The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"VSA Return_code и Authentication Access !!!"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение [ Отслеживать ]

"VSA Return_code и Authentication Access !!!"  +/
Сообщение от ATeam email(??) on 19-Окт-06, 19:03 
Ребята , помогите советом, кто знает.

Вопрос по IVR
При ответи Радиуса - Access acept - радиус передаёт циске атрибуты VSA без всяких проблем. Соответственно я могу анализировать Return-code атрибут.

1d06h: RADIUS:  User-Name           [1]   8   "010203"
1d06h: RADIUS:  User-Password       [2]   18  *
1d06h: RADIUS:  Vendor, Cisco       [26]  56
1d06h: RADIUS:   Conf-Id            [24]  50  "h323-conf-id=2DA62E80 5EB911DB 8136000E 3846AC74"
1d06h: RADIUS:  Vendor, Cisco       [26]  38
1d06h: RADIUS:   Cisco AVpair       [1]   32  "h323-ivr-out=transactionID:110"
1d06h: RADIUS:  NAS-Port-Type       [61]  6   Async                     [0]
1d06h: RADIUS:  NAS-Port            [5]   6   0
1d06h: RADIUS:  NAS-Port-Id         [87]  15  "ISDN 3/0:D:26"
1d06h: RADIUS:  Service-Type        [6]   6   Login                     [1]
1d06h: RADIUS:  NAS-IP-Address      [4]   6   81.222.80.5
1d06h: RADIUS: Received from id 1645/207 81.xxx.xx.xx:1655, Access-Accept, len 668
1d06h: RADIUS:  authenticator 6E 0D F9 98 B1 AF 1C F7 - 84 12 36 08 8A 25 22 7E
1d06h: RADIUS:  Vendor, Cisco       [26]  26
1d06h: RADIUS:   h323-return-code   [103] 20  "h323-return-code=0"
1d06h: RADIUS:  Vendor, Cisco       [26]  34
1d06h: RADIUS:   h323-credit-amount [101] 28  "h323-credit-amount=.456383"
1d06h: RADIUS:  Vendor, Cisco       [26]  27
1d06h: RADIUS:   h323-credit-time   [102] 21  "h323-credit-time=22"
1d06h: RADIUS:  Vendor, Cisco       [26]  12
1d06h: RADIUS:  Unsupported         [194] 6
1d06h: RADIUS:   00 00 00 3C                                      [???<]
1d06h: RADIUS:  Framed-IP-Netmask   [9]   6   255.255.255.255
1d06h: RADIUS:  Framed-MTU          [12]  6   1500
1d06h: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
1d06h: RADIUS:  Service-Type        [6]   6   Framed                    [2]
1d06h: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP Header Compressi[1]
1d06h: RADIUS:  Session-Timeout     [27]  6   21


А вот при ответе радиуса access reject (код ao_002) почему то циска не получает(или игнорирует) атрибуты VSA !!! попробовал их засунуть в Reply-Message , но скрипт этого не понимает !!


1d06h: RADIUS(000002C6): Send Access-Request to 81.xxx.xx.xx2:1655 id 1645/206, len 179
1d06h: RADIUS:  authenticator E6 04 D4 3C 73 60 78 17 - DF 19 38 A6 B3 66 66 2F
1d06h: RADIUS:  User-Name           [1]   8   "010203"
1d06h: RADIUS:  User-Password       [2]   18  *
1d06h: RADIUS:  Vendor, Cisco       [26]  56
1d06h: RADIUS:   Conf-Id            [24]  50  "h323-conf-id=F81E8B35 5EB811DB 8135000E 3846AC74"
1d06h: RADIUS:  Vendor, Cisco       [26]  38
1d06h: RADIUS:   Cisco AVpair       [1]   32  "h323-ivr-out=transactionID:109"
1d06h: RADIUS:  NAS-Port-Type       [61]  6   Async                     [0]
1d06h: RADIUS:  NAS-Port            [5]   6   0
1d06h: RADIUS:  NAS-Port-Id         [87]  15  "ISDN 3/0:D:27"
1d06h: RADIUS:  Service-Type        [6]   6   Login                     [1]
1d06h: RADIUS:  NAS-IP-Address      [4]   6   81.xxx.xx.5
1d06h: RADIUS: Received from id 1645/206 81.xxx.xx.xx:1655, Access-Reject, len 40
1d06h: RADIUS:  authenticator FC B1 D6 4F 5C 20 05 5D - 1B DC E3 10 E9 1F 47 82
1d06h: RADIUS:  Reply-Message       [18]  20
1d06h: RADIUS:   68 33 32 33 2D 72 65 74 75 72 6E 2D 63 6F 64 65  [h323-return-code]
1d06h: RADIUS:   3D 32                                            [=2]


