forum.bitel.ru http://forum.bitel.ru/ |
|
Решение SmartEdge 100 с авторизацией по порту коммутатора http://forum.bitel.ru/viewtopic.php?f=44&t=5361 |
Страница 7 из 7 |
Автор: | Amir [ 30 сен 2014, 19:57 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
А дальше что происходит, когда идет DHCP-диалог? |
Автор: | Khoma [ 30 сен 2014, 19:59 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
А на этом сессия заканчивается. |
Автор: | Amir [ 30 сен 2014, 20:01 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Т.е. от абонента не приходит DHCP-запрос? Или не уходит ответ на него? |
Автор: | Khoma [ 30 сен 2014, 20:38 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Полностью эта сессия выглядела вот так: Код: Time: 30.09.2014 17:36:23 Packet type: Access-Request Identifier: 146 Authenticator: {33 D7 6A A9 C0 E1 0D D6 E7 71 D6 9C 4D 6B 51 EB} Attributes: User-Name=e8:03:9a:b8:5d:8b NAS-Port-Id=2/1 vlan-id 4004 clips 221070 NAS-Identifier=Redback-IPOE User-Password= NAS-IP-Address=172.17.100.1 NAS-Port=553652132 Service-Type=5 NAS-Port-Type=5 Platform-Type=4 Medium-Type=11 Agent-Remote-Id={00 06 C8 BE 19 CD B8 C0} UNKNOWN[2352-202]={3D 3D 07 01 E8 03 9A B8 5D 8B} UNKNOWN[2352-202]={0C 0C 08 43 68 75 70 61 2D 50 43} Agent-Circuit-Id={00 04 0F A4 00 10} OS-Version=12.1.1.4p3 Mac-Addr=e8-03-9a-b8-5d-8b UNKNOWN[2352-125]={4D 53 46 54 20 35 2E 30} NAS-Real-Port=553652132 UNKNOWN[3561--1]={02 0A 00 06 C8 BE 19 CD B8 C0} UNKNOWN[3561--1]={01 08 00 04 0F A4 00 10} Time: 30.09.2014 17:36:23 Packet type: Access-Accept Identifier: 146 Authenticator: {2D 51 11 DF 69 D0 87 5B 73 45 2C 2A E5 F3 58 86} Attributes: Acct-Interim-Interval=900 DHCP-Max-Leases=1 Service-Name=RSE-SVC-EXT Service-Options:0=1 Service-Parameter=Rate=100000 Burst=12500000 IP-Interface-Name=subscribers Process time auth: 0 Time: 30.09.2014 17:36:23 Packet type: Accounting-Request Identifier: 213 Authenticator: {7F 76 B5 E4 3C C0 57 AA 4E EC F9 B2 2F CE EE 30} Attributes: Acct-Interim-Interval=900 User-Name=e8:03:9a:b8:5d:8b NAS-Port-Id=2/1 vlan-id 4004 clips 221070 NAS-Identifier=Redback-IPOE Event-Timestamp=1412084513 NAS-IP-Address=172.17.100.1 NAS-Port=553652132 Service-Type=5 Acct-Status-Type=1 NAS-Port-Type=5 Acct-Session-Id=0100FFFF78008E70-542AB320 Acct-Authentic=1 UNKNOWN[2352-205]={62 6F 74 68 3A 64 63 6C 69 70 73 2D 6E 61 74} DHCP-Max-Leases=1 Medium-Type=11 Platform-Type=4 Agent-Remote-Id={00 06 C8 BE 19 CD B8 C0} Agent-Circuit-Id={00 04 0F A4 00 10} UNKNOWN[2352-202]={3D 3D 07 01 E8 03 9A B8 5D 8B} UNKNOWN[2352-202]={0C 0C 08 43 68 75 70 61 2D 50 43} IP-Interface-Name=subscribers NAT-Policy-Name=nat-policy Qos-Policing-Profile-Name=in-dclips OS-Version=12.1.1.4p3 Acct-Update-Reason=1 Mac-Addr=e8-03-9a-b8-5d-8b UNKNOWN[2352-125]={4D 53 46 54 20 35 2E 30} Qos-Metering-Profile-Name=out-dclips NAS-Real-Port=553652132 UNKNOWN[3561--1]={02 0A 00 06 C8 BE 19 CD B8 C0} UNKNOWN[3561--1]={01 08 00 04 0F A4 00 10} Time: 30.09.2014 17:36:23 Packet type: Accounting-Request Identifier: 215 Authenticator: {6B 35 84 50 A8 C5 12 EA F3 3B 7E DF F6 71 B3 C6} Attributes: User-Name=e8:03:9a:b8:5d:8b NAS-Identifier=Redback-IPOE NAS-IP-Address=172.17.100.1 NAS-Port=553652132 Service-Type=5 Acct-Input-Octets=0 Acct-Output-Octets=0 Acct-Status-Type=3 Acct-Session-Time=0 Acct-Input-Packets=0 Acct-Session-Id=0100FFFF78008E70-542AB320 Acct-Authentic=1 Acct-Interim-Interval=900 NAS-Port-Id=2/1 vlan-id 4004 clips 221070 Acct-Output-Packets=0 Event-Timestamp=1412084513 Acct-Output-Gigawords=0 Acct-Input-Gigawords=0 NAS-Port-Type=5 UNKNOWN[2352-205]={62 6F 74 68 3A 64 63 6C 69 70 73 2D 6E 61 74} Acct-Mcast-Out-Packets-64={00 00 00 00 00 00 00 00} DHCP-Max-Leases=1 UNKNOWN[2352-202]={3D 3D 07 01 E8 03 9A B8 5D 8B} UNKNOWN[2352-202]={0C 0C 08 43 68 75 70 61 2D 50 43} Acct-Output-Octets-64={00 00 00 00 00 00 00 00} Acct-Input-Octets-64={00 00 00 00 00 00 00 00} Acct-Output-Packets-64={00 00 00 00 00 00 00 00} Acct-Input-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-In-Octets-64={00 00 00 00 00 00 00 00} Assigned-IP-Address=10.18.206.99 Acct-Mcast-In-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-Out-Octets-64={00 00 00 00 00 00 00 00} Qos-Policing-Profile-Name=in-dclips