#вендоры - производители оборудования и их коды
vendors=9=Cisco;14988=Mikrotik;2011=Huawei;2021=Unix PPP;529=Lucent;6618=Quintum;529=Ascend;311=Microsoft;12341=MPD
#минимальная и максимальная длина пароля
password.length.min=5
password.length.max=10
#длина автоматически генерируемого пароля
password.length.auto=9
#допустимые в пароле символы
password.chars=12345678900123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
#сколько лет отображать в просмотре сессий через web
showyears=2
# XSL для печати и отправки на почту сессий
#xslt.1=dialup_login_sessions.xsl
xslt.1=dialup_mailed_sessions.xsl
reportTitle.1=Отчет по сессиям
# XSL для печати и отправки на почту наработки по логинам
#xslt.2=dialup_login_amount.xsl
xslt.2=dialup_mailed_amount.xsl
reportTitle.2=Наработка по логинам
# коды услуг, не затрагиваемых при перерасчете, например, если услуга используется для занесения наработки скриптом
#service.recalc.ignore=
#в просмотре сессий в на Web странице кол-во выводимых на странице сессий
show.sessions.on.page=25
#пункты Web - меню
web.menuItem1=Просмотр сессий Dialup
web.menuItem2=Наработка по логинам Dialup
web.menuItem3=Смена пароля на логины Dialup
web.menuItem4=none
web.menuItem5=none
#web.menuItem5=Управление динамическим ДНС
#граница не карточных логинов
top.nocard.login=10000
#адрес и порт управления RADIUS сервера для возможности завершения сессий в мониторе модуля
#адрес должен совпадать с адресом где стоит RADIUS сервер, порт с admin.port из radius.properties
radius.manage=127.0.0.1:1955
############### опции RADIUS сервера #######################
#1 - проверять наличие в договоре всех требуемых услуг при авторизации, иначе ошибка авторизации "Услуга запрещена"
check.service=0
#код модуля "карточки", 0 - модуль "карточки" не используется
card.module.id=0
#количество одновременных сессий, разрешённых карточным логинам
#card.login.session.count=1
# интервал, с которым запускается проверяльщик
killer.sleep=10
#время в секундах, через которое происходит пересчёт в режиме CHECKER
update.time=60
#время в секундах, через которое проверяется необходимость пересчёта в режиме CHECKER
run.sleep=3
#для DialUP - режим работы
#1 - режим UPDATE - пересчёт во время прохождения UPDATE пакетов
#2 - режим CHECKER - пересчёт по таймеру, UPDATE пакеты используются для получения
#информации о трафике
dialup.workmode=1
#для режима UPDATE - время в секундах после последнего UPDATE пакета, по истечении которого сессия считается неактивной
#(не учитывается в подсчёте числа одновременных соединений)
max.update.timeout=120
#сколько максимально секунд соединение в статусе wait ждёт Start пакета
max.wait.timeout=120
# параметры отсылальщика ошибок (в данной версии не используется)
#mailer.period=1800
#mailer.to=???
# игнорировать длительность соединения в Acct-Session-Time атрибуте с NASа, вычислять самостоятельно
#ignore.acct.session.time=1
# отмена принудительной передачи атрибутов Service-Type и Framed-Protocol
#add.service.type.and.framed.protocol=0
#разрешение пользователям группы REALM ов использовать
pools.global=172.17.0.4-172.17.0.254
#локальный пул адресов ( на 8190 хостов)
pools.local=192.168.0.1-192.168.31.254
#высылка аларма по пулу после его расходования более чем
pool.alarm.fullness.global=60
pool.alarm.fullness.pools.local=60
# атрибуты, передаваемые в AUTH_ACCEPT пакете при авторизации по реалму www, local, dialup_user, vpn_user
# в данном случае это интервал между отправкой Update пакетов, в секундах, протокол PPP, и тип сервиса, см: RFC2865
#realm.default=Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.local_kaskad_uzl=local_kaskad_uzl
realm.local_kaskad_uzl=Framed-Pool=local;Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.inet_kaskad_uzl=inet_kaskad_uzl
realm.inet_kaskad_uzl=Framed-Pool=global;Acct-Interim-Interval=60;Service-Type=2;Framed-Protocol=1
realm.kaskad71=kaskad71
realm.kaskad71=Framed-Pool=global;Acct-interim-interval=60;Service-Type=2;Framed-Protocol=1
#группы REALMов :
realmgr.dialup_user=local_kaskad_uzl;inet_kaskad_uzl
realmgr.vpn_user=local_kaskad_uzl
#Cisco3900
#Атрибуты радиуса доступные в списке атрибутов в редактировании логина
