forum.bitel.ru :: Просмотр темы - Radius авторизация

forum.bitel.ru http://forum.bitel.ru/

Radius авторизация http://forum.bitel.ru/viewtopic.php?f=44&t=10448	Страница 1 из 1

Автор:

chedmi [ 22 апр 2015, 15:16 ]

Заголовок сообщения:

Radius авторизация

Добрый день.
Есть такая выдержка из конфига рут-устройства радиус:

connection.start.fromAccept=1
#атрибуты CoA запроса для прекращения доступа
sa.radius.connection.attributes=Acct-Session-Id
sa.radius.connection.withoutBreak=0
sa.radius.connection.coa.mode=1
sa.radius.connection.coa.onEnable=1
sa.radius.coa.attributes=User-Name;Framed-IP-Address;Acct-Session-Id
sa.radius.connection.stateModify=0
sa.radius.log=1
radius.connection.checkDuplicate=1

# -------------------------------

#radius.secret=Kdk4E94Hkkje
#атрибуты, выдаваемые при авторизации по реалму default (default - реалм по умолчанию)
#radius.realm.default.attributes=
#категории ip адресов из ресурсов, из которых будут выдаваться адреса ("пул", указывается во вкладке "IP ресурсы")
radius.realm.default.ipCategories=15
#radius.realm.default.ipCategories=9
#категории ip адресов из ресурсов, из которых будут выдаваться адреса для отключенных ("пул", указывается во вкладке "IP ресурсы")
radius.disable.ipCategories=17
#коды ошибок, при которых вместо reject выдавать accept с заданными атрибутами
#(пользователю выдается серый адрес и устанавливается HTTP-редирект)
radius.disable.accessCodes=1,2,3,4,10,11,12
ip.resource.category=14

И есть иллюстрация ip-ресурсов в присоединенном файле.
При подключении pptp на сервис, связанный с подчиненным устройством указанного корневого устройства выдается ip из сетки
10.25.0.0 (ip-ресурс Deny).
Хотя договор действующий, не отключенный.
Что может быть не так ?

Вложения:

1.jpg [ 143.56 КБ | Просмотров: 7564 ]

Автор:	stark [ 22 апр 2015, 16:06 ]
Заголовок сообщения:	Re: Radius авторизация
сервис в каком состоянии? сессия в каком ?

Автор:	Amir [ 22 апр 2015, 16:29 ]
Заголовок сообщения:	Re: Radius авторизация
Во вкладке Монитор если выбрать ошибки - по этому договору нет ошибок?

Автор:	chedmi [ 22 апр 2015, 18:10 ]
Заголовок сообщения:	Re: Radius авторизация
Сервис "Открыт, Включен". Сессии нет совсем. На вкладке "Монитор" сейчас ошибок нет. Вчера была ошибка неправильного ввода пароля - сейчас уже исправили.

Автор:	Amir [ 22 апр 2015, 18:15 ]
Заголовок сообщения:	Re: Radius авторизация
А что по ошибкам в мониторе? Если авторизация не прошла (а если выдал адрес из Deny, то скорее всего не прошла), InetAccess должен был добавить запись об ошибке. Если сессии нет, но получает из Deny - т.е. все-таки был выдан Access-Accept, но сессии в биллинге нет - возможно по такой сессии не идет RADIUS-аккаунтинг с железки. Либо смотреть логи InetAccounting - может быть пакет пришел, но что-то произошло не так.

Автор:	chedmi [ 29 апр 2015, 12:20 ]
Заголовок сообщения:	Re: Radius авторизация
Пришел ответ по железке. По дебагам видно что аккаунтинг как и отправляется с циски так и попадает в радиус: Apr 21 12:17:12.961: RADIUS(0000002E): Send Accounting-Request to 89.19.201.43:1813 id 1646/192, len 343 Apr 21 12:17:12.961: RADIUS: authenticator 6B 81 94 27 BC 45 83 86 - 0D 2E 23 50 CF 5B F0 FF Apr 21 12:17:12.961: RADIUS: Acct-Session-Id [44] 10 "0000002C" Apr 21 12:17:12.961: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1] Apr 21 12:17:12.961: RADIUS: Tunnel-Server-Endpoi[67] 12 "10.23.0.37" Apr 21 12:17:12.961: RADIUS: Tunnel-Client-Endpoi[66] 14 "89.19.203.61" Apr 21 12:17:12.965: RADIUS: Tunnel-Assignment-Id[82] 6 "main" Apr 21 12:17:12.965: RADIUS: Tunnel-Server-Auth-I[91] 18 "2801_Krasnoarm74" Apr 21 12:17:12.965: RADIUS: Acct-Tunnel-Connecti[68] 7 "31786" Apr 21 12:17:12.965: RADIUS: Framed-Protocol [7] 6 PPP [1] Apr 21 12:17:12.965: RADIUS: Framed-IP-Address [8] 6 10.25.0.4 Apr 21 12:17:12.965: RADIUS: Vendor, Cisco [26] 59 Apr 21 12:17:12.965: RADIUS: Cisco AVpair [1] 53 "ppp-disconnect-cause=Received LCP TERMREQ from peer" Apr 21 12:17:12.965: RADIUS: User-Name [1] 5 "fsd" Ap но правда видно какую-то ругать от биллинга: Response (194) failed decrypt

Автор:	chedmi [ 29 апр 2015, 15:24 ]
Заголовок сообщения:	Re: Radius авторизация
И еще от сетевого администратора цисок получен такой ответ: Возможно радиус не поддерживает ms-chap-v2: ну значит копайте радиус, на циске поддержка мс-чап2 есть interface Virtual-Template1 ip unnumbered FastEthernet0/1.2 ip access-group RFC-3704 in peer default ip address pool PPPoE ppp authentication ms-chap ms-chap-v2 chap pap радиус у вас его значит не понимает

Автор:	Amir [ 29 апр 2015, 15:30 ]
Заголовок сообщения:	Re: Radius авторизация
А что все-таки в мониторе модуля Inet, какие ошибки отображает по этим логинам/абонентам? Цитата: Response (194) failed decrypt Это где такое? ms-chap-v2 может некорректно работать если указан неправильный RADIUS-секрет.

Автор:	stark [ 30 апр 2015, 12:40 ]
Заголовок сообщения:	Re: Radius авторизация
покажите на всякий случай еще содержимое окна "о программе".

Автор:	chedmi [ 30 апр 2015, 13:21 ]
Заголовок сообщения:	Re: Radius авторизация
radius.secret-ы действительно были разные на циске и на биллинге, сейчас поправили, авторизация идет, но все равно выдается сетка deny вот лог циски radius 04-30/11:16:32 ERROR [rdsLstnr-p-6-t-5] RadiusListenerWorker - NAS not found for packet: Packet type: Accounting-Request Identifier: 154 Authenticator: {F9 CE CE 85 0E 6A FD FF 3E 51 A9 9F 78 DF 37 11} Attributes: Acct-Tunnel-Connection=32971 User-Name=fsd NAS-IP-Address=10.23.0.37 NAS-Port=81 Tunnel-Medium-Type:0=1 Service-Type=2 Tunnel-Client-Endpoint=89.19.203.61 Tunnel-Server-Endpoint=10.23.0.37 Framed-Protocol=1 Framed-IP-Address=10.25.0.112 Acct-Status-Type=1 Acct-Delay-Time=144 Acct-Session-Id=00000072 Acct-Authentic=1 NAS-Port-Id=Uniq-Sess-ID81 Event-Timestamp=1430378048 Tunnel-Assignment-ID=main Tunnel-Server-Auth-ID=2801_Krasnoarm74 NAS-Port-Type=5 cisco-avpair=connect-progress=LAN Ses Up

Автор:

chedmi [ 30 апр 2015, 13:25 ]

Заголовок сообщения:

Re: Radius авторизация

О программе

Вложения:

1.jpg [ 79.15 КБ | Просмотров: 7497 ]

Автор:	zavndw [ 30 апр 2015, 14:38 ]
Заголовок сообщения:	Re: Radius авторизация
если не ошибаюсь NAS not found for packet это у вас hostname на насе не тот что в биллинге поэтому биллинг не находит нас с которого приходит запрос и отклоняет его

Автор:	Amir [ 05 май 2015, 15:08 ]
Заголовок сообщения:	Re: Radius авторизация
Сначала ищет по NAS-Identifier, если не находит - ищет по NAS-IP-Address.

Автор:	Amir [ 06 май 2015, 15:32 ]
Заголовок сообщения:	Re: Radius авторизация
На вкладке Монитор модуля Inet должны быть ошибки. Reply-Message = "10" - это Сервис отключен, т.е. его состояние по какой-то причине - "отключено". Это должно быть видно в договоре в списке сервисов Inet. Рекомендую добавить в конфиг корневого устройства authorization.mode=1 и перезапустить Access и Accounting. В этом режиме не выдает "Сервис отключен", а выдает исходную ошибку: "Договор приостановлен", "Сервис закрыт" и т.п., что более удобно.

Автор:	chedmi [ 07 май 2015, 15:03 ]
Заголовок сообщения:	Re: Radius авторизация
Спасибо - разобрались.

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/