Acct-Update-Reason=10 Mac-Addr=e8-03-9a-b8-5d-8b Acct-Mcast-In-Octets=0 Acct-Mcast-Out-Octets=0 Qos-Metering-Profile-Name=out-dclips Acct-Mcast-In-Packets=0 Acct-Mcast-Out-Packets=0 Platform-Type=4 Medium-Type=11 Agent-Remote-Id={00 06 C8 BE 19 CD B8 C0} Agent-Circuit-Id={00 04 0F A4 00 10} IP-Interface-Name=subscribers NAT-Policy-Name=nat-policy OS-Version=12.1.1.4p3 UNKNOWN[2352-125]={4D 53 46 54 20 35 2E 30} NAS-Real-Port=553652132 UNKNOWN[3561--1]={02 0A 00 06 C8 BE 19 CD B8 C0} UNKNOWN[3561--1]={01 08 00 04 0F A4 00 10} Time: 30.09.2014 17:44:37 Packet type: Accounting-Request Identifier: 184 Authenticator: {6E 9C EF 9A 1A E2 4F 3F F6 59 17 D2 78 EA D7 74} Attributes: User-Name=e8:03:9a:b8:5d:8b NAS-Identifier=Redback-IPOE NAS-IP-Address=172.17.100.1 NAS-Port=553652132 Service-Type=5 Acct-Input-Octets=0 Acct-Output-Octets=0 Acct-Status-Type=2 Acct-Session-Time=494 Acct-Input-Packets=0 Acct-Session-Id=0100FFFF78008E70-542AB320 Acct-Authentic=1 Acct-Interim-Interval=900 NAS-Port-Id=2/1 vlan-id 4004 clips 221070 Acct-Terminate-Cause=17 Acct-Output-Packets=0 Event-Timestamp=1412085007 Acct-Output-Gigawords=0 Acct-Input-Gigawords=0 NAS-Port-Type=5 UNKNOWN[2352-205]={62 6F 74 68 3A 64 63 6C 69 70 73 2D 6E 61 74} Acct-Mcast-Out-Packets-64={00 00 00 00 00 00 00 00} DHCP-Max-Leases=1 Session-Error-Msg=DHCP IP-host mismatch Session-Error-Code=196 UNKNOWN[2352-202]={3D 3D 07 01 E8 03 9A B8 5D 8B} UNKNOWN[2352-202]={0C 0C 08 43 68 75 70 61 2D 50 43} Acct-Output-Octets-64={00 00 00 00 00 00 00 00} Acct-Input-Octets-64={00 00 00 00 00 00 00 00} Acct-Output-Packets-64={00 00 00 00 00 00 00 00} Acct-Input-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-In-Octets-64={00 00 00 00 00 00 00 00} Assigned-IP-Address=10.18.206.99 Acct-Mcast-In-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-Out-Octets-64={00 00 00 00 00 00 00 00} Qos-Policing-Profile-Name=in-dclips Acct-Update-Reason=2 Mac-Addr=e8-03-9a-b8-5d-8b Acct-Mcast-In-Octets=0 Acct-Mcast-Out-Octets=0 Qos-Metering-Profile-Name=out-dclips Acct-Mcast-In-Packets=0 Acct-Mcast-Out-Packets=0 Platform-Type=4 Medium-Type=11 Agent-Remote-Id={00 06 C8 BE 19 CD B8 C0} Agent-Circuit-Id={00 04 0F A4 00 10} IP-Interface-Name=subscribers NAT-Policy-Name=nat-policy OS-Version=12.1.1.4p3 UNKNOWN[2352-125]={4D 53 46 54 20 35 2E 30} NAS-Real-Port=553652132 UNKNOWN[3561--1]={02 0A 00 06 C8 BE 19 CD B8 C0} UNKNOWN[3561--1]={01 08 00 04 0F A4 00 10} На этом она оборвалась. К сожалению сегодня провести дальнейшие опыты не получится - абонент убежал, но завтра попробуем продолжить. Непонятна причина разрыва сессии. На этом же коммутаторе, другие абоненты вполне успешно работают. |
Автор: | ODV [ 19 окт 2014, 09:23 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Alex-XXI писал(а): Пробовали и с указанием сервисов, результат такой же, мистика какая-то. Периодически редбек дропает приходящие с биллинга access-accept пакеты: Код: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. Не может ли быть причиной ошибка в вычислении радиусом атрибута Authenticator ? Причиной оказалось, что биллинг по какой-то причине не использует секрет из параметра "radius.secret" конфига устройства. В свойствах устройства поле секрет было пустым, биллинг использовал это значение. Не смотря на это ошибка с DHCP осталась, IP-адрес не выдется Аналогичная проблема, Версия биллинга 6.1.777 ключ прописан в поле "Секрет/community" устройства и также прописывал в конфиге radius.secret= настройки SE100 аналогичны из WiKi авторизация не проходит Код: Oct 19 06:54:37.277: [0001]: %AAA-7-RADIUS: rad_srv_check_route, Context local, (10.1.1.1/1813): Route OK. loc addr is 172.16.0.1 [local]Redback#Oct 19 06:54:37.281: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queue Oct 19 06:54:37.282: [0001]: %AAA-7-RADIUS: rad_process_aaad_req: Receive request (Accounting On) Oct 19 06:54:37.282: [0001]: %AAA-7-RADIUS: rad_get_req_event_time: start_time 0x0000000000000000 elapsed_time 0 stop_time 0x0000000000000000 event_time_us 0x000000358bf7864e event_time 0x544327ed Oct 19 06:54:37.282: %AAA-7-RADIUS: rad_send, Process radius requests in acct on/off queue Oct 19 06:54:37.282: [0001]: %AAA-7-RADIUS: Using local address 