radius.attributes=Service-Type;Framed-Protocol;Framed-IP-Address;Framed-IP-Netmask;Framed-Routing;Filter-Id;Framed-MTU;Framed-Compression;Login-IP-Host;Login-Service;Login-TCP-Port;Old-Password;Reply-Message;Callback-Number;Callback-Id;Expiration;Framed-Route;Framed-IPX-Network;State;Class;Session-Timeout;Idle-Timeout;Termination-Action;NAS-Identifier;Proxy-State;Framed-Pool;Cisco-Service-Info;cisco-avpair;cisco-SSG-Service-Info;Cisco-SSG-Account-Info;Acct-Status-Type
# 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. realm.default)
add.service.type.and.framed.protocol=0
# 1 - добавление в Auth Accept при MPPE-128 авторизации атрибутов MS_mppe_encryption_types (поддержка 128 битного шифрования) и MS_mppe_encryption_policy=1 (шифрование поддерживается)
# согласно http://tools.ietf.org/html/rfc2548
add.mppe.enc.types.and.policy=0
# задержка закрытия сессий в секундах, используется при тарификации по данным NetFlow
# для исключения потери "хвостов" сессий, т.е. информации о трафике, пришедшей после завершения сессии
#delay.stop=5
# удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером
drop.framed.pool.attr=1
 #Cisco3900
#attrset.5.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2056  128000 24000 48000 conform-action transmit exceed-action drop
attrset.43.title=Лимит-128кб/с-out
attrset.43.attributes=Cisco-AVPair=lcp:interface-config=rate-limit output access-group 2066  128000 24000 48000 conform-action transmit exceed-action drop
attrset.44.title=Лимит-256кб/с-in
attrset.44.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2056  256000 48000 96000  conform-action transmit exceed-action drop
attrset.45.title=Лимит-256кб/с-out
attrset.45.attributes=Cisco-AVPair=lcp:interface-config=rate-limit output access-group 2066  256000 48000 96000  conform-action transmit exceed-action drop
attrset.46.title=Лимит-512кб/с-in
attrset.46.attributes=Cisco-AVPair=lcp:interface-config=rate-limit input access-group 2056  512000 96000 192000 conform-action transmit exceed-action drop
attrset.47.title=Лимит-512кб/с-out
attrset.47.attributes=Cisco-AVPair=lcp:interface-config=rate-limit output access-group 2066  512000 96000 192000 conform-action transmit exceed-action drop
#attrset.11.title=Лимит-1024кб/с-in
#игнорировать длительность соединения в Acct-Session-Time атрибуте с NASа, вычислять самостоятельно
#ignore.acct.session.time=1
#если установлено в 1 - принудительная передача Service-Type=2;Framed-Protocol=1 (рекомендуется передача этих атрибутов иными способами, см. выше realm.default)
add.service.type.and.framed.protocol=0
#если установлено в 1 - добавление в Auth Accept при MPPE-128 авторизации атрибутов MS_mppe_encryption_types (поддержка 128 битного шифрования) и MS_mppe_encryption_policy=1 (шифрование поддерживается)
#согласно http://rfclibrary.hosting.com/rfc/rfc2548/rfc2548-25.asp
add.mppe.enc.types.and.policy=1
#задержка закрытия сессий в секундах, используется при тарификации по данным NetFlow
#для исключения потери "хвостов" сессий, т.е. информации о трафике, пришедшей после завершения сессии
#delay.stop=5
#удалять из Accept пакета атрибуты Framed-Pool в случае, если адрес был успешно выдан адрес RADIUS сервером
drop.framed.pool.attr=1
#прерывать сессии с того же Calling-Station-Id, если при авторизации произошла ошибка "Превышен лимит сессий"
#(может быть полезно, если на насе остаются несуществующие сессии и клиент не может переподключится)
check.duplicate.session=1
#Не разрывать сессии, при изменении действующего тарифного плана в ходе обсчёта.
#При установке этой опции разрывы и отправку CoA пакетов нужно контроллировать устновкой зон в тарифах.
no.session.break.on.tariff.change=1
#  1 - Время
#  2 - Трафик (интернет входящий)
#  3 - Трафик (интернет исходящий)
#  4 - Трафик (локальный входящий)
#  5 - Трафик (локальный исходящий)
netflow.service.link.1=2 IN  0.0.0.0-255.255.255.255
netflow.service.link.2=3 OUT 0.0.0.0-255.255.255.255
netflow.service.link.3=4 IN 172.17.0.4-172.17.0.254
netflow.service.link.4=5 OUT 172.17.0.4-172.17.0.254
#  1 - Время
#  2 - Трафик (интернет входящий)
#  3 - Трафик (интернет исходящий)
#  4 - Трафик (локальный входящий)
#  5 - Трафик (локальный исходящий)
traffics=2/3/4/5;интернет входящий трафик/интернет исходящий трафик/локальный входящий трафик/локальный исходящий трафик
# динамический DNS

