forum.bitel.ru :: Просмотр темы - Странная двойная аутентификация в логах радиуса

18 11:44:04
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=pppoe
NAS-Port-Id=0/0/1/198
User-Password=cisco
NAS-IP-Address=192.168.2.59
NAS-Port=50078
Service-Type=5
NAS-Port-Type=15

18 11:44:04
Type=AUTHENTICATION_REJECT
Process time:9
Attributes:
Reply-Message=14

aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius BG-RADIUS
server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
deadtime 1

aaa authentication login default local
aaa authentication ppp default group BG-RADIUS
aaa authorization exec default local
aaa authorization network default group BG-RADIUS
aaa accounting update periodic 1
aaa accounting network default start-stop group BG-RADIUS

aaa nas port extended
aaa session-id common

bba-group pppoe global
virtual-template 1
sessions max limit 600
ac name cn-msk59ra
sessions per-mac limit 1
sessions per-vlan limit 250
sessions per-mac throttle 1 30 30
sessions auto cleanup

interface Virtual-Template1
mtu 1492
ip unnumbered GigabitEthernet0/0
ip route-cache flow
autodetect encapsulation ppp
ppp max-bad-auth 3
ppp authentication chap callin
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600

radius-server attribute 8 include-in-access-req
radius-server attribute 31 mac format unformatted
radius-server retransmit 5
radius-server timeout 10
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication

aaa group server radius BG-RADIUS
server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
deadtime 1

aaa group server radius BG-RADIUS
server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

radius-server deadtime 1

radius-server timeout 10

ppp timeout retry 3
ppp timeout authentication 45

radius-server retransmit 5
radius-server timeout 10

autodetect encapsulation ppp

vpdn-group 1
accept-dialin
protocol pppoe
virtual-template 1
pppoe limit per-mac 1
local name cisco_bras

bba-group pppoe global
virtual-template 1
ac name cisco_bras
sessions per-mac limit 1

aaa pod server clients your.bgb.radius.ip auth-type any server-key supersecret

aaa server radius dynamic-author
client your.bgb.radius.ip
server-key supersecret
auth-type any

Автор:	Dmitri [ 18 авг 2008, 15:08 ]
Заголовок сообщения:	Странная двойная аутентификация в логах радиуса
Уважаемые коллеги, просьба помочь, куда копать: 1. Есть NAS Cisco 2821. На нем поднят pppoe 2. В биллинге создано два рилма pppoe и default. Если пользователь коннектится как username@pppoe - его пускает, сессия видна в биллинге, но: 1. есть следующая странность, в ошибках модуля Dialup - при каждом успешном коннекте юзера есть неуспешная аутентификация: Код: 18 11:44:04 Type=AUTHENTICATION_REQUEST Attributes: User-Name=pppoe NAS-Port-Id=0/0/1/198 User-Password=cisco NAS-IP-Address=192.168.2.59 NAS-Port=50078 Service-Type=5 NAS-Port-Type=15 18 11:44:04 Type=AUTHENTICATION_REJECT Process time:9 Attributes: Reply-Message=14 Т.е. почему-то присуетсвует как-бы двойная аутентификация, в которой узернейм - pppoe, но это же рилм? И передается он после символа @. Просьба подсказать, в чем проблема?

Автор:	Dmitri [ 18 авг 2008, 19:32 ]
Заголовок сообщения:
Коллеги, просьба помочь. Никак не могу победить данную проблему... Откуда вторая попытка захода с суффиксом в качестве имени пользователя......

Автор:	Dmitri [ 19 авг 2008, 21:04 ]
Заголовок сообщения:
up

Автор:	skn [ 20 авг 2008, 00:30 ]
Заголовок сообщения:
скорее всего надо копать в сторону настройки cisco. я бы для начала провел такой тест. tcpdump посмотрел сколько и каких пакетов приходят от NAS сервера при авторизации. а дальше уже решал где копать, в биллинге или на NAS'е

