[leveler]

Дали погонять на тестирование ERX-310. Тут есть кое-какие траблы. Не могу законнектить юзверя. Если локальный пул адресов, то работает, а если от RADIUS'а приходит, то не работает. Вроде Access-Accept от RADIUS'а приходит (там и ip-адрес, и маска), а винда пишет 736 ошибку (в винде). То есть, Джунипер получает положительный ответ но потом вдруг берёт и закрывает IPCP, LCP и шлёт PADT.

 

Московский инженер постоянно занят, а запинать бы надо (Джунипер, а не инженера).

 

Буду премного благодарен, если знающие стукнутся в асю (296-104-788). Заранее спасибо. При встрече с меня пиво (Новокузнецк, Новосибирск - легко. С остальными городами намного сложнее).

 

Вот Access-Request:

Radius Protocol
    Code: Access-Request (1)
    Packet identifier: 0x31 (49)
    Length: 204
    Authenticator: 4CC35DA51F92067776C831E87ACD1C6B
    [The response to this request is in frame 89991]
    Attribute Value Pairs
        AVP: l=18  t=User-Password(2): Encrypted
            User-Password: <Пароль>
        AVP: l=8  t=User-Name(1): bishop
            User-Name: bishop
        AVP: l=42  t=Acct-Session-Id(44): erx GigabitEthernet 1/2.61:61:0002097222
            Acct-Session-Id: erx GigabitEthernet 1/2.61:61:0002097222
        AVP: l=6  t=Service-Type(6): Framed-User(2)
            Service-Type: Framed-User (2)
        AVP: l=6  t=Framed-Protocol(7): PPP(1)
            Framed-Protocol: PPP (1)
        AVP: l=31  t=Vendor-Specific(26) v=ERX(4874)
            VSA: l=25 t=ERX-Pppoe-Description(24): pppoe 00:80:c8:39:5c:f8
                ERX-Pppoe-Description: pppoe 00:80:c8:39:5c:f8
        AVP: l=18  t=Calling-Station-Id(31): #erx01-nk#E12#61
            Calling-Station-Id: #erx01-nk#E12#61
        AVP: l=6  t=NAS-Port-Type(61): Virtual(5)
            NAS-Port-Type: Virtual (5)
        AVP: l=6  t=NAS-Port(5): 167772221
            NAS-Port: 167772221
        AVP: l=27  t=NAS-Port-Id(87): GigabitEthernet 1/2.61:61
            NAS-Port-Id: GigabitEthernet 1/2.61:61
        AVP: l=6  t=NAS-IP-Address(4): 62.X.Y.Z
            NAS-IP-Address: 62.X.Y.Z (62.X.Y.Z)
        AVP: l=10  t=NAS-Identifier(32): erx01-nk
            NAS-Identifier: erx01-nk

 

Вот Access-Accept:

Radius Protocol
    Code: Access-Accept (2)
    Packet identifier: 0x32 (50)
    Length: 38
    Authenticator: F18A7072F137E3E58DFE7A3E325F786C
    [This is a response to a request in frame 93924]
    [Time from request: 0.730769000 seconds]
    Attribute Value Pairs
        AVP: l=6  t=Service-Type(6): Framed-User(2)
            Service-Type: Framed-User (2)
        AVP: l=6  t=Framed-IP-Address(8): 172.16.3.33
            Framed-IP-Address: 172.16.3.33 (172.16.3.33)
        AVP: l=6  t=Framed-IP-Netmask(9): 255.255.255.255
            Framed-IP-Netmask: 255.255.255.255 (255.255.255.255)

 

Конфиг:

erx01-nk#sh run
! Configuration script being generated on FRI JAN 16 2009 08:36:02 UTC
! Juniper Edge Routing Switch ERX-310
! Version: 9.2.0 patch-1.0 [BuildId 9793] (July 22, 2008  14:13)
! Copyright (c) 1999-2008 Juniper Networks, Inc.  All rights reserved.
!
! Commands displayed are limited to those available at privilege level 10
!
boot config startup-configuration
boot system erx310_9-2-0p1-0.rel
no boot backup
no boot subsystem
no boot backup subsystem
no boot force-backup
!
license b-ras <лицензия>
license service-management <лицензия>
!
pppoe-service-name-table BishopTable
service BishopTest
!
hostname "erx01-nk"
aaa new-model
aaa authentication login "LOCAL-AUTH" enable
aaa local database default
aaa local username bishop database default
secret 5 <пароль>
!
!
service password-encryption
control-plane
!
dos-protection-group default
line console 0
line vty 0 29
login authentication "LOCAL-AUTH"
!
ip rate-limit-profile "RLP-police256k-onerate" one-rate
committed-rate 260000
committed-burst 128000
!
traffic-class best-effort
!
drop-profile default
!
queue-profile default
!
scheduler-profile default
!
qos-shared-shaper-control
!
statistics-profile default
!
qos-profile atm-default
!
qos-profile serial-default
!
qos-profile ethernet-default
!
qos-profile server-default
!
qos-profile lag-default
!
!
qos-port-type-profile ethernet qos-profile ethernet-default
!
qos-port-type-profile atm qos-profile atm-default
!
qos-port-type-profile serial qos-profile serial-default
!
qos-port-type-profile server-port qos-profile server-default
!
qos-port-type-profile lag qos-profile lag-default
!
ip classifier-list "CL-match-all" ip any any
enable secret level 5 5 <пароль>
profile BishopProfile
ip unnumbered loopback 0
ip sa-validate
ip block-multicast-sources
ip policy input "PL-256k-in" statistics enabled merge
ip policy output "PL-256k-out" statistics enabled merge
ppp authentication pap
pppoe acName BishopTest
pppoe service-name-table BishopTable
!
virtual-router default
aaa authentication atm1483 default radius
aaa accounting atm1483 default radius
aaa authentication ip default radius
aaa accounting ip default radius
aaa authentication ipsec default radius
aaa accounting ipsec default radius
aaa accounting immediate-update enable
aaa authentication ppp default radius
aaa accounting ppp default radius
!
ip address-pool local
aaa authentication radius-relay default radius
aaa accounting radius-relay default radius
aaa authentication tunnel default radius
aaa accounting tunnel default radius
!
mpls
interface null 0
interface loopback 0
ip address A.B.C.D 255.255.255.255
!
interface fastEthernet 0/0
ip address 62.X.Y.Z 255.255.255.240
!
interface gigabitEthernet 1/0
ip address 10.19.81.2 255.255.255.0
!
interface gigabitEthernet 1/1
shutdown
pppoe
!
pppoe subinterface gigabitEthernet 1/1.61
shutdown
!
pppoe subinterface gigabitEthernet 1/1.150
shutdown
!
!
interface gigabitEthernet 1/2
mtu 1522
encapsulation vlan
!
interface gigabitEthernet 1/2.61
vlan id 61
pppoe
pppoe acName BishopTest
pppoe duplicate-protection
pppoe auto-configure
pppoe profile any BishopProfile
!
interface gigabitEthernet 1/3
!
interface gigabitEthernet 1/4
!
interface gigabitEthernet 1/5
!
interface gigabitEthernet 1/6
!
interface gigabitEthernet 1/7
!
interface gigabitEthernet 1/8
!
no ip source-route
!
ip policy-list "PL-256k-in"
classifier-group "CL-match-all" precedence 50000
  rate-limit-profile "RLP-police256k-onerate"
!
ip policy-list "PL-256k-out"
classifier-group "CL-match-all" precedence 50000
  rate-limit-profile "RLP-police256k-onerate"
!
radius authentication server 62.L.M.N
key "<пароль>"
!
radius update-source-addr 62.A.B.C
radius ethernet-port-type virtual
radius nas-port-format extended ethernet field-widths slot 5 adapter 0 port 3 svlan 12 vlan 12
!
router ospf 1
router-id 1.0.0.0

network 10.19.81.0 0.0.0.255 area 1.0.0.0
network 172.16.0.0 0.15.255.255 area 1.0.0.0
!
area 1.0.0.0 nssa
!
redistribute connected
redistribute access-internal
!
license ipsec-tunnels <лицензия>
!
log engineering
log verbosity low
no log severity *
log severity debug radiusAttributes
log severity debug radiusClient
log severity debug radiusSendAttributes
log destination console severity debug
no log engineering
log fields timestamp instance no-calling-task
!
service manual-commit
! End of generated configuration script.

[Mancubus]

А настройки радиус какие?

[leveler]

На радиусе? Нормальные настройки. Access-Accept же возвращается. )

AV-пары показаны выше.

[triam]

На радиусе? Нормальные настройки. Access-Accept же возвращается. )

AV-пары показаны выше.

Нужно через атрибуты RADIUSa выдать

1) ИП или pool откуда брать ип.

2) Интерфейс

3) и название виртуального роутера =)

 

user1 Cleartext-Password := "user1"
        CHAP-Password = "user1",
        Service-Type = Framed-User,
        Framed-Protocol = PPP,
        ERX-Virtual-Router-Name = default,
        ERX-Address-Pool-Name = pppoe_pool,
        ERX-Local-Loopback-Interface = "Loopback 1",

 

[leveler]

Спасибо. Попробую. Только я никак тогда не пойму, в какой-то период времени у меня нормально всё цеплялось, и ip-адрес отдавался. RADIUS-сервер был вообще тогда детский - WinRADIUS. Не думаю, что он что-то про Juniper знает. )

[leveler]

Попробовал - всё работает. Очень удивило то, что FreeRADIUS знает AV-пары Джунипера. )

 

Кстати, добавил команду ppp authentication virtual-router default pap и убрал проприетарные Джуниперские (поставил те, которые указаны в первом посте) - тоже работает. ) Видимо, эту команду я и удалил случаем - тогда и перестало работать.