Вот и вопрос - это с чем косяк ? по всем данным что успел нарыть на циске.сом  , при access-reject передача VSA атрибутов так же возможна !!! Так ли это ? где копать ? (FreeRadius использую)


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "VSA Return_code и Authentication Access !!!"  +/
Сообщение от ATeam email(ok) on 19-Окт-06, 19:16 
>Ребята , помогите советом, кто знает.
>
>Вопрос по IVR
>При ответи Радиуса - Access acept - радиус передаёт циске атрибуты VSA
>без всяких проблем. Соответственно я могу анализировать Return-code атрибут.
>
>1d06h: RADIUS:  User-Name        
>  [1]   8   "010203"
>1d06h: RADIUS:  User-Password       [2]  
> 18  *
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 56
>1d06h: RADIUS:   Conf-Id        
>    [24]  50  "h323-conf-id=2DA62E80 5EB911DB 8136000E
>3846AC74"
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 38
>1d06h: RADIUS:   Cisco AVpair      
>[1]   32  "h323-ivr-out=transactionID:110"
>1d06h: RADIUS:  NAS-Port-Type       [61]  
>6   Async        
>          
>  [0]
>1d06h: RADIUS:  NAS-Port        
>   [5]   6   0
>1d06h: RADIUS:  NAS-Port-Id        
>[87]  15  "ISDN 3/0:D:26"
>1d06h: RADIUS:  Service-Type        [6]
>  6   Login      
>          
>    [1]
>1d06h: RADIUS:  NAS-IP-Address      [4]  
>6   81.222.80.5
>1d06h: RADIUS: Received from id 1645/207 81.xxx.xx.xx:1655, Access-Accept, len 668
>1d06h: RADIUS:  authenticator 6E 0D F9 98 B1 AF 1C F7
>- 84 12 36 08 8A 25 22 7E
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 26
>1d06h: RADIUS:   h323-return-code   [103] 20  "h323-return-code=0"
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 34
>1d06h: RADIUS:   h323-credit-amount [101] 28  "h323-credit-amount=.456383"
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 27
>1d06h: RADIUS:   h323-credit-time   [102] 21  "h323-credit-time=22"
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 12
>1d06h: RADIUS:  Unsupported        
>[194] 6
>1d06h: RADIUS:   00 00 00 3C    
>          
>          
>          
>[???<]
>1d06h: RADIUS:  Framed-IP-Netmask   [9]   6  
>255.255.255.255
>1d06h: RADIUS:  Framed-MTU        
> [12]  6   1500
>1d06h: RADIUS:  Framed-Protocol     [7]   6
>  PPP        
>          
>   [1]
>1d06h: RADIUS:  Service-Type        [6]
>  6   Framed      
>          
>   [2]
>1d06h: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP
>Header Compressi[1]
>1d06h: RADIUS:  Session-Timeout     [27]  6  
> 21
>
>
>
>
>А вот при ответе радиуса access reject (код ao_002) почему то циска
>не получает(или игнорирует) атрибуты VSA !!! попробовал их засунуть в Reply-Message
>, но скрипт этого не понимает !!
>
>
>
>
>1d06h: RADIUS(000002C6): Send Access-Request to 81.xxx.xx.xx2:1655 id 1645/206, len 179
>1d06h: RADIUS:  authenticator E6 04 D4 3C 73 60 78 17
>- DF 19 38 A6 B3 66 66 2F
>1d06h: RADIUS:  User-Name        
>  [1]   8   "010203"
>1d06h: RADIUS:  User-Password       [2]  
> 18  *
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 56
>1d06h: RADIUS:   Conf-Id        
>    [24]  50  "h323-conf-id=F81E8B35 5EB811DB 8135000E
>3846AC74"
>1d06h: RADIUS:  Vendor, Cisco       [26]
> 38
>1d06h: RADIUS:   Cisco AVpair      
>[1]   32  "h323-ivr-out=transactionID:109"
>1d06h: RADIUS:  NAS-Port-Type       [61]  
>6   Async        
>          
>  [0]
>1d06h: RADIUS:  NAS-Port        
>   [5]   6   0
>1d06h: RADIUS:  NAS-Port-Id        
>[87]  15  "ISDN 3/0:D:27"
>1d06h: RADIUS:  Service-Type        [6]
>  6   Login      
>          
>    [1]
>1d06h: RADIUS:  NAS-IP-Address      [4]  
>6   81.xxx.xx.5
>1d06h: RADIUS: Received from id 1645/206 81.222.80.222:1655, Access-Reject, len 40
>1d06h: RADIUS:  authenticator FC B1 D6 4F 5C 20 05 5D
>- 1B DC E3 10 E9 1F 47 82
>1d06h: RADIUS:  Reply-Message       [18]  
>20
>1d06h: RADIUS:   68 33 32 33 2D 72 65 74
>75 72 6E 2D 63 6F 64 65  [h323-return-code]
>1d06h: RADIUS:   3D 32      
>          
>          
>          
>    [=2]
>
>
>
>
>Вот и вопрос - это с чем косяк ? по всем данным
>что успел нарыть на циске.сом  , при access-reject передача VSA
>атрибутов так же возможна !!! Так ли это ? где копать
>? (FreeRadius использую)