Автор:	Dmitri [ 20 авг 2008, 09:58 ]
Заголовок сообщения:
skn писал(а): скорее всего надо копать в сторону настройки cisco. я бы для начала провел такой тест. tcpdump посмотрел сколько и каких пакетов приходят от NAS сервера при авторизации. а дальше уже решал где копать, в биллинге или на NAS'е Смотрел... Смотрел дебаги на cisco... Почему-то происходит повторная утентификация. Никак не пойму почему. Вот конфиг: Код: aaa new-model aaa session-mib disconnect ! ! aaa group server radius BG-RADIUS server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU deadtime 1 aaa authentication login default local aaa authentication ppp default group BG-RADIUS aaa authorization exec default local aaa authorization network default group BG-RADIUS aaa accounting update periodic 1 aaa accounting network default start-stop group BG-RADIUS aaa nas port extended aaa session-id common bba-group pppoe global virtual-template 1 sessions max limit 600 ac name cn-msk59ra sessions per-mac limit 1 sessions per-vlan limit 250 sessions per-mac throttle 1 30 30 sessions auto cleanup interface Virtual-Template1 mtu 1492 ip unnumbered GigabitEthernet0/0 ip route-cache flow autodetect encapsulation ppp ppp max-bad-auth 3 ppp authentication chap callin ppp timeout retry 3 ppp timeout authentication 45 ppp timeout idle 3600 radius-server attribute 8 include-in-access-req radius-server attribute 31 mac format unformatted radius-server retransmit 5 radius-server timeout 10 radius-server deadtime 1 radius-server vsa send accounting radius-server vsa send authentication Просьба помочь, где копать...

forum.bitel.ru http://forum.bitel.ru/

Странная двойная аутентификация в логах радиуса http://forum.bitel.ru/viewtopic.php?f=5&t=1372	Страница 1 из 1

Автор:	skn [ 21 авг 2008, 00:03 ]
Заголовок сообщения:
опыта работы с cisco - нету, поэтому и помочь не смогу

Автор:	snark [ 21 авг 2008, 21:19 ]
Заголовок сообщения:
уберите "deadtime 1", т.е. было: Код: aaa group server radius BG-RADIUS server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU deadtime 1 будет: Код: aaa group server radius BG-RADIUS server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 XXXX attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU и удалите: Код: radius-server deadtime 1 т.к. это все Вам реально не нужно ... Код: radius-server timeout 10 Вы 100% уверены что Ваш БГБ ответит в этот период? может стоит все же увеличить таймаут? я думаю что Вам стоит сбросить на дефолт все таймауты и ретри, т.е. удалить Код: ppp timeout retry 3 ppp timeout authentication 45 в Virtual-Template и Код: radius-server retransmit 5 radius-server timeout 10 в глобальном конфиге и после этого попробывать еще раз ... в Virtual-Template строка Код: autodetect encapsulation ppp нужна только для РРТР и если оно у Вас есть, то тогда Код: mtu 1492 там же - это нереально ...

Автор:	Dmitri [ 22 авг 2008, 09:19 ]
Заголовок сообщения:
Большое спасибо за детальные ответы. Но все-таки собака была зарыта не там! Все дело было в команде: vpdn authen-before-forward. Про детальный разбор и пояснения для таймеров - еще раз большое спасибо.

Автор:	snark [ 22 авг 2008, 19:57 ]
Заголовок сообщения:
Dmitri писал(а): Большое спасибо за детальные ответы. незчто в общем то ... для этого форум и работает Dmitri писал(а): Но все-таки собака была зарыта не там! Все дело было в команде: vpdn authen-before-forward а теперь найдите ее в той выжимке из конфига которую Вы дали не нашли? вот и я о том жеж ... кто ж знал что у Вас еще и vpdn поднят? там про него вообще ни слова! а если поднят и если Вы используете один и тот же virtual-template и для PPPoE и для vpdn (неважно РРТР или L2TP) то немедленно убирайте с него параметр MTU! т.к. у РРТР или L2TP значения MTU совершенно разные чем у РРРоЕ ...

Автор:	Dmitri [ 25 авг 2008, 10:01 ]
Заголовок сообщения:
Сейчас, virtual-template - только для pppoe, т.е. bba-group работает только на pppoe. Если я правильно понял, то при bba-group, можно не ставить vpdn enable?

Автор:	snark [ 27 авг 2008, 16:26 ]
Заголовок сообщения:
ЕМНИМС, в новых IOS-ах, при вводе, конструкция вида: Код: vpdn-group 1 accept-dialin protocol pppoe virtual-template 1 pppoe limit per-mac 1 local name cisco_bras сама преобразуется в Код: bba-group pppoe global virtual-template 1 ac name cisco_bras sessions per-mac limit 1 т.к. bba группы - более гибкий инструмент пришедший на смену vpdn в области РРРоЕ аггрегирования ... самое интересное - в 12.2SB строка вида: Код: aaa pod server clients your.bgb.radius.ip auth-type any server-key supersecret вообще преобразуется в Код: aaa server radius dynamic-author client your.bgb.radius.ip server-key supersecret auth-type any вот такое вот превращения

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/