zhenya` Опубликовано 22 февраля, 2020 · Жалоба Пппое работает замечательно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 февраля, 2020 · Жалоба Есть процентов 10 абонентов на pptp (когда-то давно с него начинали). Видимо придется их перенастраивать на pppoe. Как вариант - оставлять старую циску 7204 чисто под них, либо сделать виртуалку с линухом, пусть туда терминируются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 февраля, 2020 · Жалоба Остальная часть сети на пппое? Тогда да, переводите с пптп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 февраля, 2020 · Жалоба 10 минут назад, zhenya` сказал: Остальная часть сети на пппое? Да, последние годы подключаем только pppoe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 апреля, 2020 · Жалоба Что-то не взлетела у меня эта циска в конфигурации, когда rate-limit для ограничения скорости в pppoe-соединении передается через радиус из биллинга. Передавал этот атрибут через AVPair вида "lcp:interface-config#1=rate-limit input 62914560 11796480 23592960 conform-action transmit exceed-action drop" "lcp:interface-config#2=rate-limit output 62914560 11796480 23592960 conform-action transmit exceed-action drop" Но циска при получении таких атрибутов юзера не авторизует, в логе видно вот что: Apr 2 19:37:55: ppp821 PAP: I AUTH-REQ id 1 len 19 from "zarya" Apr 2 19:37:55: ppp821 PAP: Authenticating peer zarya Apr 2 19:37:55: ppp821 PPP: Sent PAP LOGIN Request Apr 2 19:37:55: ppp821 PPP: Received LOGIN Response PASS Apr 2 19:37:55: ppp821 PPP AUTHOR: Author Data Available Apr 2 19:37:55: ppp821 PPP: Receive Attrs from[authen] Keep[LCP] MERGE Apr 2 19:37:55: ppp821 PPP: Keep Attr: timeout 0 386405 (0x5E565) Apr 2 19:37:55: ppp821 PPP: Updated the attr timeout in datalist Apr 2 19:37:55: ppp821 PPP: Keep Attr: service-type 0 2 [Framed] Apr 2 19:37:55: ppp821 PPP: Updated the attr service-type in datalist Apr 2 19:37:55: ppp821 PPP: Keep Attr: Framed-Protocol 0 1 [PPP] Apr 2 19:37:55: ppp821 PPP: Updated the attr Framed-Protocol in datalist Apr 2 19:37:55: ppp821 PPP: Skip Attr: addr 0 172.21.43.20 Apr 2 19:37:55: ppp821 PPP: Skip Attr: netmask 0 255.255.255.255 Apr 2 19:37:55: ppp821 PPP: Keep Attr: acct-interval 0 60 (0x3C) Apr 2 19:37:55: ppp821 PPP: Updated the attr acct-interval in datalist Apr 2 19:37:55: ppp821 PPP: Skip Attr: interface-config 1 "rate-limit input 10485760 1966080 3932160 conform-action transmit exceed-action drop" Apr 2 19:37:55: ppp821 PPP: Skip Attr: interface-config 2 "rate-limit output 10485760 1966080 3932160 conform-action transmit exceed-action drop" Apr 2 19:37:55: ppp821 PPP: Keep Attr: Message-Authenticato 0 <hidden> Apr 2 19:37:55: ppp821 PPP: Updated the attr Message-Authenticator in datalist Apr 2 19:37:55: ppp821 PPP: Receive Attrs from[SSS] Keep[NCPs] MERGE Apr 2 19:37:55: ppp821 PPP: Skip Attr: timeout 0 386405 (0x5E565) Apr 2 19:37:55: ppp821 PPP: Skip Attr: service-type 0 2 [Framed] Apr 2 19:37:55: ppp821 PPP: Skip Attr: Framed-Protocol 0 1 [PPP] Apr 2 19:37:55: ppp821 PPP: Keep Attr: addr 0 172.21.43.20 Apr 2 19:37:55: ppp821 PPP: Updated the attr addr in datalist Apr 2 19:37:55: ppp821 PPP: Keep Attr: netmask 0 255.255.255.255 Apr 2 19:37:55: ppp821 PPP: Updated the attr netmask in datalist Apr 2 19:37:55: ppp821 PPP: Skip Attr: interface-config 1 "rate-limit input 10485760 1966080 3932160 conform-action transmit exceed-action drop" Apr 2 19:37:55: ppp821 PPP: Skip Attr: interface-config 2 "rate-limit output 10485760 1966080 3932160 conform-action transmit exceed-action drop" Apr 2 19:37:55: ppp821 PPP: Skip Attr: Message-Authenticato 0 <hidden> Apr 2 19:37:55: is_up: Virtual-Access2.214 0 state: 4 sub state: 0 line: 0 Apr 2 19:37:55: RT: interface Virtual-Access2.214 removed from routing table Apr 2 19:37:55: is_up: Virtual-Access2.214 0 state: 4 sub state: 0 line: 0 Apr 2 19:37:55: RT: interface Virtual-Access2.214 removed from routing table Apr 2 19:37:55: is_up: Virtual-Access2.214 0 state: 4 sub state: 0 line: 0 Apr 2 19:37:55: RT: interface Virtual-Access2.214 removed from routing table Apr 2 19:37:55: ppp821 PPP: Sending Acct Event[Down] id[362C] Apr 2 19:37:55: ppp821 PAP: O AUTH-NAK id 1 len 27 msg is "Authentication failure" Apr 2 19:37:55: ppp821 PPP: Clearing AAA Unique Id = 362C Или не в этом атрибуте дело? Софт ASR1002_core#sh ver | i image System image file is "bootflash:asr1000rp1-adventerprisek9.03.16.10.S.155-3.S10-ext.b" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 апреля, 2020 · Жалоба Простите, а вопрос не в тему. А IPoE+ISG чем плох? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 апреля, 2020 · Жалоба 1 минуту назад, VolanD666 сказал: А IPoE+ISG чем плох? Наверное всем хорош, но у нас PPPOE. Холивар на эту тему поддержан не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 апреля, 2020 · Жалоба Что мешает перейти на IPoE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 3 апреля, 2020 · Жалоба Isg работает и поверх пое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 апреля, 2020 · Жалоба 5 часов назад, zhenya` сказал: Isg работает и поверх пое. Ну да, но зачем усложнять то схему? Клиентам лишнее неудобство создавать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба 16 hours ago, Andrei said: "lcp:interface-config#1=rate-limit input 62914560 11796480 23592960 conform-action transmit exceed-action drop" "lcp:interface-config#2=rate-limit output 62914560 11796480 23592960 conform-action transmit exceed-action drop" Cisco-Account-Info="QU;BPS_UP;D;BPS_DOWN" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба Только что, ShyLion сказал: Cisco-Account-Info="QU;BPS_UP;D;BPS_DOWN" Можно чуть более развернуто? Это какие-то политики, которые настраиваются на циске? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба Можно менять на ходу через CoA, в запросе еще понадобится User-Name и Acct-Session-Id Just now, Andrei said: Можно чуть более развернуто? Это какие-то политики, которые настраиваются на циске? Нет, в IOS-XE даже на ISR платформе, не говоря об ASR все сеансы работают через механизм subscriber session. Этот атрибут просто на сеанс повесит шейпер. Ничего дополнительно не обязательно настраивать. Возможно понадобиться еще добавить: aaa authorization configuration AAA_NAME group aaa_group aaa authorization subscriber-service AAA_NAME local group aaa_group aaa policy interface-config allow-subinterface 8 minutes ago, ShyLion said: Cisco-Account-Info="QU;BPS_UP;D;BPS_DOWN" BPS_UP, BPS_DOWN - тут цифры должны быть в битах в секунду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 3 апреля, 2020 · Жалоба 11 минут назад, Andrei сказал: Можно чуть более развернуто? Это какие-то политики, которые настраиваются на циске? это радиус атрибут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба Если передавать из радиуса Cisco-Account-Info="QU;30000000;D;30000000" (или Cisco-Account-Info="QU;30000000;30000000;D;30000000;30000000"), то авторизация не проходит . Apr 3 15:00:42: PPP: Alloc Context [4525E7FC] Apr 3 15:00:42: ppp1185 PPP: Phase is ESTABLISHING Apr 3 15:00:42: ppp1185 PPP: Using AAA Unique Id = 4630 Apr 3 15:00:42: ppp1185 PPP: Authorization required Apr 3 15:00:42: ppp1185 PPP: Using vpn set call direction Apr 3 15:00:42: ppp1185 PPP: Treating connection as a callin Apr 3 15:00:42: ppp1185 PPP: Session handle[E7000440] Session id[1185] Apr 3 15:00:42: ppp1185 PPP LCP: negotiation authorized = 1, tacacs author = 0 Apr 3 15:00:42: ppp1185 LCP: Event[OPEN] State[Initial to Starting] Apr 3 15:00:42: ppp1185 PPP LCP: Enter passive mode, state[Stopped] Apr 3 15:00:42: ppp1185 LCP: I CONFREQ [Stopped] id 0 len 21 Apr 3 15:00:42: ppp1185 LCP: MRU 1400 (0x01040578) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x647120AB (0x0506647120AB) Apr 3 15:00:42: ppp1185 LCP: PFC (0x0702) Apr 3 15:00:42: ppp1185 LCP: ACFC (0x0802) Apr 3 15:00:42: ppp1185 LCP: Callback 6 (0x0D0306) Apr 3 15:00:42: ppp1185 PPP LCP: neg is authorized, processing incoming CONFREQ Apr 3 15:00:42: ppp1185 LCP: O CONFREQ [Stopped] id 1 len 18 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: AuthProto PAP (0x0304C023) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x532E0BE4 (0x0506532E0BE4) Apr 3 15:00:42: ppp1185 LCP: O CONFREJ [Stopped] id 0 len 7 Apr 3 15:00:42: ppp1185 LCP: Callback 6 (0x0D0306) Apr 3 15:00:42: ppp1185 LCP: Event[Receive ConfReq-] State[Stopped to REQsent] Apr 3 15:00:42: ppp1185 LCP: I CONFNAK [REQsent] id 1 len 9 Apr 3 15:00:42: ppp1185 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) Apr 3 15:00:42: ppp1185 LCP: O CONFREQ [REQsent] id 2 len 19 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: AuthProto CHAP (0x0305C22305) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x532E0BE4 (0x0506532E0BE4) Apr 3 15:00:42: ppp1185 LCP: Event[Receive ConfNak/Rej] State[REQsent to REQsent] Apr 3 15:00:42: ppp1185 LCP: I CONFREQ [REQsent] id 1 len 18 Apr 3 15:00:42: ppp1185 LCP: MRU 1400 (0x01040578) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x647120AB (0x0506647120AB) Apr 3 15:00:42: ppp1185 LCP: PFC (0x0702) Apr 3 15:00:42: ppp1185 LCP: ACFC (0x0802) Apr 3 15:00:42: ppp1185 PPP LCP: neg is authorized, processing incoming CONFREQ Apr 3 15:00:42: ppp1185 LCP: O CONFNAK [REQsent] id 1 len 8 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: Event[Receive ConfReq-] State[REQsent to REQsent] Apr 3 15:00:42: ppp1185 LCP: I CONFACK [REQsent] id 2 len 19 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: AuthProto CHAP (0x0305C22305) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x532E0BE4 (0x0506532E0BE4) Apr 3 15:00:42: ppp1185 LCP: Event[Receive ConfAck] State[REQsent to ACKrcvd] Apr 3 15:00:42: ppp1185 LCP: I CONFREQ [ACKrcvd] id 2 len 18 Apr 3 15:00:42: ppp1185 LCP: MRU 1400 (0x01040578) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x647120AB (0x0506647120AB) Apr 3 15:00:42: ppp1185 LCP: PFC (0x0702) Apr 3 15:00:42: ppp1185 LCP: ACFC (0x0802) Apr 3 15:00:42: ppp1185 PPP LCP: neg is authorized, processing incoming CONFREQ Apr 3 15:00:42: ppp1185 LCP: O CONFNAK [ACKrcvd] id 2 len 8 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: Event[Receive ConfReq-] State[ACKrcvd to ACKrcvd] Apr 3 15:00:42: ppp1185 LCP: I CONFREQ [ACKrcvd] id 3 len 18 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x647120AB (0x0506647120AB) Apr 3 15:00:42: ppp1185 LCP: PFC (0x0702) Apr 3 15:00:42: ppp1185 LCP: ACFC (0x0802) Apr 3 15:00:42: ppp1185 PPP LCP: neg is authorized, processing incoming CONFREQ Apr 3 15:00:42: ppp1185 LCP: O CONFACK [ACKrcvd] id 3 len 18 Apr 3 15:00:42: ppp1185 LCP: MRU 1492 (0x010405D4) Apr 3 15:00:42: ppp1185 LCP: MagicNumber 0x647120AB (0x0506647120AB) Apr 3 15:00:42: ppp1185 LCP: PFC (0x0702) Apr 3 15:00:42: ppp1185 LCP: ACFC (0x0802) Apr 3 15:00:42: ppp1185 LCP: Event[Receive ConfReq+] State[ACKrcvd to Open] Apr 3 15:00:42: ppp1185 LCP: I IDENTIFY [Open] id 4 len 18 magic 0x647120ABMSRASV5.20 Apr 3 15:00:42: ppp1185 LCP: I IDENTIFY [Open] id 5 len 20 magic 0x647120ABMSRAS-0-ASUS Apr 3 15:00:42: ppp1185 LCP: I IDENTIFY [Open] id 6 len 24 magic 0x647120ABKy6pPK3CIS|G6Uh^ Apr 3 15:00:42: ppp1185 PPP: Phase is AUTHENTICATING, by this end Apr 3 15:00:42: ppp1185 CHAP: O CHALLENGE id 1 len 33 from "ASR1002_core" Apr 3 15:00:42: ppp1185 LCP: State is Open Apr 3 15:00:42: ppp1185 CHAP: I RESPONSE id 1 len 28 from "var_bee" Apr 3 15:00:42: ppp1185 PPP: Phase is FORWARDING, Attempting Forward Apr 3 15:00:42: ppp1185 PPP: Phase is AUTHENTICATING, Unauthenticated User Apr 3 15:00:42: ppp1185 PPP: Sent CHAP LOGIN Request Apr 3 15:00:42: ppp1185 PPP: Received LOGIN Response FAIL Apr 3 15:00:42: ppp1185 PPP AUTHOR: Author Data Available Apr 3 15:00:42: ppp1185 PPP: Receive Attrs from[authen] Keep[LCP] MERGE Apr 3 15:00:42: ppp1185 PPP: Keep Attr: timeout 0 386405 (0x5E565) Apr 3 15:00:42: ppp1185 PPP: Updated the attr timeout in datalist Apr 3 15:00:42: ppp1185 PPP: Keep Attr: service-type 0 2 [Framed] Apr 3 15:00:42: ppp1185 PPP: Updated the attr service-type in datalist Apr 3 15:00:42: ppp1185 PPP: Keep Attr: Framed-Protocol 0 1 [PPP] Apr 3 15:00:42: ppp1185 PPP: Updated the attr Framed-Protocol in datalist Apr 3 15:00:42: ppp1185 PPP: Skip Attr: addr 0 172.21.40.3 Apr 3 15:00:42: ppp1185 PPP: Skip Attr: netmask 0 255.255.255.255 Apr 3 15:00:42: ppp1185 PPP: Keep Attr: acct-interval 0 60 (0x3C) Apr 3 15:00:42: ppp1185 PPP: Updated the attr acct-interval in datalist Apr 3 15:00:42: ppp1185 PPP: Receive Attrs from[authen] Keep[LCP] MERGE Apr 3 15:00:42: ppp1185 PPP: Keep Attr: timeout 0 386405 (0x5E565) Apr 3 15:00:42: ppp1185 PPP: Updated the attr timeout in datalist Apr 3 15:00:42: ppp1185 PPP: Keep Attr: service-type 0 2 [Framed] Apr 3 15:00:42: ppp1185 PPP: Updated the attr service-type in datalist Apr 3 15:00:42: ppp1185 PPP: Keep Attr: Framed-Protocol 0 1 [PPP] Apr 3 15:00:42: ppp1185 PPP: Updated the attr Framed-Protocol in datalist Apr 3 15:00:42: ppp1185 PPP: Skip Attr: addr 0 172.21.40.3 Apr 3 15:00:42: ppp1185 PPP: Skip Attr: netmask 0 255.255.255.255 Apr 3 15:00:42: ppp1185 PPP: Keep Attr: acct-interval 0 60 (0x3C) Apr 3 15:00:42: ppp1185 PPP: Updated the attr acct-interval in datalist Apr 3 15:00:42: ppp1185 CHAP: O FAILURE id 1 len 25 msg is "Authentication failed" Apr 3 15:00:42: ppp1185 PPP DISC: User failed CHAP authentication Apr 3 15:00:42: ppp1185 PPP: Sending Acct Event[Down] id[4630] Apr 3 15:00:42: PPP: NET STOP send to AAA. Apr 3 15:00:42: ppp1185 LCP: O TERMREQ [Open] id 3 len 4 Apr 3 15:00:42: ppp1185 LCP: Event[CLOSE] State[Open to Closing] Apr 3 15:00:42: ppp1185 PPP: Phase is TERMINATING Apr 3 15:00:42: ppp1185 LCP: I TERMACK [Closing] id 3 len 4 Apr 3 15:00:42: ppp1185 LCP: Event[Receive TermAck] State[Closing to Closed] Apr 3 15:00:42: ppp1185 LCP: Event[DOWN] State[Closed to Initial] Apr 3 15:00:42: ppp1185 PPP: Clearing AAA Unique Id = 4630 Apr 3 15:00:42: ppp1185 PPP: Phase is DOWN Если передать через AV-Pair Cisco-Account-Info="QU;30000000;D;30000000", то авторизация проходит, но я нигде не вижу установленного ограничения по скорости: ASR1002_core# sh int Vi3.6 conf Virtual-Access3.6 is an VPDN link (sub)interface Derived configuration : 479 bytes ! interface Virtual-Access3.6 description PPTP VPN template interface mtu 1492 ip unnumbered Loopback0 no ip redirects ip nat inside ip tcp adjust-mss 1432 ip policy route-map nat_to_sovintel timeout absolute 6440 5 no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 188.130.ххх.xxx ppp ipcp address required ppp ipcp address unique no ip virtual-reassembly end ASR1002_core#show subscriber session username var_bee Type: VPDN, UID: 1188, State: authen, Identity: var_bee IPv4 Address: 172.21.40.3 Session Up-time: 00:01:11, Last Changed: 00:01:11 Interface: Virtual-Access3.6 Switch-ID: 1143878 Policy information: Authentication status: authen Classifiers: Class-id Dir Packets Bytes Pri. Definition 0 In 61 15535 0 Match Any 1 Out 0 0 0 Match Any Features: IP Config: M=Mandatory, T=Tag, Mp=Mandatory pool Flags Peer IP Address Pool Name Interface 172.21.40.3 [None] [None] :: [None] [None] Absolute Timeout: Class-id Timeout Value Time Remaining Source 0 386405 4d11h Peruser Configuration Sources: Type Active Time AAA Service ID Name USR 00:01:11 - Peruser INT 00:01:11 - Virtual-Template1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 1 час назад, ShyLion сказал: Возможно понадобиться еще добавить: aaa authorization configuration AAA_NAME group aaa_group aaa authorization subscriber-service AAA_NAME local group aaa_group aaa policy interface-config allow-subinterface ASR1002_core#sh run | i authorization aaa authorization exec default local aaa authorization network via_lb group rad_lanbilling ppp authorization via_lb ASR1002_core#sh run | i policy aaa policy interface-config allow-subinterface ip policy route-map nat_to_sovintel Это осталось мне непонятным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба 3 hours ago, Andrei said: Если передавать из радиуса Cisco-Account-Info="QU;30000000;D;30000000" (или Cisco-Account-Info="QU;30000000;30000000;D;30000000;30000000"), то авторизация не проходит . Apr 3 15:00:42: ppp1185 CHAP: O FAILURE id 1 len 25 msg is "Authentication failed" Apr 3 15:00:42: ppp1185 PPP DISC: User failed CHAP authentication Тут CHAP не авторизует 3 hours ago, Andrei said: через AV-Pair Cisco-Account-Info="QU;30000000;D;30000000" Потому что это не AV-Pair, а самостоятельный аттрибут. debug radius еще покаж У вас LanBilling ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 1 минуту назад, ShyLion сказал: debug radius еще покаж Откуда? С циски? С биллинга? 2 минуты назад, ShyLion сказал: У вас LanBilling ? Да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба 1 minute ago, Andrei said: Откуда? С циски? С биллинга? да без разницы, аттрибуты чтобы видно было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 3 минуты назад, ShyLion сказал: Тут CHAP не авторизует interface Virtual-Template1 description PPTP VPN template interface mtu 1492 ip unnumbered Loopback0 no ip redirects ip nat inside ip tcp adjust-mss 1432 ip policy route-map nat_to_sovintel no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 188.130.xxx.xxx 8.8.8.8 ppp ipcp address required ppp ipcp address unique no ip virtual-reassembly Вот так и перенес с 7204 5 минут назад, ShyLion сказал: да без разницы, аттрибуты чтобы видно было. ASR1002_core#debug radius ? accounting RADIUS accounting packets only authentication RADIUS authentication packets only brief Only I/O transactions are recorded elog RADIUS event logging failover Packets sent upon fail-over retransmit Retransmission of packets verbose Include non essential RADIUS debugs <cr> Что из этого будет надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба ентер Ну и с ланбилнга мы по другому немного скорость отдаем, через rad_handler, при старте сеанса, через CoA. COA_PORT='1645' # port is default COA_SECRET='secret' # coa secret key RADCLIENT='/usr/bin/radclient -t1 -r3 -c1 -q' shape() { log "Shaping to ${SHAPE}" /bin/echo "User-Name=\"${LOGIN}\",Acct-Session-Id=\"${SESSION}\",Cisco-Account-Info=\"QU;${SHAPE}000;D;${SHAPE}000\"" | ${RADCLIENT} ${NAS}:${COA_PORT} coa ${COA_SECRET} >> $LOG 2>&1 } "--shape") SHAPE=$2 ;; case $ACTION in "stop") if [ -z ${SHAPE} ] then log_error "SHAPE is not defined" exit 1 fi if [ -n ${SESSION} ] then if [ ${REASON} = 'changed' ] then if [ -n ${OLDSHAPE} -a -n ${SESSION} -a ${SHAPE} -ne "0" ] then shape fi else account_logoff fi fi ;; "start") if [ -z ${SHAPE} ] then log_error "SHAPE is not defined" exit 1 fi if [ -n ${SESSION} -a ${SHAPE} -ne "0" ] then shape fi ;; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 5 минут назад, ShyLion сказал: ентер Лог моментально заполняется аккаунтингом. Нужное там не найти. Надо какие отдельные опции дебага радиуса включить. 6 минут назад, ShyLion сказал: Ну и с ланбилнга мы по другому немного скорость отдаем, Как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба authentication тогда выше написал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2020 · Жалоба 4 минуты назад, ShyLion сказал: authentication тогда Наверное вот этот кусок нужен Apr 3 19:17:32: RADIUS/ENCODE(00004704):Orig. component type = VPDN Apr 3 19:17:32: RADIUS: DSL line rate attributes successfully added Apr 3 19:17:32: RADIUS: Format E value 0x46FA for character U with bitmask 0xFFFFFFFF Apr 3 19:17:32: RADIUS: Format E port 0x46FA with bit 32 processed Apr 3 19:17:32: RADIUS(00004704): Config NAS IP: 0.0.0.0 Apr 3 19:17:32: RADIUS(00004704): Config NAS IPv6: :: Apr 3 19:17:32: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included Apr 3 19:17:32: RADIUS/ENCODE(00004704): acct_session_id: 18170 Apr 3 19:17:32: RADIUS(00004704): sending Apr 3 19:17:32: RADIUS/ENCODE: Best Local IP-Address 87.226.191.6 for Radius-Server 172.21.36.233 Apr 3 19:17:32: RADIUS(00004704): Send Access-Request to 172.21.36.233:34009 onvrf(0) id 1645/141, len 136 Apr 3 19:17:32: RADIUS: authenticator E0 CA B4 7A DB 16 8E 93 - CE 69 C7 0A 97 F0 BE B5 Apr 3 19:17:32: RADIUS: Framed-Protocol [7] 6 PPP [1] Apr 3 19:17:32: RADIUS: User-Name [1] 9 "var_bee" Apr 3 19:17:32: RADIUS: CHAP-Password [3] 19 * Apr 3 19:17:32: RADIUS: NAS-Port-Type [61] 6 Virtual [5] Apr 3 19:17:32: RADIUS: Vendor, Cisco [26] 23 Apr 3 19:17:32: RADIUS: cisco-nas-port [2] 17 "Uniq-Sess-ID236" Apr 3 19:17:32: RADIUS: NAS-Port [5] 6 18170 Apr 3 19:17:32: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID236" Apr 3 19:17:32: RADIUS: Service-Type [6] 6 Framed [2] Apr 3 19:17:32: RADIUS: NAS-IP-Address [4] 6 87.226.191.6 Apr 3 19:17:32: RADIUS: Acct-Session-Id [44] 18 "00000000000046FA" Apr 3 19:17:32: RADIUS(00004704): Sending a IPv4 Radius Packet Apr 3 19:17:32: RADIUS(00004704): Started 5 sec timeout Apr 3 19:17:32: RADIUS: Received from id 1645/141 172.21.36.233:34009, Access-Accept, len 148 Apr 3 19:17:32: RADIUS: authenticator 26 87 EE 80 2A 4B 54 AC - 24 A5 51 98 16 E7 9D 19 Apr 3 19:17:32: RADIUS: Session-Timeout [27] 6 386405 Apr 3 19:17:32: RADIUS: Service-Type [6] 6 Framed [2] Apr 3 19:17:32: RADIUS: Framed-Protocol [7] 6 PPP [1] Apr 3 19:17:32: RADIUS: Framed-IP-Address [8] 6 172.21.40.3 Apr 3 19:17:32: RADIUS: Framed-IP-Netmask [9] 6 255.255.255.255 Apr 3 19:17:32: RADIUS: Class [25] 42 Apr 3 19:17:32: RADIUS: 65 63 34 37 66 31 66 32 2D 36 31 61 32 2D 34 65 [ec47f1f2-61a2-4e] Apr 3 19:17:32: RADIUS: 37 65 2D 62 34 30 64 2D 35 62 37 61 65 36 39 38 [7e-b40d-5b7ae698] Apr 3 19:17:32: RADIUS: 61 61 31 38 2F 34 37 35 [ aa18/475] Apr 3 19:17:32: RADIUS: Acct-Interim-Interva[85] 6 60 Apr 3 19:17:32: RADIUS: Vendor, Cisco [26] 32 Apr 3 19:17:32: RADIUS: h323-call-origin [26] 26 ""QU;30000000;D;30000000"" Apr 3 19:17:32: RADIUS: Message-Authenticato[80] 18 Apr 3 19:17:32: RADIUS: D0 D1 88 BB 92 95 54 51 DE 29 81 CC A7 2D F0 F1 [ TQ)-] Apr 3 19:17:32: RADIUS(00004704): Received from id 1645/141 Apr 3 19:17:32: RADIUS/DECODE: parse VSA parts error Apr 3 19:17:32: RADIUS/DECODE: convert VSA string; FAIL Apr 3 19:17:32: RADIUS/DECODE: decoder; FAIL Apr 3 19:17:32: RADIUS/DECODE: attribute h323-call-origin; FAIL Apr 3 19:17:32: RADIUS/DECODE: cisco VSA type 26; FAIL Apr 3 19:17:32: RADIUS/DECODE: VSA; FAIL Apr 3 19:17:32: RADIUS/DECODE: decoder; FAIL Apr 3 19:17:32: RADIUS/DECODE: attribute Vendor-Specific; FAIL Apr 3 19:17:32: RADIUS/DECODE: parse response op decode; FAIL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 апреля, 2020 · Жалоба 1 minute ago, Andrei said: Apr 3 19:17:32: RADIUS: Vendor, Cisco [26] 32 Apr 3 19:17:32: RADIUS: h323-call-origin [26] 26 ""QU;30000000;D;30000000"" Это что? AV-Pair? Это не то. Вот так этот атрибут в словаре выглядит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...