dialup.workmode=1
# разрешение активировать все типы карточек на этом NASе
#card.activate.service=0
# поддержка CallBack (1-включите)
#callback.support=0
# автозакрытие "висящих" соединений
drop.sleep.timeout=3600
# принудительный разрыв соединений на границе месяца
month.break=1
# интервал между посылками на проверку либо сброс соедиенения
nas.inspector.sleep_time=60
# максимальное число попыток сброса соединения
nas.inspector.kill.max_messages=5
# SNMP
#nas.inspector.snmp.port=161
#nas.inspector.snmp.community=private
#mikrotik (vendor=14988)
nas.inspector.class=bitel.billing.server.processor.PoDNASConnectionInspector
#Cisco3900
nas.inspector.class=ru.bitel.bgbilling.kernel.network.radius.inspectors.SNMPNasConnectionInspectorCisco36x
nas.inspector.snmp.kill.oid=1.3.6.1.4.1.9.2.9.10.0
nas.inspector.snmp.check.oid=1.3.6.1.4.1.9.2.9.2.1.18

# NAS
netflow.receive.from=172.17.0.24
#nas.port_time.default.*=16

#nas.port_time.default.*=4
#nas.port_traffic.default.*=1:COLLECTOR

nas.inspector.pod.port=1700
nas.inspector.pod.host=172.17.0.24
nas.inspector.pod.secret=sekret
nas.inspector.pod.attributes=User-Name;Framed-IP-Address;Acct-Session-Id;NAS-Port
nas.inspector.kill.max_messages=3
collector.agent.address=172.17.0.24
collector.agent.ports=2001,2002
# числовые коды услуг времени, трафика входящего и исходящего
#  1 - Время
#  2 - Трафик (интернет входящий)
#  3 - Трафик (интернет исходящий)
#  4 - Трафик (локальный входящий)
#  5 - Трафик (локальный исходящий)
nas.port_time.default.*=1
nas.port_traffic.default.*=2:RADIN;3:COLLECTOR;4:COLLECTOR;5:COLLECTOR
nas.port_time.inet_kaskad_uzl.*=1
nas.port_time.local_kaskad_uzl.*=1
nas.port_time.dialup_user.*=1
nas.port_traffic.kaskad71.*=2:RADIN;3:COLLECTOR
nas.port_traffic.inet_kaskad_uzl.*=2:RADIN;3:COLLECTOR
nas.port_traffic.local_kaskad_uzl.*=4:COLLECTOR;5:COLLECTOR;
#nas.port_traffic.dialup_user.*=5:COLLECTOR;6:RADIN;7:COLLECTOR;8:COLLECTOR
# ассоциация NAS-а с коллектором
netflow.receive.from=172.17.0.23

Using 3781 out of 262144 bytes
!
! Last configuration change at 08:53:28 UTC Wed Feb 20 2013 by kaskad71
! NVRAM config last updated at 08:53:38 UTC Wed Feb 20 2013 by kaskad71
! NVRAM config last updated at 08:53:38 UTC Wed Feb 20 2013 by kaskad71
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa session-mib disconnect
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
!
!
!
!
!
aaa session-id common
!
no ipv6 cef
ip source-route
!
!
ip cef
!
!
!
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip name-server ХХ.ХХХ.ХХХ.95
ip name-server ХХХ.ХХ.Х.2
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2434496344
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2434496344
 revocation-check none
 rsakeypair TP-self-signed-2434496344
!
!
crypto pki certificate chain TP-self-signed-2434496344
 certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
license udi pid C3900-SPE250/K9 sn FOC16375Q4W
!
!
username mainname privilege 15 password 0 password
!
!
!
!
!
bba-group pppoe global
 virtual-template 1
 sessions max limit 8000
 ac name nas1
 sessions per-mac limit 1
 sessions per-vlan limit 500
 sessions auto cleanup
!
!
interface GigabitEthernet0/0
 ip address ХХ.ХХХ.ХХХ.132 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 172.17.0.24 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 pppoe enable group global
 no cdp enable
!
interface GigabitEthernet0/3
 ip address 172.17.0.8 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 mtu 1492
 ip unnumbered GigabitEthernet0/1
 ip flow ingress
 autodetect encapsulation ppp
 peer default ip address pool PPPoE
 ppp max-bad-auth 3
 ppp authentication chap radius
 ppp authorization radius
 ppp accounting radius
 ppp timeout retry 3
 ppp timeout authentication 45
 ppp timeout idle 3600
!
ip local pool PPPoE 172.17.0.4-172.17.0.254
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination 172.17.0.23 9996
!
ip dns server
ip nat pool rostelecom ХХ.ХХХ.ХХХ.130 ХХ.ХХХ.ХХХ.133 netmask 255.255.255.248
ip nat inside source list 1 pool rostelecom overload
ip route 0.0.0.0 0.0.0.0 ХХ.ХХХ.ХХХ.129
!
access-list 3 permit 172.17.0.23
access-list 3 deny   any log
!
no cdp run
!
snmp-server community public_xxxx RW 3
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 172.17.0.23 161
snmp-server host 172.17.0.23 2c
snmp-server host 172.17.0.23 aaa
snmp-server host 172.17.0.23 public_xxxx  snmp
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host 172.17.0.23 auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key sekret
radius-server vsa send accounting
radius-server vsa send authentication
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
scheduler allocate 20000 1000
end

interface Virtual-Template1
  ip nat inside

interface Virtual-Template1
  ip nat inside

а также не вижу access-list 1, адреса из которого должны НАТиться

Building configuration...

