BiTel

Форум BiTel		 bgbilling.ru     docs.bitel.ru     wiki.bitel.ru     dbinfo.bitel.ru     bgcrm.ru     billing.bitel.ru     bitel.ru    
Текущее время: 04 июл 2025, 22:51

Сообщения без ответов | Активные темы


Список форумов » BGBilling » Модули Интернета » Модуль DialUp (VPN)

Часовой пояс: UTC + 5 часов [ Летнее время ]



Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Версия для печати Пред. тема | След. тема 
Автор Сообщение
Dmitri
СообщениеДобавлено: 18 авг 2008, 15:08 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
Уважаемые коллеги, просьба помочь, куда копать:

1. Есть NAS Cisco 2821. На нем поднят pppoe
2. В биллинге создано два рилма pppoe и default.

Если пользователь коннектится как username@pppoe - его пускает, сессия видна в биллинге, но:

1. есть следующая странность, в ошибках модуля Dialup - при каждом успешном коннекте юзера есть неуспешная аутентификация:

Код:
18 11:44:04
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=pppoe
NAS-Port-Id=0/0/1/198
User-Password=cisco
NAS-IP-Address=192.168.2.59
NAS-Port=50078
Service-Type=5
NAS-Port-Type=15

18 11:44:04
Type=AUTHENTICATION_REJECT
Process time:9
Attributes:
Reply-Message=14


Т.е. почему-то присуетсвует как-бы двойная аутентификация, в которой узернейм - pppoe, но это же рилм? И передается он после символа @. Просьба подсказать, в чем проблема?

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 18 авг 2008, 19:32 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
Коллеги, просьба помочь. Никак не могу победить данную проблему... Откуда вторая попытка захода с суффиксом в качестве имени пользователя...... :cry:

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 19 авг 2008, 21:04 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
up

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
skn
 Заголовок сообщения:
СообщениеДобавлено: 20 авг 2008, 00:30 
Не в сети
Разработчик

Зарегистрирован: 07 апр 2007, 23:51
Сообщения: 4494
Откуда: Уфа, Россия
Карма: 187
скорее всего надо копать в сторону настройки cisco.

я бы для начала провел такой тест. tcpdump посмотрел сколько и каких пакетов приходят от NAS сервера при авторизации. а дальше уже решал где копать, в биллинге или на NAS'е
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 20 авг 2008, 09:58 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
skn писал(а):
скорее всего надо копать в сторону настройки cisco.

я бы для начала провел такой тест. tcpdump посмотрел сколько и каких пакетов приходят от NAS сервера при авторизации. а дальше уже решал где копать, в биллинге или на NAS'е


Смотрел... Смотрел дебаги на cisco... Почему-то происходит повторная утентификация. Никак не пойму почему. Вот конфиг:

Код:
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius BG-RADIUS
 server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX
 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
 deadtime 1

aaa authentication login default local
aaa authentication ppp default group BG-RADIUS
aaa authorization exec default local
aaa authorization network default group BG-RADIUS
aaa accounting update periodic 1
aaa accounting network default start-stop group BG-RADIUS

aaa nas port extended
aaa session-id common

bba-group pppoe global
 virtual-template 1
 sessions max limit 600
 ac name cn-msk59ra
 sessions per-mac limit 1
 sessions per-vlan limit 250
 sessions per-mac throttle 1 30 30
 sessions auto cleanup

interface Virtual-Template1
 mtu 1492
 ip unnumbered GigabitEthernet0/0
 ip route-cache flow
 autodetect encapsulation ppp
 ppp max-bad-auth 3
 ppp authentication chap callin
 ppp timeout retry 3
 ppp timeout authentication 45
 ppp timeout idle 3600

radius-server attribute 8 include-in-access-req
radius-server attribute 31 mac format unformatted
radius-server retransmit 5
radius-server timeout 10
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication


Просьба помочь, где копать...