172.16.0.1 Oct 19 06:54:37.282: [0001]: %AAA-7-RADIUS: do_send: 99 bytes send to radius server 10.1.1.1 (1813). Oct 19 06:54:37.282: %AAA-7-RADIUS: rad_process_send_queue, 1 requests processed (0 retransmit) Oct 19 06:54:37.282: [0001]: %AAA-7-RADIUS: rad_srv_check_route, Context local, (10.1.1.1/1812): Route OK. loc addr is 172.16.0.1 Oct 19 06:54:37.420: %AAA-7-RADIUS: rad_process_received_pkt: Receive 20 bytes from radius server 10.1.1.1 (1813) Oct 19 06:54:37.420: [0001]: %AAA-7-RADIUS: rad_find_match_srv: Find matching server 10.1.1.1/1813 Oct 19 06:54:37.421: [0001]: %AAA-7-RADIUS: rad_change_srv_state: Accounting srv 10.1.1.1/1813 (1812) received response (user no username). Mark it alive Oct 19 06:54:37.421: %SYSLOG-6-INFO: aaad: Radius Accounting srv 10.1.1.1/1813 (1812) received response (user no username).Marked Alive Oct 19 06:54:37.422: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. Oct 19 06:54:37.422: %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. (no username) Oct 19 06:54:47.489: [0001]: %AAA-7-RADIUS: rad_process_time_q: Timer Pop moved 1 req to send q to be retransmitted Oct 19 06:54:47.490: %AAA-7-RADIUS: rad_send, Process radius requests in acct on/off queue Код: 10-19/07:18:56 INFO [rdsLstnr-p-7-t-2] RadiusListenerWorker - REQUEST:
Packet type: Accounting-Request Identifier: 146 Authenticator: {D0 4D D6 53 E5 E2 5F 5F E2 9E 44 4E 20 4C 28 1C} Attributes: NAS-Identifier=Redback Event-Timestamp=1413687277 NAS-IP-Address=172.16.0.1 Acct-Status-Type=7 Acct-Delay-Time=1462 NAS-Port-Type=0 Acct-Session-Id=Acct_On-543FA602 Platform-Type=4 OS-Version=11.1.2.9 10-19/07:18:56 INFO [rdsLstnr-p-7-t-2] InetRadiusProcessor - REQUEST_AFTER_PREPROCESS: Packet type: Accounting-Request Identifier: 146 Authenticator: {D0 4D D6 53 E5 E2 5F 5F E2 9E 44 4E 20 4C 28 1C} Attributes: NAS-Identifier=Redback Event-Timestamp=1413687277 NAS-IP-Address=172.16.0.1 Acct-Status-Type=7 Acct-Delay-Time=1462 NAS-Port-Type=0 Acct-Session-Id=Acct_On-543FA602 Platform-Type=4 OS-Version=11.1.2.9 Common options: {deviceState=1} 10-19/07:18:56 INFO [rdsLstnr-p-7-t-2] RadiusListenerWorker - RESPONSE: Packet type: Accounting-Response Identifier: 146 Authenticator: {10 1F 0C BD 41 65 A2 1C DE 38 17 DB AB B3 65 62} Attributes: 1 |
Автор: | Amir [ 19 окт 2014, 23:58 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
А что имеете в виду под авторизация не проходит? В приложенном логе же Accounting-запросы. |
Автор: | ODV [ 20 окт 2014, 11:52 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Amir писал(а): А что имеете в виду под авторизация не проходит? В приложенном логе же Accounting-запросы. Oct 19 06:54:37.422: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. Oct 19 06:54:37.422: %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. (no username) и при изменении radius.secret=<community/sercret устройства> на любой другой отличный от SE100 происходит тоже самое |
Автор: | ODV [ 20 окт 2014, 13:00 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
вот логи при авторизации пользователя 10-20/10:33:23 ERROR [rdsLstnr-p-7-t-8] InetRadiusProcessor - Session ip address not found in packet! Oct 20 10:39:51.653: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. Oct 20 10:39:51.653: %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. (00:14:d1:19:9b:0d) лог BGInetAccess Код: 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] RadiusListenerWorker - REQUEST: Packet type: Access-Request Identifier: 6 Authenticator: {85 D2 79 29 66 22 26 54 47 92 ED 6F E6 3B 29 E5} Attributes: User-Name=00:14:d1:19:9b:0d NAS-Port-Id=lg id 25 vlan-id 100 clips 131782 NAS-Identifier=Redback User-Password=Lw��y.�~�3�����K NAS-IP-Address=172.16.0.1 NAS-Port=-1761606970 Service-Type=5 NAS-Port-Type=5 Platform-Type=4 Medium-Type=11 Agent-Remote-Id={00 06 AC F1 DF B5 78 A0} UNKNOWN[2352-202]={3D 3D 07 01 00 14 D1 19 9B 0D} UNKNOWN[2352-202]={0C 0C 07 75 73 65 72 2D 8F 8A} Agent-Circuit-Id={00 04 00 64 00 01} OS-Version=11.1.2.9 Mac-Addr=00-14-d1-19-9b-0d UNKNOWN[2352-125]={4D 53 46 54 20 35 2E 30} NAS-Real-Port=788529252 UNKNOWN[3561--1]={02 0A 00 06 AC F1 DF B5 78 A0} UNKNOWN[3561--1]={01 08 00 04 00 64 00 01} 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - REQUEST_AFTER_PREPROCESS: Packet type: Access-Request Identifier: 6 Authenticator: {85 D2 79 29 66 22 26 54 47 92 ED 6F E6 3B 29 E5} Attributes: User-Name=0006acf1dfb578a0:000400640001 NAS-Port-Id=lg id 25 vlan-id 100 clips 131782 NAS-Identifier=Redback User-Password=Lw��y.