Current configuration : 5839 bytes
!
! Last configuration change at 11:20:08 MSK Thu Feb 21 2013 by kaskad2013
! NVRAM config last updated at 11:20:11 MSK Thu Feb 21 2013 by kaskad2013
! NVRAM config last updated at 11:20:11 MSK Thu Feb 21 2013 by kaskad2013
version 15.1
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa session-mib disconnect
!
!
aaa authentication banner ^C^C
aaa authentication fail-message ^C^C
aaa authentication ppp default group radius none
aaa authorization network default group radius none
aaa accounting network default start-stop group radius
!
!
!
!
!
aaa session-id common
clock timezone MSK 4 0
clock calendar-valid
!
no ipv6 cef
no ip source-route
!
!
ip cef
!
!
!
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip name-server "IP DNS-1 servera провайдера"
ip name-server "IP DNS-2 servera провайдера"
ip name-server 8.8.8.8 ещё ДНС
ip name-server 8.8.4.4 ещё ДНС
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2434496344
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2434496344
 revocation-check none
 rsakeypair TP-self-signed-2434496344
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2434496344
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2434496344
 revocation-check none
 rsakeypair TP-self-signed-2434496344
!
!
crypto pki certificate chain TP-self-signed-2434496344
 certificate self-signed 01  nvram:IOS-Self-Sig#2.cer
license udi pid C3900-SPE250/K9 sn FOC16375Q4W
!
!
archive
 log config
  logging enable
username XXXXXXXXX privilege 15 password 0 XXXXXXXXX
!
!
!
!
!
bba-group pppoe global
 virtual-template 1
 sessions max limit 8000
 ac name nas1
 sessions per-mac limit 1
 sessions per-vlan limit 500
 sessions per-mac throttle 1 29 30
 sessions auto cleanup
!
!
interface Loopback0
 ip address "IP - адреса выдаваемые абонентам" 255.255.255.255
!
interface GigabitEthernet0/0
 ip address "внешний IP" 255.255.255.248
 ip nat outside
 no ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address "IP NASa" 255.255.255.0
 ip nat inside
 no ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
!
interface GigabitEthernet0/3
 ip address "IP-адрес сети управления по SSH" 255.255.255.0
 ip nat inside
 no ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip unnumbered Loopback0
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 autodetect encapsulation ppp
 ppp authentication pap chap callin
 ppp ipcp dns 8.8.8.8 8.8.4.4
!
no ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination "IP - билинг" 9996
!
ip dns server
ip nat pool rostelecom "IP - начальный пула" "IP последний пула" netmask 255.255.255.248
ip nat inside source list NAT pool rostelecom overload
ip route 0.0.0.0 0.0.0.0 "IP - шлюза провайдера"
!
ip access-list standard NAT
 permit  "IP - адреса выдаваемые абонентам" 0.0.0.255
 deny   any
!
ip access-list extended Internet
!
access-list 1 remark ACL for managment
access-list 1 permit "IP-адрес компьютера с клиентом SSH"
access-list 1 deny   any
access-list 2 remark ACL for NTP servers
access-list 2 permit 62.117.76.142
access-list 2 permit 62.117.76.141
access-list 2 permit 91.226.136.139
access-list 2 permit 91.226.136.138
access-list 2 deny   any
access-list 3 permit "IP-адрес билинга"
access-list 3 deny   any log
!
no cdp run
!
snmp-server community public_xxxx RW 3
snmp-server community public RO 1
snmp-server community private RW 1
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host "IP- радиус сервера" 161
snmp-server host "IP- радиус сервера" 2c
snmp-server host "IP- радиус сервера" aaa
snmp-server host "IP- радиус сервера" public_xxxx  snmp
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host "IP- радиус сервера" auth-port 1812 acct-port 1813 key kaskaduzl
radius-server vsa send accounting
radius-server vsa send authentication
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 access-class 1 in
 transport input all
!
scheduler allocate 20000 1000
ntp source GigabitEthernet0/0
ntp access-group peer 2
ntp update-calendar
ntp server 91.226.136.138
ntp server 91.226.136.139
ntp server 62.117.76.141
ntp server 62.117.76.142
end