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
skn
 Заголовок сообщения:
СообщениеДобавлено: 21 авг 2008, 00:03 
Не в сети
Разработчик

Зарегистрирован: 07 апр 2007, 23:51
Сообщения: 4494
Откуда: Уфа, Россия
Карма: 187
опыта работы с cisco - нету, поэтому и помочь не смогу
Вернуться к началу
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: 21 авг 2008, 21:19 
Не в сети
Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249
уберите "deadtime 1", т.е. было:
Код:
aaa group server radius BG-RADIUS
 server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX
 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
 deadtime 1

будет:
Код:
aaa group server radius BG-RADIUS
 server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX
 attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

и удалите:
Код:
radius-server deadtime 1

т.к. это все Вам реально не нужно ...


Код:
radius-server timeout 10

Вы 100% уверены что Ваш БГБ ответит в этот период? может стоит все же увеличить таймаут?

я думаю что Вам стоит сбросить на дефолт все таймауты и ретри, т.е. удалить
Код:
ppp timeout retry 3
ppp timeout authentication 45

в Virtual-Template и
Код:
radius-server retransmit 5
radius-server timeout 10

в глобальном конфиге и после этого попробывать еще раз ...

в Virtual-Template строка
Код:
autodetect encapsulation ppp

нужна только для РРТР и если оно у Вас есть, то тогда
Код:
mtu 1492

там же - это нереально ...
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 22 авг 2008, 09:19 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
Большое спасибо за детальные ответы. Но все-таки собака была зарыта не там! Все дело было в команде:

vpdn authen-before-forward.

Про детальный разбор и пояснения для таймеров - еще раз большое спасибо.

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: 22 авг 2008, 19:57 
Не в сети
Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249
Dmitri писал(а):
Большое спасибо за детальные ответы.

незчто в общем то ... для этого форум и работает ;)

Dmitri писал(а):
Но все-таки собака была зарыта не там! Все дело было в команде:

vpdn authen-before-forward

а теперь найдите ее в той выжимке из конфига которую Вы дали ;) не нашли? вот и я о том жеж ... кто ж знал что у Вас еще и vpdn поднят? там про него вообще ни слова! а если поднят и если Вы используете один и тот же virtual-template и для PPPoE и для vpdn (неважно РРТР или L2TP) то немедленно убирайте с него параметр MTU! т.к. у РРТР или L2TP значения MTU совершенно разные чем у РРРоЕ ...
Вернуться к началу
 Профиль  
 
Dmitri
 Заголовок сообщения:
СообщениеДобавлено: 25 авг 2008, 10:01 
Не в сети

Зарегистрирован: 13 июн 2008, 15:10
Сообщения: 362
Откуда: Москва
Карма: 0
Сейчас, virtual-template - только для pppoe, т.е. bba-group работает только на pppoe.

Если я правильно понял, то при bba-group, можно не ставить vpdn enable?

_________________
God Bless Linux! and blessings to FreeBSD!
Вернуться к началу
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: 27 авг 2008, 16:26 
Не в сети
Клиент

Зарегистрирован: 12 фев 2008, 18:10
Сообщения: 3951
Карма: 249
ЕМНИМС, в новых IOS-ах, при вводе, конструкция вида:
Код:
vpdn-group 1
 accept-dialin
  protocol pppoe
  virtual-template 1
 pppoe limit per-mac 1
 local name cisco_bras

сама преобразуется в
Код:
bba-group pppoe global
 virtual-template 1
 ac name cisco_bras
 sessions per-mac limit 1

т.к. bba группы - более гибкий инструмент пришедший на смену vpdn в области РРРоЕ аггрегирования ...

самое интересное - в 12.2SB строка вида:
Код:
aaa pod server clients your.bgb.radius.ip auth-type any server-key supersecret

вообще преобразуется в
Код:
aaa server radius dynamic-author
 client your.bgb.radius.ip
 server-key supersecret
 auth-type any

вот такое вот превращения :)
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » BGBilling » Модули Интернета » Модуль DialUp (VPN)

Часовой пояс: UTC + 5 часов [ Летнее время ]

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
POWERED_BY
Русская поддержка phpBB
[ Time : 0.050s | 37 Queries | GZIP : On ]