�~�3�����K NAS-IP-Address=172.16.0.1 NAS-Port=-1761606970 Service-Type=5 Calling-Station-Id=0014d1199b0d NAS-Port-Type=5 Platform-Type=4 Medium-Type=11 Agent-Remote-Id={00 06 AC F1 DF B5 78 A0} UNKNOWN[2352-202]={3D 3D 07 01 00 14 D1 19 9B 0D} UNKNOWN[2352-202]={0C 0C 07 75 73 65 72 2D 8F 8A} Agent-Circuit-Id={00 04 00 64 00 01} OS-Version=11.1.2.9 Mac-Addr=00-14-d1-19-9b-0d UNKNOWN[2352-125]={4D 53 46 54 20 35 2E 30} NAS-Real-Port=788529252 UNKNOWN[3561--1]={02 0A 00 06 AC F1 DF B5 78 A0} UNKNOWN[3561--1]={01 08 00 04 00 64 00 01} Common options: {agentRemoteId={acf1dfb578a0}, agentCircuitId={000400640001}, deviceState=1} 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetNas - Search by username=0006acf1dfb578a0:000400640001 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - [username=0006acf1dfb578a0:000400640001] Authenticated as inetServId:3 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetNas - Found agentDevice:3 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetApplication - TariffOptionMap: {} 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetApplication - inetServ[id=3] balance ok: 0.00 [0] 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetApplication - OptionSet: [] 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - Not found free IP-address in serv 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - Set ip from pool 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - Write new waiting connection to DB 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - New connection id=1409 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - Return code=0 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusProcessor - RESPONSE_BEFORE_POSTPROCESS: Packet type: Access-Accept Identifier: 6 Authenticator: {} Attributes: Framed-IP-Address=x.x.x.72 Process time auth: 38 10-20/10:33:58 INFO [rdsLstnr-p-8-t-8] InetRadiusListenerWorker - RESPONSE: Packet type: Access-Accept Identifier: 6 Authenticator: {21 81 FE 65 57 C8 92 28 DF 2D F3 4C 5D 14 DD 44} Attributes: Process time auth: 44 лог BGInetAccounting Код: 10-20/10:33:23 INFO [rdsLstnr-p-7-t-8] InetRadiusProcessor - REQUEST_AFTER_PREPROCESS: Packet type: Accounting-Request Identifier: 109 Authenticator: {ED 87 00 38 48 BF 8E 17 EA 69 48 99 C4 6D 4C 65} Attributes: User-Name=0006acf1dfb578a0:000400640001 NAS-Identifier=Redback NAS-IP-Address=172.16.0.1 NAS-Port=-1761606971 Service-Type=5 Acct-Input-Octets=0 Acct-Output-Octets=0 Acct-Status-Type=2 Acct-Session-Time=0 Acct-Input-Packets=0 Acct-Session-Id=FF160019780002C5-5444AC91 Acct-Authentic=1 NAS-Port-Id=lg id 25 vlan-id 100 clips 131781 Acct-Terminate-Cause=17 Acct-Output-Packets=0 Event-Timestamp=1413786810 Acct-Output-Gigawords=0 Acct-Input-Gigawords=0 Calling-Station-Id=0014d1199b0d NAS-Port-Type=5 Acct-Mcast-Out-Packets-64={00 00 00 00 00 00 00 00} Medium-Type=11 Platform-Type=4 Agent-Remote-Id={00 06 AC F1 DF B5 78 A0} Session-Error-Msg=Authentication failure Agent-Circuit-Id={00 04 00 64 00 01} Session-Error-Code=24 Acct-Output-Octets-64={00 00 00 00 00 00 00 00} Acct-Input-Octets-64={00 00 00 00 00 00 00 00} Acct-Output-Packets-64={00 00 00 00 00 00 00 00} Acct-Input-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-In-Octets-64={00 00 00 00 00 00 00 00} Acct-Mcast-In-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-Out-Octets-64={00 00 00 00 00 00 00 00} OS-Version=11.1.2.9 Mac-Addr=00-14-d1-19-9b-0d Acct-Mcast-In-Octets=0 Acct-Mcast-Out-Octets=0 Acct-Mcast-In-Packets=0 NAS-Real-Port=788529252 Acct-Mcast-Out-Packets=0 UNKNOWN[3561--1]={02 0A 00 06 AC F1 DF B5 78 A0} UNKNOWN[3561--1]={01 08 00 04 00 64 00 01} Common options: {agentRemoteId={acf1dfb578a0}, agentCircuitId={000400640001}, deviceState=1} 10-20/10:33:23 INFO [rdsLstnr-p-7-t-8] InetNas - Search by username=0006acf1dfb578a0:000400640001 10-20/10:33:23 WARN [rdsLstnr-p-7-t-8] InetRadiusProcessor - Creating NasConnection from accounting packet [statusType=2] [b]10-20/10:33:23 ERROR [rdsLstnr-p-7-t-8] InetRadiusProcessor - Session ip address not found in packet![/b] [b]10-20/10:33:23 WARN [rdsLstnr-p-7-t-8] InetNas - NasConnection not found[/b] 10-20/10:33:23 INFO [rdsLstnr-p-7-t-8] RadiusListenerWorker - RESPONSE: Packet type: Accounting-Response Identifier: 109 Authenticator: {57 66 93 77 11 9F F0 EB 8E 4F E7 8B 8B DA 02 25} Attributes: Process time stop: 8 лог SE100 Код: [local]Redback#Oct 20 10:39:51.290: [0001]: [255/22:1:26/7/2/711]: %AAA-7-RADIUS: aaa_idx 500002c8: rad_process_time_q: Timer Pop moved 1 req to send q to be retransmitted
Oct 20 10:39:51.291: %AAA-7-RADIUS: rad_send, Process radius requests in authen low priority queue Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-EXCEPT: aaa_idx 500002c8: rad_abort_send, Abort: timeout Oct 20 10:39:51.291: %AAA-7-RADIUS: rad_process_send_queue, 1 requests processed (1 retransmit) Oct 20 10:39:51.291: %AAA-7-RADIUS: rad_mgr, Process radius requests in db response queue Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-EXCEPT: aaa_idx 500002c8: rad_create_auth_db_reply: Authen/Author request error Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-EXCEPT: aaa_idx 500002c8: aaa_process_ipc_authen_response: authen method fail for subscriber 00:14:d1:19:9b:0d Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-RADIUS: aaa_idx 500002c8: rad_process_response: process response to req Authentication. (00:14:d1:19:9b:0d) Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-RADIUS: aaa_idx 500002c8: rad_free_resource:, Free radius message, rad_idx 1528 Oct 20 10:39:51.291: %AAA-7-RADIUS: aaa_idx 500002c8: rad_clean_aaa_idx_tree: Clean aaa_idx tree for context db_request_type Authentication Oct 20 10:39:51.291: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queue Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-RADIUS: aaa_idx 500002c8: rad_process_aaad_req: Receive request (Accounting Stop) Oct 20 10:39:51.291: [0001]: [255/22:1:26/7/2/711]: %AAA-7-RADIUS: aaa_idx 500002c8: rad_get_req_event_time: start_time 0x0000004cccee8659 elapsed_time 0 stop_time 0x0000000000000000 event_time_us 0x0000004ccf55313f event_time 0x5444ae37 Oct 20 10:39:51.291: %AAA-7-RADIUS: aaa_idx 500002c8: rad_db_req_type_lookup: Lookup aaa_idx for global db_request_type Accounting Update Oct 20 10:39:51.291: %AAA-7-RADIUS: aaa_idx 500002c8: rad_db_req_type_lookup: Lookup aaa_idx for context db_request_type Accounting Update Oct 20 10:39:51.293: %AAA-7-RADIUS: rad_send, Process radius requests in acct low priority queue Oct 20 10:39:51.293: [0001]: [255/22:1:26/7/2/711]: %AAA-7-RADIUS: aaa_idx 500002c8: do_acct_send: Find free acct server 10.1.1.1 (ctx local src port 1812, dst port 1813). (00:14:d1:19:9b:0d) Oct 20 10:39:51.293: %AAA-7-RADIUS: User is non nwg user so skipping WIMAX_FORUM_OID attributes Oct 20 10:39:51.294: [0001]: %AAA-7-RADIUS: Using local address 172.16.0.1 Oct 20 10:39:51.294: [0001]: %AAA-7-RADIUS: do_send: 555 bytes send to radius server 10.1.1.1 (1813). Oct 20 10:39:51.294: %AAA-7-RADIUS: rad_process_send_queue, 1 requests processed (0 retransmit) Oct 20 10:39:51.387: %AAA-7-RADIUS: rad_process_received_pkt: Receive 20 bytes from radius server 10.1.1.1 (1813) Oct 20 10:39:51.387: [0001]: %AAA-7-RADIUS: rad_find_match_srv: Find matching server 10.1.1.1/1813 Oct 20 10:39:51.388: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. Oct 20 10:39:51.388: %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. (00:14:d1:19:9b:0d) Oct 20 10:39:51.613: %AAA-7-RADIUS: rad_mgr, Process radius requests in db request queue Oct 20 10:39:51.614: [0001]: [255/22:1:26/7/2/712]: %AAA-7-RADIUS: aaa_idx 500002c9: rad_process_aaad_req: Receive request (Authentication) Oct 20 10:39:51.614: [0001]: [255/22:1:26/7/2/712]: %AAA-7-RADIUS: aaa_idx 500002c9: aaaidx_tree_insert: insert aaa_idx to idx tree for context rad_idx 1530 db_request_type Authentication. (00:14:d1:19:9b:0d) Oct 20 10:39:51.614: %AAA-7-RADIUS: rad_send, Process radius requests in authen low priority queue Oct 20 10:39:51.614: [0001]: [255/22:1:26/7/2/712]: %AAA-7-RADIUS: aaa_idx 500002c9: do_auth_send: Find