zavndw Posted September 13, 2016 (edited) Поделитесь опытом, при подключении с NAT сессия после старта сразу вылетает с ошибкой Time: 13.09.2016 16:48:51 Packet type: Accounting-Request Identifier: 202 Authenticator: {5E 7D F4 66 9E C8 9A 44 B4 91 4C 0F 02 5E 4F 3B} Attributes: NAS-Identifier=RedBack User-Name=78 NAS-IP-Address=10.0.0.103 NAS-Port=553655734 Service-Type=2 Framed-Protocol=1 Acct-Status-Type=2 Framed-IP-Address=10.171.194.38 Framed-IP-Netmask=255.255.255.255 Acct-Delay-Time=1 Acct-Input-Octets=1245 Acct-Output-Octets=653 Acct-Session-Id=0100FFFF68001828-57D7F5B0 Acct-Authentic=1 Acct-Session-Time=0 Acct-Input-Packets=18 Acct-Output-Packets=14 Acct-Terminate-Cause=15 Acct-Input-Gigawords=0 Acct-Output-Gigawords=0 NAS-Port-Id=2/1 vlan-id 34 pppoe 7606 Event-Timestamp=1473770930 NAS-Port-Type=5 Acct-Input-Octets-64={00 00 00 00 00 00 04 DD} Client-DNS-Pri=11.111.194.17 Acct-Output-Octets-64={00 00 00 00 00 00 02 8D} Client-DNS-Sec=11.111.194.10 Acct-Input-Packets-64={00 00 00 00 00 00 00 12} Acct-Output-Packets-64={00 00 00 00 00 00 00 0E} Dynamic-QoS-Param=police-class-rate INET rate-absolute 92160 Dynamic-QoS-Param=police-class-burst INET 13824000 Dynamic-QoS-Param=police-class-excess-burst INET 27648000 Dynamic-QoS-Param=meter-class-rate INET rate-absolute 92160 Dynamic-QoS-Param=meter-class-burst INET 13824000 Dynamic-QoS-Param=meter-class-excess-burst INET 27648000 Acct-Mcast-In-Octets-64={00 00 00 00 00 00 00 00} Acct-Mcast-Out-Octets-64={00 00 00 00 00 00 00 00} Acct-Mcast-In-Packets-64={00 00 00 00 00 00 00 00} Acct-Mcast-Out-Packets-64={00 00 00 00 00 00 00 00} Session-Error-Code=26 Session-Error-Msg=Subscriber provisioning failed Acct-Update-Reason=2 Mac-Addr=08-00-27-37-87-52 Acct-Mcast-In-Octets=0 Acct-Mcast-Out-Octets=0 Acct-Mcast-In-Packets=0 Acct-Mcast-Out-Packets=0 Qos-Policing-Profile-Name=DEFAULT-IN Qos-Metering-Profile-Name=DEFAULT-OUT Platform-Type=4 Medium-Type=11 NAT-Policy-Name=NAT OS-Version=11.1.2.7 NAS-Real-Port=553648162 Edited September 13, 2016 by zavndw Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 13, 2016 покажите access-request, access-accept и настройки subscriber default Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 13, 2016 (edited) Time: 12.09.2016 09:22:24 Packet type: Access-Request Identifier: 175 Authenticator: {9A 03 53 A4 90 8A B6 94 BB D0 9D 74 C9 30 E1 72} Attributes: NAS-Identifier=RedBack User-Name=78 CHAP-Password={01 28 BB 37 0E 4D C1 C0 00 05 B2 29 6F 4D 29 08 27} NAS-IP-Address=10.0.0.103 NAS-Port=553663146 Service-Type=2 Framed-Protocol=1 NAS-Port-Id=2/1 vlan-id 34 pppoe 15018 CHAP-Challenge=�\u3S������Нt�0�r NAS-Port-Type=5 OS-Version=11.1.2.7 Mac-Addr=6a-de-b0-81-e0-d4 Platform-Type=4 Medium-Type=11 NAS-Real-Port=553648162 Time: 12.09.2016 09:22:24 Packet type: Access-Accept Identifier: 175 Authenticator: {E1 68 63 D2 10 A0 BF 1F 52 EA 2B 67 AE 42 A1 2F} Attributes: User-Password=User-Password Service-Type=2 Framed-Protocol=1 Framed-IP-Address=10.171.192.61 Dynamic-QoS-Param=police-class-rate INET rate-absolute 92160 Dynamic-QoS-Param=police-class-burst INET 13824000 Dynamic-QoS-Param=police-class-excess-burst INET 27648000 Dynamic-QoS-Param=meter-class-rate INET rate-absolute 92160 Dynamic-QoS-Param=meter-class-burst INET 13824000 Dynamic-QoS-Param=meter-class-excess-burst INET 27648000 NAT-Policy-Name=NAT subscriber default qos policy policing DEFAULT-IN qos policy metering DEFAULT-OUT dns primary 11.111.194.10 dns secondary 11.111.194.17 flow apply ip profile flow-profile1 both Edited September 13, 2016 by zavndw Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 14, 2016 конфиг nat policy NAT покажите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 14, 2016 (edited) nat policy NAT connections tcp maximum 3000 connections udp maximum 3000 connections icmp maximum 20 ! Default class ignore timeout tcp 600 timeout udp 30 timeout fin-reset 60 timeout icmp 10 timeout syn 60 admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp icmp-notification ! Named classes access-group NAT-acl-pppoe class NAT-pppoe0 pool NAT-pppoe0 pppoe timeout tcp 600 timeout udp 60 timeout fin-reset 60 timeout icmp 10 timeout syn 60 admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp no icmp-notification Edited September 14, 2016 by zavndw Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 14, 2016 ip nat pool ещё покажите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 14, 2016 ip nat pool NAT-pppoe0 napt multibind address 31.171.194.11/32 port-block 1 to 15 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 14, 2016 хм. выглядит вроде всё нормально. есть 2 пути: 1) запустить дебаг, попробовать подключиться и смотреть в дебаг 2) попробовать повесить nat policy не через radius, например так subscriber name 78 nat policy-name NAT но я не уверен что именно в этом проблема. контекст у вас называется pppoe? без атрибута nat подключается и работает всё нормально? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 14, 2016 Да pppoe, без ната все отлично Подскажите как смотреть дебаг? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 14, 2016 можно попробовать debug aaa all debug pppoe all debug nat all работающих сабов с nat вообще ни одного? cgnat лицензии нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted September 14, 2016 /32 тот же, чтот и на внешнем интерфейсе? /32 тот же, чтот и на внешнем интерфейсе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 14, 2016 Да тот же Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 14, 2016 так не получится, nat pool не должен пересекаться с какими-либо интерфейсами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bike Posted September 14, 2016 Да тот же "IP адреса, используемые в NAPT пулах не должны пересекаться с адресными пространствами L3 интерфейсов контекста маршрутизации где они определены." Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 14, 2016 Я видимо уже запутался, вот конфиг context pppoe ! ip nat pool NAT-pppoe0 napt multibind address 31.171.194.11/32 port-block 1 to 15 ! nat policy NAT connections tcp maximum 3000 connections udp maximum 3000 connections icmp maximum 20 ! Default class ignore timeout tcp 600 timeout udp 30 timeout fin-reset 60 timeout icmp 10 timeout syn 60 admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp icmp-notification ! Named classes access-group NAT-acl-pppoe class NAT-pppoe0 pool NAT-pppoe0 pppoe timeout tcp 600 timeout udp 60 timeout fin-reset 60 timeout icmp 10 timeout syn 60 admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp no icmp-notification ! interface core ip address 10.0.0.103/24 ip source-address radius ! interface loop1 loopback ip address 31.171.192.17/32 ! interface pppoe multibind lastresort ip unnumbered loop1 ! interface route ip address 31.171.192.11/29 no logging console ! ! aaa authentication administrator local aaa authentication administrator maximum sessions 1 aaa authentication subscriber radius aaa accounting subscriber radius aaa update subscriber 10 radius max-retries 5 radius timeout 30 radius attribute nas-ip-address interface core radius attribute nas-port format session-info radius attribute nas-identifier RedBack3 ! subscriber default qos policy policing DEFAULT-IN qos policy metering DEFAULT-OUT dns primary 31.171.194.17 dns secondary 31.171.194.10 ! ip route 0.0.0.0/0 31.171.192.12 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted September 14, 2016 у вас какая схема? провайдер даёт вам /29 из своего блока? если так, то применима такая схема. вы натягиваете с провайдером /30 или /31, можно серую. Он прописывает в вашу сторону статический маршрут на белую сеть /29. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zavndw Posted September 14, 2016 всем спасибо дебаг помог разобратся Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
