axisBeam

ревизия Б, просто после ремонта пришел с 3.38, некоторые ОНУ(не Элтекс) не работают после 3.24. А прошивку провтыкал :(

Всем привет! Ребята поделитесь, у кого есть, прошивкой 3.24.3 для LTP-4X. Спасибо!

Радиус в sql ходит и спрашивает: WHERE username = 'Vlan3135=2BGigabitEthernet1/0/7', 002B в юникоде это плюс, какого черта радиус при проверке спрашивает "=2B", а в лог mysql пишет "+", мне не понятно(было). Искал проблемы в направлении кодировки. Решилось расскоментированием и добавлением "+" в /etc/freeradius/sql/mysql/dialup.conf: safe-characters = "@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-+_: /" Всем спасибо за помощь!

Да вот пока не могу найти где.

Добрый день! Появилась идея перевести freeradius с файлов на sql, но вылезла проблема, если в username есть "+" - получаю Access-Reject. Кто что подсказать может? Спасибо! radtest "241-28 eth 0/17:3401" password 127.0.1.1 0 secret Sending Access-Request of id 25 to 127.0.1.1 port 1812 User-Name = "241-28 eth 0/17:3401" User-Password = "password" NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 127.0.1.1 port 1812, id=25, length=20 radtest "Vlan3265+Ethernet1/12" password 127.0.1.1 0 secret Sending Access-Request of id 78 to 127.0.1.1 port 1812 User-Name = "Vlan3265+Ethernet1/12" User-Password = "password" NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Reject packet from host 127.0.1.1 port 1812, id=78, length=20

тогда

да это понятно, просто уточняю, что этот ответ от dhcp: 10:55:31.699563 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 363) 172.16.0.2.67 > 192.168.200.2.68: BOOTP/DHCP, Reply, length 335, xid 0xb2e368bf, secs 3072, Flags [none] Your-IP 192.168.200.2 Server-IP 172.16.0.2 Client-Ethernet-Address e8:03:9a:2f:84:43 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Offer Server-ID Option 54, length 4: 172.16.0.2 Lease-Time Option 51, length 4: 600 Subnet-Mask Option 1, length 4: 255.255.255.192 Domain-Name Option 15, length 9: "intset.ru" Default-Gateway Option 3, length 4: 192.168.200.1 Domain-Name-Server Option 6, length 4: 10.0.0.11 Classless-Static-Route Option 121, length 13: (10.0.0.0/8:192.168.200.1),(172.16.0.0/16:192.168.200.1) Classless-Static-Route-Microsoft Option 249, length 13: (10.0.0.0/8:192.168.200.1),(172.16.0.0/16:192.168.200.1) Agent-Information Option 82, length 18: Circuit-ID SubOption 1, length 6: ^@^D^CM-j^A^A Remote-ID SubOption 2, length 8: ^@^F^@^RM-OM-^FEM-` сервер отдал при конфиге: class "port-1" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1002" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "1" ); } или все же class "port-1" { match if ( binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "1" ); }

эти ответы, что вы показали, с match на vlan в конфиге dhcp-server?

возможно я ошибаюсь, уже все записи свои по dhcp/opt82 похерил: class "vlan-1002" { match if ( binary-to-ascii(10, 8, "", substring(option agent.circuit-id, 2, 2)) = "1002" ); }

давайте с dhcpdump -i eth0 покажите запрос, а то не понятно: Agent-Information Option 82, length 18: Circuit-ID SubOption 1, length 6: ^@^D^CM-j^A^A Remote-ID SubOption 2, length 8: ^@^F^@^RM-OM-^FEM-` Не отдает ip адреса клиенту если по vlan class "port-1" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1002" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "1" ); } я так понимаю, если class "port-1" { match if ( binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "1" ); } то работает, а если: class "port-1" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1002" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "1" ); } не работает, правильно?

запустите tcpdump -nn -s 0 -v port 67 or port 68 сделайте dhcp-запрос, покажите пожалуйста :)

я не понял, вы не используете relay, потому и вопрос - dhcp-server с dhcp-client находяться в одном vlan?

у вас dhcp-server находится в vlan? что-то типа via eth0.1002 class "port-1" { match if ( binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)) = "1002" and binary-to-ascii(10, 8, "", suffix(option agent.circuit-id, 1)) = "1" ); } к своему классу можете показать: tcpdump -nn -s 0 -v port 67 or port 68 tcpdump -nn -s 0 -v port 67 or port 68 -i eth.1002(?) и еще, зачем ip dhcp snooping information option allowed-untrusted?

я херню написал, спасибо за помощь! 1) получилось так, что у меня vlan на l2-switch, qnq отсутсвует. таким образом на 99% interface-vlan будет создан и если назначить ip-address руками - будет работать. думаю надо поправить firewall, чтобы при удалении сессии, абонент блокировался с помощью firewall. может кто пнуть в нужную сторону?) 2) момент был в том, что есть отдельный vlan для устройств не умеющих dhcp-client. думаю примерно firewall-input + prefix-list на irb-interface должно решить проблему.

Добрый день! Juniper MX [14.2R3.8] Подскажите куда воткнуть discard, что бы трафик ходил только с динамическими интерфейсами, и блокировался(если специально не указано). firewall { family inet { filter "$INET-IN" { interface-specific; term IN { then { policer "$POLICER-IN"; service-accounting; accept; } } } filter "$INET-OUT" { interface-specific; term OUT { then { policer "$POLICER-OUT"; service-accounting; accept; } } } } policer "$POLICER-IN" { filter-specific; if-exceeding { bandwidth-limit "$SPEED-IN"; burst-size-limit 128k; } then discard; } policer "$POLICER-OUT" { filter-specific; if-exceeding { bandwidth-limit "$SPEED-OUT"; burst-size-limit 128k; } then discard; } } Спасибо за помощь!