free server 10.1.1.1 (ctx local, src port 1812, dst port 1812). (00:14:d1:19:9b:0d) Oct 20 10:39:51.615: [0001]: %AAA-7-RADIUS: Using local address 172.16.0.1 Oct 20 10:39:51.615: [0001]: %AAA-7-RADIUS: do_send: 314 bytes send to radius server 10.1.1.1 (1812). Oct 20 10:39:51.615: %AAA-7-RADIUS: rad_process_send_queue, 1 requests processed (0 retransmit) Oct 20 10:39:51.652: %AAA-7-RADIUS: rad_process_received_pkt: Receive 20 bytes from radius server 10.1.1.1 (1812) Oct 20 10:39:51.653: [0001]: %AAA-7-RADIUS: rad_find_match_srv: Find matching server 10.1.1.1/1812 Oct 20 10:39:51.653: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. Oct 20 10:39:51.653: %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. (00:14:d1:19:9b:0d) |
Автор: | Amir [ 20 окт 2014, 13:12 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Может быть secret все-таки не совпадает? После изменения устройства в биллинге нажимали перечитать конфигурацию на серверах? |
Автор: | Amir [ 20 окт 2014, 13:16 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Может быть какие-то дополнительные атрибуты нужно в ответе слать. |
Автор: | ODV [ 20 окт 2014, 13:27 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Amir писал(а): Может быть secret все-таки не совпадает? После изменения устройства в биллинге нажимали перечитать конфигурацию на серверах? проверял, даже с базой сверился таблица inv_device_1 перечитывал и полностью перегружал. Amir писал(а): Может быть какие-то дополнительные атрибуты нужно в ответе слать. так почему при изменении секрета, специально устанавливал разные чтоб не совпадали на устройстве, результат тотже? |
Автор: | ODV [ 20 окт 2014, 19:43 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Amir писал(а): Может быть какие-то дополнительные атрибуты нужно в ответе слать. вы наверное правы. Код: Authenticator: {}
Attributes: Framed-IP-Address=x.x.x.72 Process time auth: 38 |
Автор: | ODV [ 22 окт 2014, 13:25 ] | ||
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор | ||
Amir писал(а): Может быть какие-то дополнительные атрибуты нужно в ответе слать. добавил, отказ Код: Packet type: Access-Accept
Identifier: 1 Authenticator: {} Attributes: Acct-Interim-Interval=900 Framed-IP-Address=x.x.x.1 DHCP-Max-Leases=1 Service-Name:1=RSE-SVC-EXT Service-Options:1=1 Service-Parameter:1=Rate=100000 Burst=12500000 IP-Interface-Name=CLIENTS Process time auth: 276 10-21/21:08:05 INFO [rdsLstnr-p-8-t-1] HourlyDataLogEntry - Create dataLog file: /usr/local/bgb-billing/BGInetAccess/data/radius/source_2/2014/2014-10/2014-10-21/log_2014-10-21-21.001.bgdl 10-21/21:08:05 INFO [rdsLstnr-p-8-t-1] InetRadiusListenerWorker - RESPONSE: Packet type: Access-Accept Identifier: 1 Authenticator: {DF 69 5F C2 01 D9 D8 B5 CB A0 01 54 4F DA 10 78} Attributes: Acct-Interim-Interval=900 DHCP-Max-Leases=1 Service-Name:1=RSE-SVC-EXT Service-Options:1=1 Service-Parameter:1=Rate=100000 Burst=12500000 IP-Interface-Name=CLIENTS Process time auth: 330
|
Автор: | Amir [ 22 окт 2014, 14:53 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Он там дальше еще ругается "no username". Попробуйте для теста добавить в radius.realm.default.attributes добавить атрибут User-Name=<значение_User-Name_из_Access-Request>, чтобы этот атрибут был в Access-Accept. |
Автор: | snark [ 22 окт 2014, 20:32 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Amir писал(а): Может быть какие-то дополнительные атрибуты нужно в ответе слать. Неплохо было бы слать Acct-Interim-Interval (value must be between 600 and 604,800 seconds (7 days)). Context-Name слать не обязательно, если не используется global AAA, но, IMHO, все же лучше слать, а то мало ли как все настроено Цитата: When the IP address or hostname of the RADIUS server is configured in the operating system “local” context, “global RADIUS” authentication is performed. That is, although subscribers may be configured in a nonlocal context, subscribers in nonlocal contexts are authenticated through the RADIUS server configured in the local context. With global RADIUS authentication, the RADIUS server returns the Context-Name vendor-specific attribute (VSA) indicating the name of the particular context to which subscribers are bound.
When the IP address or hostname of the RADIUS server is configured in a context other than the local context, “context-specific” RADIUS authentication is performed; that is, only subscribers bound to the context in which the RADIUS server’s IP address or hostname is configured are authenticated. You can also configure the SmartEdge router to try authentication through a RADIUS server configured in the nonlocal context first, with a fallback to a RADIUS server configured in the local context, in case the first server is unavailable. Or, you can configure the SmartEdge router to try authentication through a RADIUS server configured in a nonlocal context, with a fallback to the SmartEdge router configuration. |
Автор: | ODV [ 23 окт 2014, 09:37 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Amir писал(а): Он там дальше еще ругается "no username". Попробуйте для теста добавить в radius.realm.default.attributes добавить атрибут User-Name=<значение_User-Name_из_Access-Request>, чтобы этот атрибут был в Access-Accept. да ругается, но ругается даже без попыток авторизация пользователей, а тот User-Name это мак пользователя Код: Oct 23 03:05:13: [0002]: %AAA-7-RADIUS: rad_process_time_q: Timer Pop moved 1 req to send q to be retransmitted Oct 23 03:05:13: %AAA-7-RADIUS: rad_send, Process radius requests in acct on/off queue Oct 23 03:05:13: [0002]: %AAA-7-RADIUS: Using local address 172.20.0.1 Oct 23 03:05:13: [0002]: %AAA-7-RADIUS: do_send: 99 bytes send to radius server x.x.x.x(1813). Oct 23 03:05:13: %AAA-7-RADIUS: rad_process_send_queue, 1 requests processed (1 retransmit) Oct 23 03:05:13: %AAA-7-RADIUS: rad_process_received_pkt: Receive 20 bytes from radius server x.x.x.x(1813) Oct 23 03:05:13: [0002]: %AAA-7-RADIUS: rad_find_match_srv: Find matching server x.x.x.x/1813 Oct 23 03:05:13: %AAA-7-EXCEPT: rad_response_sanity_check: Authenticator check failed. Dropping the request. Oct 23 03:05:13: %AAA-7-EXCEPT: rad_process_received_pkt: Sanity check fail, drop this packet. (no username) конфиг SE100 из WIKI http://wiki.bitel.ru/index.php/RedBack_CLIPS какие еще могут быть варианты? а то хотим перейти с BGBilling-а 5.0 на BGBilling-6.1, с модуля IPN на Inet, а время поджимает. |
Автор: | ODV [ 27 окт 2014, 23:47 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Подскажите, почему эрик возвращает Access-Request User-Name=00:14:d1:19:9b:0d NAS-Port-Id=lg id 25 vlan-id 100 clips 131080 NAS-Identifier=Redback-IPOE User-Password= �/�.�HuWB� User-Password - с кракозабрами, а не Redback |
Автор: | skyb [ 28 окт 2014, 06:03 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
В пакете идёт мак адрес, подскажите как его запихать в поле "С номера" в мониторе соединений? Код: Time: 18.10.2014 10:55:59 Packet type: Access-Request Identifier: 152 Authenticator: {A4 6B 02 26 7F 92 F1 6F 16 F2 F6 D0 B6 CE B9 F7} Attributes: User-Name=s NAS-Port-Id=lg id 25 vlan-id 445 pppoe 3826 NAS-Identifier=SA97 User-Password=Nf NAS-IP-Address=10 NAS-Port=-1761572097 Service-Type=2 Framed-Protocol=1 NAS-Port-Type=5 Platform-Type=4 Medium-Type=11 OS-Version=6.5.1.5 Mac-Addr=c8-6c-87-3f-1b-b0 Код: NAS-Real-Port=603980221
|
Автор: | snark [ 28 окт 2014, 19:38 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
skyb писал(а): В пакете идёт мак адрес, подскажите как его запихать в поле "С номера" в мониторе соединений? Как-то так? Код: private void setSomethingToChange(RadiusPacket request) { String macAddr = request.getStringAttribute(2352, 145, null); if (macAddr != null) { String callingStationId = macAddr.replaceAll("\\-", ""); request.setStringAttribute(-1, 31, callingStationId); } } м? |
Автор: | skyb [ 29 окт 2014, 03:57 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
snark писал(а): skyb писал(а): В пакете идёт мак адрес, подскажите как его запихать в поле "С номера" в мониторе соединений? Как-то так? Код: private void setSomethingToChange(RadiusPacket request) { String macAddr = request.getStringAttribute(2352, 145, null); if (macAddr != null) { String callingStationId = macAddr.replaceAll("\\-", ""); request.setStringAttribute(-1, 31, callingStationId); } } м? а куда втыкать этот код? у меня стандартный ru.bitel.bgbilling.modules.inet.dyn.device.radius.AbstractRadiusProtocolHandler |
Автор: | barguzin2 [ 29 окт 2014, 11:17 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
В класс AbstractRadiusProtocolHandler, в метод setMacAddress. Ну только не весь приведенный код, а только содержимое. |
Автор: | snark [ 29 окт 2014, 13:49 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
