Subscriber provisioning failed

zavndw · September 13, 2016

Поделитесь опытом, при подключении с NAT сессия после старта сразу вылетает с ошибкой

Time: 13.09.2016 16:48:51

Packet type: Accounting-Request

Identifier: 202

Authenticator: {5E 7D F4 66 9E C8 9A 44 B4 91 4C 0F 02 5E 4F 3B}

Attributes:

NAS-Identifier=RedBack

User-Name=78

NAS-IP-Address=10.0.0.103

NAS-Port=553655734

Service-Type=2

Framed-Protocol=1

Acct-Status-Type=2

Framed-IP-Address=10.171.194.38

Framed-IP-Netmask=255.255.255.255

Acct-Delay-Time=1

Acct-Input-Octets=1245

Acct-Output-Octets=653

Acct-Session-Id=0100FFFF68001828-57D7F5B0

Acct-Authentic=1

Acct-Session-Time=0

Acct-Input-Packets=18

Acct-Output-Packets=14

Acct-Terminate-Cause=15

Acct-Input-Gigawords=0

Acct-Output-Gigawords=0

NAS-Port-Id=2/1 vlan-id 34 pppoe 7606

Event-Timestamp=1473770930

NAS-Port-Type=5

Acct-Input-Octets-64={00 00 00 00 00 00 04 DD}

Client-DNS-Pri=11.111.194.17

Acct-Output-Octets-64={00 00 00 00 00 00 02 8D}

Client-DNS-Sec=11.111.194.10

Acct-Input-Packets-64={00 00 00 00 00 00 00 12}

Acct-Output-Packets-64={00 00 00 00 00 00 00 0E}

Dynamic-QoS-Param=police-class-rate INET rate-absolute 92160

Dynamic-QoS-Param=police-class-burst INET 13824000

Dynamic-QoS-Param=police-class-excess-burst INET 27648000

Dynamic-QoS-Param=meter-class-rate INET rate-absolute 92160

Dynamic-QoS-Param=meter-class-burst INET 13824000

Dynamic-QoS-Param=meter-class-excess-burst INET 27648000

Acct-Mcast-In-Octets-64={00 00 00 00 00 00 00 00}

Acct-Mcast-Out-Octets-64={00 00 00 00 00 00 00 00}

Acct-Mcast-In-Packets-64={00 00 00 00 00 00 00 00}

Acct-Mcast-Out-Packets-64={00 00 00 00 00 00 00 00}

Session-Error-Code=26

Session-Error-Msg=Subscriber provisioning failed

Acct-Update-Reason=2

Mac-Addr=08-00-27-37-87-52

Acct-Mcast-In-Octets=0

Acct-Mcast-Out-Octets=0

Acct-Mcast-In-Packets=0

Acct-Mcast-Out-Packets=0

Qos-Policing-Profile-Name=DEFAULT-IN

Qos-Metering-Profile-Name=DEFAULT-OUT

Platform-Type=4

Medium-Type=11

NAT-Policy-Name=NAT

OS-Version=11.1.2.7

NAS-Real-Port=553648162

Edited September 13, 2016 by zavndw

zstas · September 13, 2016

покажите access-request, access-accept и настройки subscriber default

zavndw · September 13, 2016

Time: 12.09.2016 09:22:24

Packet type: Access-Request

Identifier: 175

Authenticator: {9A 03 53 A4 90 8A B6 94 BB D0 9D 74 C9 30 E1 72}

Attributes:

NAS-Identifier=RedBack

User-Name=78

CHAP-Password={01 28 BB 37 0E 4D C1 C0 00 05 B2 29 6F 4D 29 08 27}

NAS-IP-Address=10.0.0.103

NAS-Port=553663146

Service-Type=2

Framed-Protocol=1

NAS-Port-Id=2/1 vlan-id 34 pppoe 15018

CHAP-Challenge=�\u3S��Нt�0�r

NAS-Port-Type=5

OS-Version=11.1.2.7

Mac-Addr=6a-de-b0-81-e0-d4

Platform-Type=4

Medium-Type=11

NAS-Real-Port=553648162

Time: 12.09.2016 09:22:24

Packet type: Access-Accept

Identifier: 175

Authenticator: {E1 68 63 D2 10 A0 BF 1F 52 EA 2B 67 AE 42 A1 2F}

Attributes:

User-Password=User-Password

Service-Type=2

Framed-Protocol=1

Framed-IP-Address=10.171.192.61

Dynamic-QoS-Param=police-class-rate INET rate-absolute 92160

Dynamic-QoS-Param=police-class-burst INET 13824000

Dynamic-QoS-Param=police-class-excess-burst INET 27648000

Dynamic-QoS-Param=meter-class-rate INET rate-absolute 92160

Dynamic-QoS-Param=meter-class-burst INET 13824000

Dynamic-QoS-Param=meter-class-excess-burst INET 27648000

NAT-Policy-Name=NAT

subscriber default

qos policy policing DEFAULT-IN

qos policy metering DEFAULT-OUT

dns primary 11.111.194.10

dns secondary 11.111.194.17

flow apply ip profile flow-profile1 both

Edited September 13, 2016 by zavndw

zstas · September 14, 2016

конфиг nat policy NAT покажите

zavndw · September 14, 2016

nat policy NAT

connections tcp maximum 3000

connections udp maximum 3000

connections icmp maximum 20

! Default class

ignore

timeout tcp 600

timeout udp 30

timeout fin-reset 60

timeout icmp 10

timeout syn 60

admission-control tcp

admission-control udp

admission-control icmp

endpoint-independent filtering udp

icmp-notification

! Named classes

access-group NAT-acl-pppoe

class NAT-pppoe0

pool NAT-pppoe0 pppoe

timeout tcp 600

timeout udp 60

timeout fin-reset 60

timeout icmp 10

timeout syn 60

admission-control tcp

admission-control udp

admission-control icmp

endpoint-independent filtering udp

no icmp-notification

Edited September 14, 2016 by zavndw

zstas · September 14, 2016

ip nat pool ещё покажите

zavndw · September 14, 2016

ip nat pool NAT-pppoe0 napt multibind

address 31.171.194.11/32 port-block 1 to 15

zstas · September 14, 2016

хм. выглядит вроде всё нормально. есть 2 пути:

1) запустить дебаг, попробовать подключиться и смотреть в дебаг

2) попробовать повесить nat policy не через radius, например так

subscriber name 78 
nat policy-name NAT

но я не уверен что именно в этом проблема.

контекст у вас называется pppoe?

без атрибута nat подключается и работает всё нормально?

zavndw · September 14, 2016

Да pppoe, без ната все отлично

Подскажите как смотреть дебаг?

zstas · September 14, 2016

можно попробовать

debug aaa all
debug pppoe all
debug nat all

работающих сабов с nat вообще ни одного? cgnat лицензии нет?

vurd · September 14, 2016

/32 тот же, чтот и на внешнем интерфейсе?

zavndw · September 14, 2016

Да тот же

zstas · September 14, 2016

так не получится, nat pool не должен пересекаться с какими-либо интерфейсами.

bike · September 14, 2016

Да тот же

"IP адреса, используемые в NAPT пулах не должны пересекаться с адресными пространствами L3 интерфейсов контекста маршрутизации где они определены."

zavndw · September 14, 2016

Я видимо уже запутался, вот конфиг

context pppoe

!

ip nat pool NAT-pppoe0 napt multibind

address 31.171.194.11/32 port-block 1 to 15

!

nat policy NAT

connections tcp maximum 3000

connections udp maximum 3000

connections icmp maximum 20

! Default class

ignore

timeout tcp 600

timeout udp 30

timeout fin-reset 60

timeout icmp 10

timeout syn 60

admission-control tcp

admission-control udp

admission-control icmp

endpoint-independent filtering udp

icmp-notification

! Named classes

access-group NAT-acl-pppoe

class NAT-pppoe0

pool NAT-pppoe0 pppoe

timeout tcp 600

timeout udp 60

timeout fin-reset 60

timeout icmp 10

timeout syn 60

admission-control tcp

admission-control udp

admission-control icmp

endpoint-independent filtering udp

no icmp-notification

!

interface core

ip address 10.0.0.103/24

ip source-address radius

!

interface loop1 loopback

ip address 31.171.192.17/32

!

interface pppoe multibind lastresort

ip unnumbered loop1

!

interface route

ip address 31.171.192.11/29

no logging console

!

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa accounting subscriber radius

aaa update subscriber 10

radius max-retries 5

radius timeout 30

radius attribute nas-ip-address interface core

radius attribute nas-port format session-info

radius attribute nas-identifier RedBack3

!

subscriber default

qos policy policing DEFAULT-IN

qos policy metering DEFAULT-OUT

dns primary 31.171.194.17

dns secondary 31.171.194.10

!

ip route 0.0.0.0/0 31.171.192.12

zstas · September 14, 2016

у вас какая схема? провайдер даёт вам /29 из своего блока?

если так, то применима такая схема. вы натягиваете с провайдером /30 или /31, можно серую. Он прописывает в вашу сторону статический маршрут на белую сеть /29.

zavndw · September 14, 2016

всем спасибо дебаг помог разобратся

Sign In

Subscriber provisioning failed

Recommended Posts

zavndw

zstas

zavndw

zstas

zavndw

zstas

zavndw

zstas

zavndw

zstas

vurd

zavndw

zstas

bike

zavndw

zstas

zavndw

Join the conversation