервера не работают vsa атрибуты"		+/–
Сообщение от StSphinx (??) on 13-Июл-09, 12:21
>[оверквотинг удален] >interface Virtual-Template1 > ip unnumbered Loopback0 > ip nat inside > ip virtual-reassembly > peer default ip address pool PPPoE1 > ppp authentication pap chap x-AUTH >! >access-list 102 permit icmp any host 81.x.xxx.xxx echo >access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply >access-list 102 deny icmp any any Насколько я понял, вы пытаетесь навесить 102 ACL на Virtual-Access из vsa ? Если так, то вы передаете не то значение атрибута... "ip:inacl[#number]={standardACL \| extendedACL}"—Upstream access control list (ACL). Specifies either a Cisco IOS standard ACL or an extended ACL to be applied to upstream traffic coming from the subscriber. # "ip:outacl[#number]={standardACL \| extendedACL}"—Downstream ACL. Specifies either a Cisco IOS standard ACL or an extended ACL to be applied to downstream traffic going to the subscriber. * number—Identifies the access list. If a profile includes multiple inacl or outacl attributes, the attributes are downloaded and executed according to the order implied by number. * standardACL—A Cisco IOS standard ACL. * extendedACL—A Cisco IOS extended ACL.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 13:14
	>[оверквотинг удален] >or an extended ACL to be applied to downstream traffic going >to the subscriber. > > * number—Identifies the access list. If a profile >includes multiple inacl or outacl attributes, the attributes are downloaded and >executed according to the order implied by number. > > * standardACL—A Cisco IOS standard ACL. > > * extendedACL—A Cisco IOS extended ACL. там опечатка вместо: На Radius: cisco-avpair:=ip:addr-pool=102 надо На Radius: cisco-avpair+=ip:outacl#1=deny icmp any any cisco-avpair+=ip:inacl#2=deny icmp any any хотябы так чтобы ping-а небыло никуда Но всеравно неработает вот debug radius: Jul 13 16:13:26.177: %ENVM-4-RPSFAIL: Power Supply may have a failed channel Jul 13 16:13:27.553: RADIUS: acct-timeout for E32F8D4 now 30, acct-jitter -1, acct-delay-time (at E32F9FD) now 29 Jul 13 16:13:27.553: RADIUS: no sg in radius-timers: ctx 0x651C6A34 sg 0x0000 Jul 13 16:13:27.553: RADIUS: Retransmit to (10.141.1.1:1812,1813) for id 1646/244 Jul 13 16:13:30.369: RADIUS/ENCODE(000001F9):Orig. component type = VPDN Jul 13 16:13:30.369: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included Jul 13 16:13:30.369: RADIUS/ENCODE(000001F9): acct_session_id: 707 Jul 13 16:13:30.369: RADIUS(000001F9): sending Jul 13 16:13:30.369: RADIUS(000001F9): Send Access-Request to 10.141.1.1:1812 id 1645/52, len 151 Jul 13 16:13:30.369: RADIUS: authenticator 30 E3 AA 90 EB 99 BC C2 - 63 C7 10 BD DA F8 45 B9 Jul 13 16:13:30.369: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 16:13:30.369: RADIUS: User-Name [1] 8 "180174" Jul 13 16:13:30.369: RADIUS: CHAP-Password [3] 19 * Jul 13 16:13:30.369: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Jul 13 16:13:30.369: RADIUS: Vendor, Cisco [26] 23 Jul 13 16:13:30.369: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID337" Jul 13 16:13:30.369: RADIUS: NAS-Port [5] 6 337 Jul 13 16:13:30.369: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID337" Jul 13 16:13:30.369: RADIUS: Service-Type [6] 6 Framed [2] Jul 13 16:13:30.369: RADIUS: NAS-IP-Address [4] 6 10.141.1.249 Jul 13 16:13:30.369: RADIUS: Acct-Session-Id [44] 18 "0A8D01F9000002C3" Jul 13 16:13:30.369: RADIUS: Nas-Identifier [32] 10 "ciscoISG" Jul 13 16:13:30.369: RADIUS: Event-Timestamp [55] 6 1247501610 Jul 13 16:13:30.381: RADIUS: Received from id 1645/52 10.141.1.1:1812, Access-Accept, len 107 Jul 13 16:13:30.381: RADIUS: authenticator E0 7D F0 6A AB 76 22 3B - 6F E9 92 2B 22 A2 2B 2A Jul 13 16:13:30.381: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 16:13:30.381: RADIUS: Framed-Compression [13] 6 VJ TCP/IP Header Compressi[1] Jul 13 16:13:30.381: RADIUS: Vendor, Cisco [26] 37 Jul 13 16:13:30.381: RADIUS: Cisco AVpair [1] 31 "ip:inacl#2= deny icmp any any" Jul 13 16:13:30.381: RADIUS: Vendor, Cisco [26] 38 Jul 13 16:13:30.381: RADIUS: Cisco AVpair [1] 32 "ip:outacl#1= deny icmp any any" Jul 13 16:13:30.381: RADIUS(000001F9): Received from id 1645/52 Jul 13 16:13:30.401: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up Jul 13 16:13:30.401: RADIUS/ENCODE(000001F9):Orig. component type = VPDN Jul 13 16:13:30.401: RADIUS(000001F9): sending Jul 13 16:13:30.401: RADIUS(000001F9): Send Accounting-Request to 10.141.1.1:1813 id 1646/245, len 219 Jul 13 16:13:30.401: RADIUS: authenticator E2 0E 6E 23 25 0B 04 32 - 08 92 3A C8 7B 32 DD B6 Jul 13 16:13:30.401: RADIUS: Acct-Session-Id [44] 18 "0A8D01F9000002C3" Jul 13 16:13:30.401: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1] Jul 13 16:13:30.401: RADIUS: Tunnel-Server-Endpoi[67] 14 "10.141.1.249" Jul 13 16:13:30.401: RADIUS: Tunnel-Client-Endpoi[66] 14 "10.141.1.140" Jul 13 16:13:30.401: RADIUS: Tunnel-Assignment-Id[82] 3 "1" Jul 13 16:13:30.401: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 16:13:30.401: RADIUS: User-Name [1] 8 "180174" Jul 13 16:13:30.401: RADIUS: Vendor, Cisco [26] 32 Jul 13 16:13:30.401: RADIUS: Cisco AVpair [1] 26 "connect-progress=Call Up" Jul 13 16:13:30.401: RADIUS: Acct-Authentic [45] 6 RADIUS [1] Jul 13 16:13:30.401: RADIUS: Acct-Status-Type [40] 6 Start [1] Jul 13 16:13:30.401: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Jul 13 16:13:30.401: RADIUS: Vendor, Cisco [26] 23 Jul 13 16:13:30.401: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID337" Jul 13 16:13:30.401: RADIUS: NAS-Port [5] 6 337 Jul 13 16:13:30.401: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID337" Jul 13 16:13:30.401: RADIUS: Service-Type [6] 6 Framed [2] Jul 13 16:13:30.401: RADIUS: NAS-IP-Address [4] 6 10.141.1.249 Jul 13 16:13:30.401: RADIUS: Event-Timestamp [55] 6 1247501610 Jul 13 16:13:30.401: RADIUS: Nas-Identifier [32] 10 "ciscoISG" Jul 13 16:13:30.401: RADIUS: Acct-Delay-Time [41] 6 0 Jul 13 16:13:30.405: RADIUS/ENCODE(000001F9):Orig. component type = VPDN Jul 13 16:13:30.405: RADIUS(000001F9): sending Jul 13 16:13:30.405: RADIUS(000001F9): Send Accounting-Request to 10.141.1.1:1813 id 1646/246, len 258 Jul 13 16:13:30.405: RADIUS: authenticator 02 F2 18 CF 30 21 BA 76 - CB CF 68 9C 42 08 9E 1B Jul 13 16:13:30.405: RADIUS: Acct-Session-Id [44] 18 "0A8D01F9000002C3" Jul 13 16:13:30.405: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1] Jul 13 16:13:30.405: RADIUS: Tunnel-Server-Endpoi[67] 14 "10.141.1.249" Jul 13 16:13:30.405: RADIUS: Tunnel-Client-Endpoi[66] 14 "10.141.1.140" Jul 13 16:13:30.405: RADIUS: Tunnel-Assignment-Id[82] 3 "1" Jul 13 16:13:30.405: RADIUS: Framed-Protocol [7] 6 PPP [1] Jul 13 16:13:30.405: RADIUS: Framed-IP-Address [8] 6 192.168.1.2 Jul 13 16:13:30.405: RADIUS: User-Name [1] 8 "180174" Jul 13 16:13:30.405: RADIUS: Vendor, Cisco [26] 35 Jul 13 16:13:30.405: RADIUS: Cisco AVpair [1] 29 "connect-progress=LAN Ses Up" Jul 13 16:13:30.405: RADIUS: Acct-Session-Time [46] 6 0 Jul 13 16:13:30.405: RADIUS: Acct-Input-Octets [42] 6 106 Jul 13 16:13:30.405: RADIUS: Acct-Output-Octets [43] 6 108 Jul 13 16:13:30.405: RADIUS: Acct-Input-Packets [47] 6 5 Jul 13 16:13:30.405: RADIUS: Acct-Output-Packets [48] 6 6 Jul 13 16:13:30.405: RADIUS: Acct-Authentic [45] 6 RADIUS [1] Jul 13 16:13:30.405: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Jul 13 16:13:30.405: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Jul 13 16:13:30.405: RADIUS: Vendor, Cisco [26] 23 Jul 13 16:13:30.405: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID337" Jul 13 16:13:30.405: RADIUS: NAS-Port [5] 6 337 Jul 13 16:13:30.405: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID337" Jul 13 16:13:30.405: RADIUS: Service-Type [6] 6 Framed [2] Jul 13 16:13:30.405: RADIUS: NAS-IP-Address [4] 6 10.141.1.249 Jul 13 16:13:30.405: RADIUS: Event-Timestamp [55] 6 1247501610 Jul 13 16:13:30.405: RADIUS: Nas-Identifier [32] 10 "ciscoISG" Jul 13 16:13:30.405: RADIUS: Acct-Delay-Time [41] 6 0 Jul 13 16:13:30.413: RADIUS: Received from id 1646/245 10.141.1.1:1813, Accounting-response, len 20 Jul 13 16:13:30.413: RADIUS: authenticator 9A 8E 5A F2 3F 96 07 34 - F0 1E 3B BE DB 57 22 56 Jul 13 16:13:30.421: RADIUS: Received from id 1646/246 10.141.1.1:1813, Accounting-response, len 20 Jul 13 16:13:30.421: RADIUS: authenticator BB 1D 1E 31 D4 CC 3D 7F - 31 29 F4 9D 85 6F B1 B5 Jul 13 16:13:31.401: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access5, changed state to up Jul 13 16:13:36.745: RADIUS: acct-timeout for E005434 now 175, acct-jitter 0, acct-delay-time (at E00555D) now 175 Jul 13 16:13:36.745: RADIUS: no sg in radius-timers: ctx 0x6527DDA4 sg 0x0000 Jul 13 16:13:36.745: RADIUS: No response from (10.141.1.1:1812,1813) for id 1646/243 Jul 13 16:13:36.745: RADIUS/DECODE: No response from radius-server; parse response; FAIL Jul 13 16:13:36.745: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 13:16
	Вообще с Радиуса не работает vsa атрибуты.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от StSphinx (??) on 13-Июл-09, 14:02
	>Вообще с Радиуса не работает vsa атрибуты. Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте указывается НОМЕР ACL, а не сами правила.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от StSphinx (??) on 13-Июл-09, 14:11
	>>Вообще с Радиуса не работает vsa атрибуты. > >Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте >указывается НОМЕР ACL, а не сами правила. Хотя нет... Не прав я. Почитал внимательно, да, можно передавать сами правила... А что говорит sh ip int тот_virtual_access_который_создается ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 14:48
	>>>Вообще с Радиуса не работает vsa атрибуты. >> >>Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте >>указывается НОМЕР ACL, а не сами правила. > >Хотя нет... Не прав я. Почитал внимательно, да, можно передавать сами правила... > >А что говорит sh ip int тот_virtual_access_который_создается ? ciscoISG#sh ip int Virtual-Access 3 Virtual-Access3 is up, line protocol is up Interface is unnumbered. Using address of Loopback0 (192.168.1.1) Broadcast address is 255.255.255.255 Peer address is 192.168.1.2 MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP CEF switching is enabled IP Feature Fast switching turbo vector IP Feature CEF switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Policy routing is disabled Network address translation is enabled, interface in domain inside BGP Policy Mapping is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled WCCP Redirect exclude is disabled
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 14:53
	Я уже как только не пробовал эти правила создавать. Всё одно и тоже. Причём если написать на самом интерфейсе Virtual-Template1 ip access-group 102 in то в все заработает
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 14:12
	>>Вообще с Радиуса не работает vsa атрибуты. > >Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте >указывается НОМЕР ACL, а не сами правила. cisco-avpair:=ip:inacl=102 не работает это правило, т.к. пингует не только 81.x.xxx.xxx access-list 102 permit icmp any host 81.x.xxx.xxx echo access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply access-list 102 deny icmp any any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 14:24
	>[оверквотинг удален] >>Читайте мой пост внимательно... Я там привел выдержку из руководства... В атрибуте >>указывается НОМЕР ACL, а не сами правила. > >cisco-avpair:=ip:inacl=102 > >не работает это правило, т.к. пингует не только 81.x.xxx.xxx > >access-list 102 permit icmp any host 81.x.xxx.xxx echo >access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply >access-list 102 deny icmp any any Теперь правильно написал? Могу debug предоставить если надо. Проблема остается открытой.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 13-Июл-09, 14:41
	>[оверквотинг удален] >> >>не работает это правило, т.к. пингует не только 81.x.xxx.xxx >> >>access-list 102 permit icmp any host 81.x.xxx.xxx echo >>access-list 102 permit icmp any host 81.x.xxx.xxx echo-reply >>access-list 102 deny icmp any any > >Теперь правильно написал? >Могу debug предоставить если надо. >Проблема остается открытой. Может не применяеться правило из-за того что у меня nat и там есть правило? ip nat inside source list 1 interface GigabitEthernet0/1 overload access-list 1 permit 192.168.1.0 0.0.0.255 или радиус не на том интерфейсе: ip radius source-interface GigabitEthernet0/0 ! interface GigabitEthernet0/0 description PPTP clients ip address 10.141.1.249 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly duplex auto speed auto media-type rj45 no negotiation auto pppoe enable group global no mop enabled ! Уже не знаю что и подумать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от StSphinx (??) on 13-Июл-09, 15:58
	>[оверквотинг удален] > ip nat inside > ip virtual-reassembly > duplex auto > speed auto > media-type rj45 > no negotiation auto > pppoe enable group global > no mop enabled >! >Уже не знаю что и подумать. NAT точно не при чем... Может просто у Radius сервера нет словаря атрибутов Cisco ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 15-Июл-09, 06:13
	>[оверквотинг удален] >> speed auto >> media-type rj45 >> no negotiation auto >> pppoe enable group global >> no mop enabled >>! >>Уже не знаю что и подумать. > >NAT точно не при чем... Может просто у Radius сервера нет словаря >атрибутов Cisco Словарь атрибутов есть, это таблица dictonary, и там есть атрибут cisco-avpair. Может надо писать не в таблицу radreply: cisco-avpair:=ip:inacl=102 Вопрос остается открытым: Почему Радиус не передает vsa атрибуты или Cisco не применяет их?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "С Radius сервера не работают vsa атрибуты"		+/–
	Сообщение от enb83 (ok) on 15-Июл-09, 07:29
	УРА! УРА! УРА! Атрибуты начали применяться на interface Virtual-Template1 после добавления туда ppp authorization X-AUTH
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору