burevestnik_1983 Опубликовано 10 ноября, 2017 · Жалоба Ещё вопрос, никто не сталкивался с таким? Пробую так же рулить ip subscriber interface сессиями через COA запросы. Через radclient. ASR в принципе не шлёт мне ответы для radclient. На уровне пакетов вижу, что не шлёт. Шлёт, только если я ошибаюсь в server-key. В остальных случаях по логам (debug aaa coa) вижу, что он выполняет COA запросы, например успешно навешивает редирект 3 уровня (reroute to). При этом в сторону radclient ответов нет, но ответы на coa запросы он пишет в лог, в том числе и негативные ответы типа No valid session или Unsupported service. Клиент в разделе aaa dynamic-author указан правильный, server-key - правильный, но ASR упорно не шлёт ответа, а radclient думает, что ему не ответили, и пытается послать запрос ещё раз... На разных IOS - 03.16.05.S.155-3.S5-ext, 03.11.00.S.154-1.S-std - ситуация та же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 10 ноября, 2017 · Жалоба iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
burevestnik_1983 Опубликовано 10 ноября, 2017 · Жалоба 57 минут назад, ShyLion сказал: iptables? Не думаю. В принципе долетает ответ от ASR, к примеру, если я намеренно указываю неправильный server-key. Значит проблем со связностью, файрволом, занятостью порта нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 13 ноября, 2017 · Жалоба А дебажить пробовал? debug aaa coa Ну и еще - какие атрибуты шлешь? Минимум, который нужен: User-Name и Acct-Session-Id, плюс команда. Просто идентификатора сессии недостаточно, хоть он и не уникальный и по докам вроде как достаточен, но у меня не получалось без имени пользователя. asr-1002x-621# Nov 13 09:20:26: COA: 10.0.11.90 request queued Nov 13 09:20:26: RADIUS: authenticator 16 10 98 D4 62 A7 DA 05 - 7C B7 BB EB FA A4 2C 94 Nov 13 09:20:26: RADIUS: User-Name [1] 16 "2c59.8a61.edcb" Nov 13 09:20:26: RADIUS: Acct-Session-Id [44] 10 "01E8E132" Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 18 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 12 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 31 30 [Service-Log-Off Captive10] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 18 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 12 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 32 30 [Service-Log-Off Captive20] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 34 30 30 [Service-Log-Off Captive400] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 34 31 30 [Service-Log-Off Captive410] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 35 30 30 [Service-Log-Off Captive500] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 19 Nov 13 09:20:26: RADIUS: ssg-command-code [252] 13 Nov 13 09:20:26: RADIUS: 0C 43 61 70 74 69 76 65 35 31 30 [Service-Log-Off Captive510] Nov 13 09:20:26: RADIUS: Vendor, Cisco [26] 32 Nov 13 09:20:26: RADIUS: ssg-account-info [250] 26 "QU;102400000;D;102400000" Nov 13 09:20:26: COA: Message Authenticator missing or failed decode Nov 13 09:20:26: ++++++ CoA Attribute List ++++++ Nov 13 09:20:26: 7F3D84C786C0 0 00000081 username(450) 14 2c59.8a61.edcb Nov 13 09:20:26: 7F3D84C77EB0 0 00000001 session-id(408) 4 32039218(1E8E132) Nov 13 09:20:26: 7F3D84C77EF0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 31 30 Nov 13 09:20:26: 7F3D84C77F30 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 32 30 Nov 13 09:20:26: 7F3D84C77F70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 30 30 Nov 13 09:20:26: 7F3D84C77FB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 31 30 Nov 13 09:20:26: 7F3D7D180F70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 30 30 Nov 13 09:20:26: 7F3D7D180FB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 31 30 Nov 13 09:20:26: 7F3D7D180FF0 0 00000081 ssg-account-info(488) 24 QU;102400000;D;102400000 Nov 13 09:20:26: Nov 13 09:20:26: ++++++ Received CoA response Attribute List ++++++ Nov 13 09:20:26: 7F3D84E9CBB0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 31 30 Nov 13 09:20:26: 7F3D84E9CBF0 0 00000081 ssg-command-code(490) 10 0C 43 61 70 74 69 76 65 32 30 Nov 13 09:20:26: 7F3D84E9CC30 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 30 30 Nov 13 09:20:26: 7F3D84E9CC70 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 34 31 30 Nov 13 09:20:26: 7F3D84E9CCB0 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 30 30 Nov 13 09:20:26: asr-1002x-621#7F3D84E9BE40 0 00000081 ssg-command-code(490) 11 0C 43 61 70 74 69 76 65 35 31 30 Nov 13 09:20:26: 7F3D84E9BE80 0 00000001 session-id(408) 4 32039218(1E8E132) Nov 13 09:20:26: asr-1002x-621# aaa server radius dynamic-author client z.z.z.z vrf Mgmt-inband server-key 7 zzzz port 1645 auth-type any ignore session-key ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
burevestnik_1983 Опубликовано 15 ноября, 2017 (изменено) · Жалоба В 13.11.2017 в 07:16, ShyLion сказал: А дебажить пробовал? debug aaa coa Да, пробовал. Именно этой командой. Вижу, что он выполняет запрос и не ругается в логе, но он почему-то не шлёт ответ обратно в radclient. Если я ошибаюсь в COA запросе, он пишет, то No valid session, но опять же в логе, а не отсылает ответ в radclient. По факту вижу, что когда навешиваю политику редиректа 3 уровня, оно работает, хотя ответа в radclient не посылает. Шейпы (если точнее policy cir) навешиваю - пишет, что успешно навешивает, но реально не ограничивают... По поводу идентификаторов - это ведь интерфейсная сессия, поэтому она может быть активной, даже если через интефейс никто не работает. Там юзернейма, как такового и не надо. Я сделал статический роут для фейкового IP в данный интерфейс, и этот IP юзаю для COA запросов. Framed-Ip-Address="10.81.0.4" - вот таким образом указываю, и ASR понимает, о каком интерфейсе речь, и принимает COA запрос Ещё можно юзать Cisco-Account-Info="S10.81.0.4" - работает, запрос проходит Юзернейм сессии у меня - это Nas-port, но если его указывать, то тогда пишет No Valid Session И самое главное то, что даже если я ошибаюсь в атрибуте, то radclient должен даже и тогда получить ответ от ASR и написать его... А ASR в radclient этого ответа не шлёт даже в случае ошибки в запросе. Не шлёт на уровне пакетов (делал зеркало порта, куда подключен ASR). Шлёт NAK только когда я ставлю неправильный server-key. Вот это странно. Может там нужно флаг какой-то дёрнуть, чтобы он стал отвечать... Изменено 15 ноября, 2017 пользователем burevestnik_1983 не успел всё ввести Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...