The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"CISCO 3620 - авторизация dialup & pptp "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(ok) on 26-Окт-07, 14:17 
Стоит cisco 3620.
На ней терминируются и dialup-пользователи и pptp-пользователи.
Для авторизации по логину/паролю cisco обращается в радиус на линукс-сервере.
Радиусом же определяется из какого диапазона ip-адресов надо выдать ip-адрес авторизующемуся клиенту.
Для диалап-клиентов:
Reply Item: Framed-IP-Address    ххх.ххх.191.33+
Для pptp-клиентов:
Reply Item: Framed-IP-Address    ххх.ххх.191.49+

Если радиус дает ххх.ххх.191.33+, то раздаются адреса с ххх.ххх.191.34 и далее. А на сколько далее? Как это задается? Сейчас получается, что два разных пользователя (один dialup, а другой pptp) запросто получают один и тот же ip-адрес. Почему?

На cisco 3620 никаких ip local pool нет.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от ShyLion (ok) on 26-Окт-07, 14:21 
>На cisco 3620 никаких ip local pool нет.

что мешает сделать?
читай доки к радиусу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(ok) on 26-Окт-07, 15:15 
>>На cisco 3620 никаких ip local pool нет.
>
>что мешает сделать?
>читай доки к радиусу.

Пришлось сделать их на циске:

ip local pool dial ххх.ххх.191.33 ххх.ххх.191.48
ip local pool pptp ххх.ххх.191.49 ххх.ххх.191.62

Ну и навесить для каждого теплейта:

interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin
!
interface Group-Async0
ip unnumbered FastEthernet1/0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
encapsulation ppp
no logging event link-status
autodetect encapsulation ppp
async mode interactive
peer default ip address pool dial
ppp authentication pap callin
group-range 1 30

А из радиуса вообще убрать указанный reply item на фиг!
Вот тогда заработало как надо. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от ShyLion (ok) on 27-Окт-07, 12:46 
>А из радиуса вообще убрать указанный reply item на фиг!
>Вот тогда заработало как надо. :)

В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так и имени пула адресов и киса оба способа поддерживает.
Так что это вопрос не о конфигурации кисы а о конкретной реализации сервера авторизации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(??) on 28-Окт-07, 10:00 
>>А из радиуса вообще убрать указанный reply item на фиг!
>>Вот тогда заработало как надо. :)
>
>В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так
>и имени пула адресов и киса оба способа поддерживает.
>Так что это вопрос не о конфигурации кисы а о конкретной реализации
>сервера авторизации.

Оказалось, что если есть и ip local pool на циске, и reply item в радиусе, что приоритетней является атрибут радиуса. При этом циска уже не проверяет кому и какие адреса выданы. В результате и получается, что могут быть два абонента с одинаковыми ip-адресами.
Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от ShyLion (ok) on 29-Окт-07, 07:05 
>Оказалось, что если есть и ip local pool на циске, и reply
>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>уже не проверяет кому и какие адреса выданы. В результате и
>получается, что могут быть два абонента с одинаковыми ip-адресами.
>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.

Это если радиус конкретный адрес выдает. А если имя пула, то все ок.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(ok) on 29-Окт-07, 07:35 
>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок.

Радиус выдавал по reply item, например: Framed-IP-Address: xxx.xxx.191.33+
Т.е. начиная с xxx.xxx.191.34. Но непонятно как надо было в радиусе поставить ограничение: выдавать с xxx.xxx.191.34 по с xxx.xxx.191.63.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(ok) on 30-Окт-07, 07:07 
>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок.

А как радиусом сообщить кошке из какого пула надо выдать ip?
Cisco-IP-Pool-Definition ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от ShyLion (ok) on 30-Окт-07, 10:14 
>А как радиусом сообщить кошке из какого пула надо выдать ip?
>Cisco-IP-Pool-Definition ?

Cisco-AVPair =3D "ip:addr-pool=pool_name"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(ok) on 30-Окт-07, 11:54 
>>А как радиусом сообщить кошке из какого пула надо выдать ip?
>>Cisco-IP-Pool-Definition ?
>
>Cisco-AVPair =3D "ip:addr-pool=pool_name"

Наверное Cisco-AVPair ="ip:addr-pool=pool_name"  ?

Тогда наверное из темплейта:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin

надо убрать строку "peer default ip address pool pptp" ?
Просто убрать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от ShyLion (ok) on 30-Окт-07, 12:49 
>надо убрать строку "peer default ip address pool pptp" ?
>Просто убрать?

как хош. если не убирать, то будет использоваться при отсутствии в ответе от радиуса. у радиуса больший приоритет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "CISCO 3620 - авторизация dialup & pptp "  
Сообщение от Andrei_V email(ok) on 15-Фев-08, 08:13 
>>надо убрать строку "peer default ip address pool pptp" ?
>>Просто убрать?
>
>как хош. если не убирать, то будет использоваться при отсутствии в ответе
>от радиуса. у радиуса больший приоритет.

А если в радиусе есть:
и Cisco-AVPair ip:addr-pool=pptp
и Framed-IP-Address ххх.ххх.191.44
причем пул адресов с именем pptp на циске не пересекается с адресом, указанным в Framed-IP-Address, то юзер вообще не может получить никакого адреса. :( А хочется, чтобы получал всегда один и тот же адрес (ххх.ххх.191.44).
Убрать Cisco-AVPair ip:addr-pool=pptp для этого клиента не получается по другим причинам.
Подскажете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру