Jump to content

двойная аутентификация pppoe-пользователя

bda
 Share

Recommended Posts

bda

bda

Posted
Posted

Коллеги, помогите разобраться.

Есть cisco nas. На нем поднят pppoe. Пользователи коннектятся с учетными данными вида: username@pppoe. При этом на надиус уходит две попытки логина! Первая попытка видна на радиусе как от пользователя pppoe, а вторая - нормальная, от пользователя username@pppoe. Куда копать? В чем дело?

 

Конфиг nas`а:

 

aaa new-model
aaa session-mib disconnect

aaa group server radius BG-RADIUS
server-private 192.168.2.66 auth-port 1812 acct-port 1813 key 7 1307105F1B1C14252E
attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
deadtime 1

aaa authentication login default local
aaa authentication ppp default group BG-RADIUS
aaa authorization exec default local 
aaa authorization network default group BG-RADIUS 
aaa accounting update periodic 1
aaa accounting network default start-stop group BG-RADIUS

bba-group pppoe global
virtual-template 1
sessions max limit 600
ac name cn-msk59ra
sessions per-mac limit 1
sessions per-vlan limit 250
sessions per-mac throttle 1 30 30
sessions auto cleanup

interface Virtual-Template1
mtu 1492 
ip unnumbered GigabitEthernet0/0
ip route-cache flow
autodetect encapsulation ppp
ppp max-bad-auth 3
ppp authentication chap callin
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600

radius-server attribute 8 include-in-access-req
radius-server attribute 31 mac format unformatted
radius-server retransmit 5
radius-server timeout 10
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication

 

bda

bda

Posted
  • Author
Posted
Точно именно с NAS уходят две попытки авторизации? Покажите show version и debug radius на этапе авторизации

Абсолютно точно:

 

Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(18), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Fri 30-Nov-07 16:35 by prod_rel_team

ROM: System Bootstrap, Version 12.4(1r) [hqluong 1r], RELEASE SOFTWARE (fc1)
ROM: Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.4(3c), RELEASE SOFTWARE (fc1)

 

 

010054: Aug 21 09:09:28.378: RADIUS/ENCODE(0000C3C5):Orig. component type = PPoE
010055: Aug 21 09:09:28.378: RADIUS: Format E value 0xC3E7 for character U with bitmask 0xFFFFFFFF
010056: Aug 21 09:09:28.382: RADIUS: Format E port 0xC3E7 with bit 32 processed
010057: Aug 21 09:09:28.382: RADIUS(0000C3C5): Config NAS IP: 0.0.0.0
010058: Aug 21 09:09:28.382: RADIUS/ENCODE(0000C3C5): acct_session_id: 50151
010059: Aug 21 09:09:28.382: RADIUS(0000C3C5): sending
010060: Aug 21 09:09:28.382: RADIUS/ENCODE: Best Local IP-Address 192.168.2.59 for Radius-Server 192.168.2.66
010061: Aug 21 09:09:28.382: RADIUS(0000C3C5): Send Access-Request to 192.168.2.66:1812 id 1645/135, len 80
010062: Aug 21 09:09:28.382: RADIUS:  authenticator 54 21 35 7C 5D B7 D8 8C - ED 9F 00 2E 47 DE D9 1B
010063: Aug 21 09:09:28.382: RADIUS:  User-Name           [1]   7   "pppoe"
010064: Aug 21 09:09:28.382: RADIUS:  User-Password       [2]   18  *
010065: Aug 21 09:09:28.382: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
010066: Aug 21 09:09:28.382: RADIUS:  NAS-Port            [5]   6   50151                     
010067: Aug 21 09:09:28.382: RADIUS:  NAS-Port-Id         [87]  11  "0/0/1/198"
010068: Aug 21 09:09:28.382: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
010069: Aug 21 09:09:28.382: RADIUS:  NAS-IP-Address      [4]   6   192.168.2.59              
010070: Aug 21 09:09:28.390: RADIUS: Received from id 1645/135 192.168.2.66:1812, Access-Reject, len 24
010071: Aug 21 09:09:28.390: RADIUS:  authenticator 68 1A 08 2A 34 FA CD 74 - BA 36 0F 01 40 D2 2D 48
010072: Aug 21 09:09:28.390: RADIUS:  Reply-Message       [18]  4   
010073: Aug 21 09:09:28.390: RADIUS:   31 34                                            [14]
010074: Aug 21 09:09:28.390: RADIUS(0000C3C5): Received from id 1645/135
010075: Aug 21 09:09:28.390: RADIUS/DECODE: Reply-Message fragments, 2, total 2 bytes
010076: Aug 21 09:09:28.390: RADIUS/ENCODE(0000C3C5):Orig. component type = PPoE
010077: Aug 21 09:09:28.394: RADIUS: Format E value 0xC3E7 for character U with bitmask 0xFFFFFFFF
010078: Aug 21 09:09:28.394: RADIUS: Format E port 0xC3E7 with bit 32 processed
010079: Aug 21 09:09:28.394: RADIUS(0000C3C5): Config NAS IP: 0.0.0.0
010080: Aug 21 09:09:28.394: RADIUS/ENCODE: No idb found! Framed IP Addr might not be included
010081: Aug 21 09:09:28.394: RADIUS/ENCODE(0000C3C5): acct_session_id: 50151
010082: Aug 21 09:09:28.394: RADIUS(0000C3C5): sending
010083: Aug 21 09:09:28.394: RADIUS/ENCODE: Best Local IP-Address 192.168.2.59 for Radius-Server 192.168.2.66
010084: Aug 21 09:09:28.394: RADIUS(0000C3C5): Send Access-Request to 192.168.2.66:1812 id 1645/136, len 137
010085: Aug 21 09:09:28.394: RADIUS:  authenticator DE 1F 1F B0 3C 46 C4 7B - 6C CA 8D 3B EC D6 15 A6
010086: Aug 21 09:09:28.394: RADIUS:  Vendor, Cisco       [26]  41  
010087: Aug 21 09:09:28.394: RADIUS:   Cisco AVpair       [1]   35  "client-mac-address=001a.6b36.50cd"
010088: Aug 21 09:09:28.394: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
010089: Aug 21 09:09:28.394: RADIUS:  User-Name           [1]   16  "s.govnov@pppoe"
010090: Aug 21 09:09:28.394: RADIUS:  CHAP-Password       [3]   19  *
010091: Aug 21 09:09:28.394: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
010092: Aug 21 09:09:28.394: RADIUS:  NAS-Port            [5]   6   50151                     
010093: Aug 21 09:09:28.394: RADIUS:  NAS-Port-Id         [87]  11  "0/0/1/198"
010094: Aug 21 09:09:28.394: RADIUS:  Service-Type        [6]   6   Framed                    [2]
010095: Aug 21 09:09:28.394: RADIUS:  NAS-IP-Address      [4]   6   192.168.2.59              
010096: Aug 21 09:09:28.434: RADIUS: Received from id 1645/136 192.168.2.66:1812, Access-Accept, len 58
010097: Aug 21 09:09:28.434: RADIUS:  authenticator 89 9E FF 9E F0 26 23 10 - 80 FC 56 A5 57 29 E9 2A
010098: Aug 21 09:09:28.434: RADIUS:  Acct-Interim-Interva[85]  6   60                        
010099: Aug 21 09:09:28.434: RADIUS:  Service-Type        [6]   6   Framed                    [2]
010100: Aug 21 09:09:28.434: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
010101: Aug 21 09:09:28.434: RADIUS:  Framed-IP-Address   [8]   6   XXX.XXX.224.94            
010102: Aug 21 09:09:28.434: RADIUS:  Unsupported         [88]  14  
010103: Aug 21 09:09:28.434: RADIUS:   70 70 70 6F 65 5F 70 6F 6F 6C 5F 31              [pppoe_pool_1]
010104: Aug 21 09:09:28.434: RADIUS(0000C3C5): Received from id 1645/136
010105: Aug 21 09:09:28.434: RADIUS:  Unsupported         [88]  14  
010106: Aug 21 09:09:28.434: RADIUS:   70 70 70 6F 65 5F 70 6F 6F 6C 5F 31              [pppoe_pool_1]
010107: Aug 21 09:09:28.438: %LINK-3-UPDOWN: Interface Virtual-Access17, changed state to up
010108: Aug 21 09:09:28.438: RADIUS/ENCODE(0000C3C5):Orig. component type = PPoE
010109: Aug 21 09:09:28.438: RADIUS: Format E value 0xC3E7 for character U with bitmask 0xFFFFFFFF
010110: Aug 21 09:09:28.438: RADIUS: Format E port 0xC3E7 with bit 32 processed
010111: Aug 21 09:09:28.438: RADIUS(0000C3C5): Config NAS IP: 0.0.0.0
010112: Aug 21 09:09:28.438: RADIUS(0000C3C5): sending
010113: Aug 21 09:09:28.438: RADIUS/ENCODE: Best Local IP-Address 192.168.2.59 for Radius-Server 192.168.2.66
010114: Aug 21 09:09:28.438: RADIUS(0000C3C5): Send Accounting-Request to 192.168.2.66:1813 id 1646/130, len 178
010115: Aug 21 09:09:28.438: RADIUS:  authenticator 78 43 5F 8D A0 8A E9 EF - D5 17 AD 0A 87 8B 46 3F
010116: Aug 21 09:09:28.438: RADIUS:  Acct-Session-Id     [44]  10  "0000C3E7"
010117: Aug 21 09:09:28.438: RADIUS:  Vendor, Cisco       [26]  41  
010118: Aug 21 09:09:28.438: RADIUS:   Cisco AVpair       [1]   35  "client-mac-address=001a.6b36.50cd"
010119: Aug 21 09:09:28.438: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
010120: Aug 21 09:09:28.438: RADIUS:  User-Name           [1]   16  "s.govnov@pppoe"
010121: Aug 21 09:09:28.438: RADIUS:  Vendor, Cisco       [26]  32  
010122: Aug 21 09:09:28.438: RADIUS:   Cisco AVpair       [1]   26  "connect-progress=Call Up"
010123: Aug 21 09:09:28.442: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
010124: Aug 21 09:09:28.442: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
010125: Aug 21 09:09:28.442: RADIUS:  NAS-Port-Type       [61]  6   Ethernet                  [15]
010126: Aug 21 09:09:28.442: RADIUS:  NAS-Port            [5]   6   50151                     
010127: Aug 21 09:09:28.442: RADIUS:  NAS-Port-Id         [87]  11  "0/0/1/198"
010128: Aug 21 09:09:28.442: RADIUS:  Service-Type        [6]   6   Framed                    [2]
010129: Aug 21 09:09:28.442: RADIUS:  NAS-IP-Address      [4]   6   192.168.2.59              
010130: Aug 21 09:09:28.442: RADIUS:  Acct-Delay-Time     [41]  6   0                         
010131: Aug 21 09:09:28.446: RADIUS: Received from id 1646/130 192.168.2.66:1813, Accounting-response, len 20
010132: Aug 21 09:09:28.446: RADIUS:  authenticator 5E B7 4F CB B9 E3 2B 53 - 0D 65 E1 48 10 EF 0F 8B

Cr_net

Cr_net

Posted
Posted
Коллеги, помогите разобраться.

Есть cisco nas. На нем поднят pppoe. Пользователи коннектятся с учетными данными вида: username@pppoe. При этом на надиус уходит две попытки логина! Первая попытка видна на радиусе как от пользователя pppoe, а вторая - нормальная, от пользователя username@pppoe. Куда копать? В чем дело?

Конфиг nas`а:

vpdn enable

vpdn authen-before-forward

vpdn search-order domain

 

 

bda

bda

Posted
  • Author
Posted (edited)
Коллеги, помогите разобраться.

Есть cisco nas. На нем поднят pppoe. Пользователи коннектятся с учетными данными вида: username@pppoe. При этом на надиус уходит две попытки логина! Первая попытка видна на радиусе как от пользователя pppoe, а вторая - нормальная, от пользователя username@pppoe. Куда копать? В чем дело?

Конфиг nas`а:

vpdn enable

vpdn authen-before-forward

vpdn search-order domain

Спасибо большое! Совсем затупил: забыл про vpdn authen-before-forward!

Edited by bda

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.