skyb писал(а): а куда втыкать этот код? у меня стандартный ru.bitel.bgbilling.modules.inet.dyn.device.radius.AbstractRadiusProtocolHandler Как-то так: Код: package ru.skyb.modules.inet.dyn.device; public class EricssonRadiusProtocolHandler extends AbstractRadiusProtocolHandler { @Override public void setMacAddress(final RadiusPacket request) { String macAddress = request.getStringAttribute(2352, 145, null); if(macAddress != null) { String callingStationId = macAddress.replaceAll("\\-", ""); request.setStringAttribute(-1, 31, callingStationId); } } } Т.е. наследуешь AbstractRadiusProtocolHandler и переопределяешь метод setMacAddress. |
Автор: | barguzin2 [ 29 окт 2014, 15:55 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
ну тогда уж и super надо бы вызывать. |
Автор: | ODV [ 03 дек 2014, 15:57 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Amir, почему BGInetAccess в ответ на Access-Request отправляет Access-Accept только: Цитата: Context-Name=ipoe IP-Interface-Name=CLIENTS DHCP-Max-Leases=1 Acct-Interim-Interval=900 А где ?: Cleartext-Password, Agent-Circuit-ID, Agent-Remote-ID следует из мануала по эрику http://shop.nag.ru/article/clips должны быть дамп отправляемого пакета Access-Accept на эрик Код: IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 93)
10.10.10.10.1812 > 172.16.0.1.1812: [bad udp cksum 5235!] RADIUS, length: 65 Access Accept (2), id: 0x20, Authenticator: 52dd6081c6fe9610a7079739770bc717 Accounting Interim Interval Attribute (85), length: 6, Value: 15:00 min 0x0000: 0000 0384 Vendor Specific Attribute (26), length: 12, Value: Vendor: Redback (2352) Vendor Attribute: 3, Length: 4, Value: .... 0x0000: 0000 0930 0306 0000 0001 Vendor Specific Attribute (26), length: 12, Value: Vendor: Redback (2352) Vendor Attribute: 4, Length: 4, Value: ipoe 0x0000: 0000 0930 0406 6970 6f65 Vendor Specific Attribute (26), length: 15, Value: Vendor: Redback (2352) Vendor Attribute: 104, Length: 7, Value: CLIENTS 0x0000: 0000 0930 6809 434c 4945 4e54 53 |
Автор: | snark [ 03 дек 2014, 16:37 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
ODV писал(а): почему BGInetAccess в ответ на Access-Request отправляет Access-Accept только: Код: Context-Name=ipoe IP-Interface-Name=CLIENTS DHCP-Max-Leases=1 Acct-Interim-Interval=900 Что настроили - то inet и отправляет. |
Автор: | Amir [ 03 дек 2014, 17:30 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Пока вроде бы работало и без этих атрибутов. |
Автор: | Lesto [ 15 дек 2014, 14:41 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
доброго времени суток. на вики: вики пример: Цитата: При успешной аутентификации, BGInetAccess отправляет Access-Accept следующего вида: ... Service-Name:1=RSE-SVC-EXT Service-Options:1=1 Service-Parameter:1=Rate=6000 Burst=750000 что означает :1? просто делаю в постпроцессе такое: Код: response.removeAttributes( -1, 8 ); ... String serviceParam = response.getStringAttribute( 2352, 192, null ); serviceParam = serviceParam.replace( "_DYN", ""+randValue ); response.setStringAttribute( 2352, 192, serviceParam ); и :1 пропадает, и все перестает работать если в конфиге убрать ":1", то работает, но в логах заменяется на ":0" |
Автор: | Amir [ 15 дек 2014, 15:42 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Это tag: https://www.ietf.org/rfc/rfc2868.txt Цитата: The Tag field is one octet in length and is intended to provide a Его нельзя установить через setStringAttribute.means of grouping attributes in the same packet which refer to the same tunnel. Попробуйте так: Код: import ru.bitel.bgbilling.kernel.network.radius.RadiusAttribute;
response.setAttribute( new RadiusAttribute.RadiusAttributeString( 2352, 192, 1, serviceParam ) ); |
Автор: | Alex-XXI [ 26 дек 2014, 16:24 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
Подскажите как правильно выставить таймауты, сейчас стоят такие настройки, но часть абонентов жалуется на постоянные разрывы. Код: dhcp.option.leaseTime=900
radius.realm.default.attributes=Acct-Interim-Interval=900 connection.suspend.timeout=1800 connection.close.timeout=1800 |
Автор: | Amir [ 26 дек 2014, 20:53 ] |
Заголовок сообщения: | Re: Решение SmartEdge 100 с авторизацией по порту коммутатор |
По таймаутам вроде нормально. Нужно смотреть конкретный случай по логам, например, поиском по MAC-адресу абонента. В биллинге это тоже видно, каждый раз новая сессия начинается? Разрыв из-за чего? Биллинг закрыл сессию на SE? Или выдал NAK, хотя сессия есть в биллинге? Или закрыл сессию в биллинге, хотя она есть на SE и потом выдал NAK? Или может быть вдруг выдал некорректный ACK? |
Страница 7 из 7 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |