BiTel

Добрый день.
Есть такая выдержка из конфига рут-устройства радиус:

connection.start.fromAccept=1
#атрибуты CoA запроса для прекращения доступа
sa.radius.connection.attributes=Acct-Session-Id
sa.radius.connection.withoutBreak=0
sa.radius.connection.coa.mode=1
sa.radius.connection.coa.onEnable=1
sa.radius.coa.attributes=User-Name;Framed-IP-Address;Acct-Session-Id
sa.radius.connection.stateModify=0
sa.radius.log=1
radius.connection.checkDuplicate=1

# -------------------------------

#radius.secret=Kdk4E94Hkkje
#атрибуты, выдаваемые при авторизации по реалму default (default - реалм по умолчанию)
#radius.realm.default.attributes=
#категории ip адресов из ресурсов, из которых будут выдаваться адреса ("пул", указывается во вкладке "IP ресурсы")
radius.realm.default.ipCategories=15
#radius.realm.default.ipCategories=9
#категории ip адресов из ресурсов, из которых будут выдаваться адреса для отключенных ("пул", указывается во вкладке "IP ресурсы")
radius.disable.ipCategories=17
#коды ошибок, при которых вместо reject выдавать accept с заданными атрибутами
#(пользователю выдается серый адрес и устанавливается HTTP-редирект)
radius.disable.accessCodes=1,2,3,4,10,11,12
ip.resource.category=14

И есть иллюстрация ip-ресурсов в присоединенном файле.
При подключении pptp на сервис, связанный с подчиненным устройством указанного корневого устройства выдается ip из сетки
10.25.0.0 (ip-ресурс Deny).
Хотя договор действующий, не отключенный.
Что может быть не так ?

сервис в каком состоянии? сессия в каком ?

Во вкладке Монитор если выбрать ошибки - по этому договору нет ошибок?

Сервис "Открыт, Включен".
Сессии нет совсем.

На вкладке "Монитор" сейчас ошибок нет.
Вчера была ошибка неправильного ввода пароля - сейчас уже исправили.

А что по ошибкам в мониторе? Если авторизация не прошла (а если выдал адрес из Deny, то скорее всего не прошла), InetAccess должен был добавить запись об ошибке.

Если сессии нет, но получает из Deny - т.е. все-таки был выдан Access-Accept, но сессии в биллинге нет - возможно по такой сессии не идет RADIUS-аккаунтинг с железки.
Либо смотреть логи InetAccounting - может быть пакет пришел, но что-то произошло не так.

Пришел ответ по железке.

По дебагам видно что аккаунтинг как и отправляется с циски так и попадает в радиус:

Apr 21 12:17:12.961: RADIUS(0000002E): Send Accounting-Request to 89.19.201.43:1813 id 1646/192, len 343
Apr 21 12:17:12.961: RADIUS: authenticator 6B 81 94 27 BC 45 83 86 - 0D 2E 23 50 CF 5B F0 FF
Apr 21 12:17:12.961: RADIUS: Acct-Session-Id [44] 10 "0000002C"
Apr 21 12:17:12.961: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1]
Apr 21 12:17:12.961: RADIUS: Tunnel-Server-Endpoi[67] 12 "10.23.0.37"
Apr 21 12:17:12.961: RADIUS: Tunnel-Client-Endpoi[66] 14 "89.19.203.61"
Apr 21 12:17:12.965: RADIUS: Tunnel-Assignment-Id[82] 6 "main"
Apr 21 12:17:12.965: RADIUS: Tunnel-Server-Auth-I[91] 18 "2801_Krasnoarm74"
Apr 21 12:17:12.965: RADIUS: Acct-Tunnel-Connecti[68] 7 "31786"
Apr 21 12:17:12.965: RADIUS: Framed-Protocol [7] 6 PPP [1]
Apr 21 12:17:12.965: RADIUS: Framed-IP-Address [8] 6 10.25.0.4
Apr 21 12:17:12.965: RADIUS: Vendor, Cisco [26] 59
Apr 21 12:17:12.965: RADIUS: Cisco AVpair [1] 53 "ppp-disconnect-cause=Received LCP TERMREQ from peer"
Apr 21 12:17:12.965: RADIUS: User-Name [1] 5 "fsd"
Ap
но правда видно какую-то ругать от биллинга:

Response (194) failed decrypt

И еще от сетевого администратора цисок получен такой ответ:

Возможно радиус не поддерживает ms-chap-v2:

ну значит копайте радиус, на циске поддержка мс-чап2 есть

interface Virtual-Template1
ip unnumbered FastEthernet0/1.2
ip access-group RFC-3704 in
peer default ip address pool PPPoE
ppp authentication ms-chap ms-chap-v2 chap pap

радиус у вас его значит не понимает

А что все-таки в мониторе модуля Inet, какие ошибки отображает по этим логинам/абонентам?

Это где такое?

ms-chap-v2 может некорректно работать если указан неправильный RADIUS-секрет.

покажите на всякий случай еще содержимое окна "о программе".

radius.secret-ы действительно были разные на циске и на биллинге, сейчас поправили, авторизация идет, но все равно выдается сетка deny
вот лог циски

radius 04-30/11:16:32 ERROR [rdsLstnr-p-6-t-5] RadiusListenerWorker - NAS not found for packet: Packet type: Accounting-Request
Identifier: 154
Authenticator: {F9 CE CE 85 0E 6A FD FF 3E 51 A9 9F 78 DF 37 11}
Attributes:
Acct-Tunnel-Connection=32971
User-Name=fsd
NAS-IP-Address=10.23.0.37
NAS-Port=81
Tunnel-Medium-Type:0=1
Service-Type=2
Tunnel-Client-Endpoint=89.19.203.61
Tunnel-Server-Endpoint=10.23.0.37
Framed-Protocol=1
Framed-IP-Address=10.25.0.112
Acct-Status-Type=1
Acct-Delay-Time=144
Acct-Session-Id=00000072
Acct-Authentic=1
NAS-Port-Id=Uniq-Sess-ID81
Event-Timestamp=1430378048
Tunnel-Assignment-ID=main
Tunnel-Server-Auth-ID=2801_Krasnoarm74
NAS-Port-Type=5
cisco-avpair=connect-progress=LAN Ses Up

О программе

если не ошибаюсь NAS not found for packet это у вас hostname на насе не тот что в биллинге поэтому биллинг не находит нас с которого приходит запрос и отклоняет его

Сначала ищет по NAS-Identifier, если не находит - ищет по NAS-IP-Address.

На вкладке Монитор модуля Inet должны быть ошибки.
Reply-Message = "10" - это Сервис отключен, т.е. его состояние по какой-то причине - "отключено".
Это должно быть видно в договоре в списке сервисов Inet.

Рекомендую добавить в конфиг корневого устройства
authorization.mode=1
и перезапустить Access и Accounting. В этом режиме не выдает "Сервис отключен", а выдает исходную ошибку: "Договор приостановлен", "Сервис закрыт" и т.п., что более удобно.

Спасибо - разобрались.