VSA in Access-Reject
Symptom: FreeRADIUS is not including VSA attributes in Access-Reject packets. (but it worked in earlier versions of FreeRADIUS)

According RFC 2865 (section 5.44) Vendor-Specific Attributes aren't allow in Access-Reject packets.

This behaviour was fixed in newer versions of FreeRADIUS

Ларчик открывался просто ))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "VSA Return_code и Authentication Access !!!"  +/
Сообщение от ATeam email(ok) on 20-Окт-06, 09:24 
>>Ребята , помогите советом, кто знает.
>>
>>Вопрос по IVR
>>При ответи Радиуса - Access acept - радиус передаёт циске атрибуты VSA
>>без всяких проблем. Соответственно я могу анализировать Return-code атрибут.
>>
>>1d06h: RADIUS:  User-Name        
>>  [1]   8   "010203"
>>1d06h: RADIUS:  User-Password       [2]  
>> 18  *
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 56
>>1d06h: RADIUS:   Conf-Id        
>>    [24]  50  "h323-conf-id=2DA62E80 5EB911DB 8136000E
>>3846AC74"
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 38
>>1d06h: RADIUS:   Cisco AVpair      
>>[1]   32  "h323-ivr-out=transactionID:110"
>>1d06h: RADIUS:  NAS-Port-Type       [61]  
>>6   Async        
>>          
>>  [0]
>>1d06h: RADIUS:  NAS-Port        
>>   [5]   6   0
>>1d06h: RADIUS:  NAS-Port-Id        
>>[87]  15  "ISDN 3/0:D:26"
>>1d06h: RADIUS:  Service-Type        [6]
>>  6   Login      
>>          
>>    [1]
>>1d06h: RADIUS:  NAS-IP-Address      [4]  
>>6   81.222.80.5
>>1d06h: RADIUS: Received from id 1645/207 81.xxx.xx.xx:1655, Access-Accept, len 668
>>1d06h: RADIUS:  authenticator 6E 0D F9 98 B1 AF 1C F7
>>- 84 12 36 08 8A 25 22 7E
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 26
>>1d06h: RADIUS:   h323-return-code   [103] 20  "h323-return-code=0"
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 34
>>1d06h: RADIUS:   h323-credit-amount [101] 28  "h323-credit-amount=.456383"
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 27
>>1d06h: RADIUS:   h323-credit-time   [102] 21  "h323-credit-time=22"
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 12
>>1d06h: RADIUS:  Unsupported        
>>[194] 6
>>1d06h: RADIUS:   00 00 00 3C    
>>          
>>          
>>          
>>[???<]
>>1d06h: RADIUS:  Framed-IP-Netmask   [9]   6  
>>255.255.255.255
>>1d06h: RADIUS:  Framed-MTU        
>> [12]  6   1500
>>1d06h: RADIUS:  Framed-Protocol     [7]   6
>>  PPP        
>>          
>>   [1]
>>1d06h: RADIUS:  Service-Type        [6]
>>  6   Framed      
>>          
>>   [2]
>>1d06h: RADIUS:  Framed-Compression  [13]  6   VJ TCP/IP
>>Header Compressi[1]
>>1d06h: RADIUS:  Session-Timeout     [27]  6  
>> 21
>>
>>
>>
>>
>>А вот при ответе радиуса access reject (код ao_002) почему то циска
>>не получает(или игнорирует) атрибуты VSA !!! попробовал их засунуть в Reply-Message
>>, но скрипт этого не понимает !!
>>
>>
>>
>>
>>1d06h: RADIUS(000002C6): Send Access-Request to 81.xxx.xx.xx2:1655 id 1645/206, len 179
>>1d06h: RADIUS:  authenticator E6 04 D4 3C 73 60 78 17
>>- DF 19 38 A6 B3 66 66 2F
>>1d06h: RADIUS:  User-Name        
>>  [1]   8   "010203"
>>1d06h: RADIUS:  User-Password       [2]  
>> 18  *
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 56
>>1d06h: RADIUS:   Conf-Id        
>>    [24]  50  "h323-conf-id=F81E8B35 5EB811DB 8135000E
>>3846AC74"
>>1d06h: RADIUS:  Vendor, Cisco       [26]
>> 38
>>1d06h: RADIUS:   Cisco AVpair      
>>[1]   32  "h323-ivr-out=transactionID:109"
>>1d06h: RADIUS:  NAS-Port-Type       [61]  
>>6   Async        
>>          
>>  [0]
>>1d06h: RADIUS:  NAS-Port        
>>   [5]   6   0
>>1d06h: RADIUS:  NAS-Port-Id        
>>[87]  15  "ISDN 3/0:D:27"
>>1d06h: RADIUS:  Service-Type        [6]
>>  6   Login      
>>          
>>    [1]
>>1d06h: RADIUS:  NAS-IP-Address      [4]  
>>6   81.xxx.xx.5
>>1d06h: RADIUS: Received from id 1645/206 81.222.80.222:1655, Access-Reject, len 40
>>1d06h: RADIUS:  authenticator FC B1 D6 4F 5C 20 05 5D
>>- 1B DC E3 10 E9 1F 47 82
>>1d06h: RADIUS:  Reply-Message       [18]  
>>20
>>1d06h: RADIUS:   68 33 32 33 2D 72 65 74
>>75 72 6E 2D 63 6F 64 65  [h323-return-code]
>>1d06h: RADIUS:   3D 32      
>>          
>>          
>>          
>>    [=2]
>>
>>
>>
>>
>>Вот и вопрос - это с чем косяк ? по всем данным
>>что успел нарыть на циске.сом  , при access-reject передача VSA
>>атрибутов так же возможна !!! Так ли это ? где копать
>>? (FreeRadius использую)
>
>
>
>
>
>
>
>
>
>
>
>
>
>VSA in Access-Reject
>Symptom: FreeRADIUS is not including VSA attributes in Access-Reject packets. (but it
>worked in earlier versions of FreeRADIUS)
>
>According RFC 2865 (section 5.44) Vendor-Specific Attributes aren't allow in Access-Reject packets.
>
>
>This behaviour was fixed in newer versions of FreeRADIUS
>
>
>
>
>
>
>
>Ларчик открывался просто ))


Но судя по всему этого мало !!(((
Люди , кто сталкивался ?
А то в скрипте идёт проверка статуса -


if {$status == "ao_000"} {
        if {[infotag get aaa_avpair_exists h323-credit-amount]} {
        set amt [infotag get aaa_avpair h323-credit-amount]
        } else {
        media play leg_incoming _no_aaa2.au;
        fsm setstate CALLDISCONNECT;
        return;
        }
    fsm setstate DESTSELECTION;
    
    if {$amt <= 999999.99} {
        media play leg_incoming _you_have.au %a$amt _enter_dest.au;
        } else {
        media play leg_incoming _enter_dest.au;
        }
    leg collectdigits leg_incoming ParamForDest;
    return;
    }

    if {[infotag get aaa_avpair_exists h323-return-code]} {
        set return_code [infotag get aaa_avpair h323-return-code];
        } else {
        media play leg_incoming _no_aaa1.au;
        fsm setstate CALLDISCONNECT;
        return;
        }


и если возвращается не ao_000 , то идёт проверка есть ли атрибут h323-return-code !!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "VSA Return_code и Authentication Access !!!"  +/
Сообщение от Maxim email(??) on 06-Ноя-06, 16:29 

>VSA in Access-Reject
>Symptom: FreeRADIUS is not including VSA attributes in Access-Reject packets. (but it
>worked in earlier versions of FreeRADIUS)
>
>According RFC 2865 (section 5.44) aren't allow in Access-Reject packets.
>
>
>This behaviour was fixed in newer versions of FreeRADIUS
У меня такая же проблема.
При Access-Reject Cisco не принимает данные. У меня версия Freeradius 1.1.2.
А то что описано выше было в bug еще в 2005-07-11 12:12. Поэтому вряд ли проблема в этом.
По логам Freeradius отображает значения h323-return-code.
А вот Cisco не показывает.
Так что я тоже разбираюсь над этой проблемой. Скорее нужно копать в сторону Cisco. На их сайте я не нашел чтобы они об это писали.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "VSA Return_code и Authentication Access !!!"  +/
Сообщение от ATeam email(??) on 07-Ноя-06, 08:37 
>
>>VSA in Access-Reject
>>Symptom: FreeRADIUS is not including VSA attributes in Access-Reject packets. (but it
>>worked in earlier versions of FreeRADIUS)
>>
>>According RFC 2865 (section 5.44) aren't allow in Access-Reject packets.
>>
>>
>>This behaviour was fixed in newer versions of FreeRADIUS
>У меня такая же проблема.
>При Access-Reject Cisco не принимает данные. У меня версия Freeradius 1.1.2.
>А то что описано выше было в bug еще в 2005-07-11 12:12.
>Поэтому вряд ли проблема в этом.
>По логам Freeradius отображает значения h323-return-code.
>А вот Cisco не показывает.
>Так что я тоже разбираюсь над этой проблемой. Скорее нужно копать в
>сторону Cisco. На их сайте я не нашел чтобы они об
>это писали.

Проблема решилась ещё в дни написания поста.
Дело не в CISCO , а в радиусе. Обновление до версии то же сначало не помогло.
Появится человечек, который пилил радиус, напишу , что он там крутил.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "VSA Return_code и Authentication Access !!!"  +/
Сообщение от Maxim (??) on 14-Ноя-06, 13:46 
>>
>>>VSA in Access-Reject
>>>Symptom: FreeRADIUS is not including VSA attributes in Access-Reject packets. (but it
>>>worked in earlier versions of FreeRADIUS)
>>>
>>>According RFC 2865 (section 5.44) aren't allow in Access-Reject packets.
>>>
>>>
>>>This behaviour was fixed in newer versions of FreeRADIUS
>>У меня такая же проблема.
>>При Access-Reject Cisco не принимает данные. У меня версия Freeradius 1.1.2.
>>А то что описано выше было в bug еще в 2005-07-11 12:12.
>>Поэтому вряд ли проблема в этом.
>>По логам Freeradius отображает значения h323-return-code.
>>А вот Cisco не показывает.
>>Так что я тоже разбираюсь над этой проблемой. Скорее нужно копать в
>>сторону Cisco. На их сайте я не нашел чтобы они об
>>это писали.
>
>Проблема решилась ещё в дни написания поста.
>Дело не в CISCO , а в радиусе. Обновление до версии то
>же сначало не помогло.
>Появится человечек, который пилил радиус, напишу , что он там крутил.

Ага давай а то проблема серьезная клиенты звонят постоянно, потому что не знают из-за чего им идет отказ. Буду ждать ответа твоего.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "VSA Return_code и Authentication Access !!!"  +/
Сообщение от cheloveka on 29-Окт-10, 09:33 
>[оверквотинг удален]
>>Поэтому вряд ли проблема в этом.
>>По логам Freeradius отображает значения h323-return-code.
>>А вот Cisco не показывает.
>>Так что я тоже разбираюсь над этой проблемой. Скорее нужно копать в
>>сторону Cisco. На их сайте я не нашел чтобы они об
>>это писали.
> Проблема решилась ещё в дни написания поста.
> Дело не в CISCO , а в радиусе. Обновление до версии то
> же сначало не помогло.
> Появится человечек, который пилил радиус, напишу , что он там крутил.

Всем привет!
Искал решения данной проблемы, наткнулся на эту ветку, но окончательного решения здесь не нашел. Через некоторое время проблему с коллегами  решили самостоятельно следующим образом:
Сейчас стоит FreeRADIUS Version 2.1.10. Имеется такой файл, как ...raddb/attrs.access_reject.
Файл до проблемы:
DEFAULT
        EAP-Message =* ANY,
        State =* ANY,
        Message-Authenticator =* ANY,
        Reply-Message =* ANY,
        Proxy-State =* ANY

Файл после:

DEFAULT
        EAP-Message =* ANY,
        State =* ANY,
        Message-Authenticator =* ANY,
        Reply-Message =* ANY,
        Proxy-State =* ANY,
        Cisco-AVPair =* ANY

Надеюсь, данная информация кому-то поможет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру