leveler Опубликовано 16 января, 2009 · Жалоба Дали погонять на тестирование ERX-310. Тут есть кое-какие траблы. Не могу законнектить юзверя. Если локальный пул адресов, то работает, а если от RADIUS'а приходит, то не работает. Вроде Access-Accept от RADIUS'а приходит (там и ip-адрес, и маска), а винда пишет 736 ошибку (в винде). То есть, Джунипер получает положительный ответ но потом вдруг берёт и закрывает IPCP, LCP и шлёт PADT. Московский инженер постоянно занят, а запинать бы надо (Джунипер, а не инженера). Буду премного благодарен, если знающие стукнутся в асю (296-104-788). Заранее спасибо. При встрече с меня пиво (Новокузнецк, Новосибирск - легко. С остальными городами намного сложнее). Вот Access-Request: Radius Protocol Code: Access-Request (1) Packet identifier: 0x31 (49) Length: 204 Authenticator: 4CC35DA51F92067776C831E87ACD1C6B [The response to this request is in frame 89991] Attribute Value Pairs AVP: l=18 t=User-Password(2): Encrypted User-Password: <Пароль> AVP: l=8 t=User-Name(1): bishop User-Name: bishop AVP: l=42 t=Acct-Session-Id(44): erx GigabitEthernet 1/2.61:61:0002097222 Acct-Session-Id: erx GigabitEthernet 1/2.61:61:0002097222 AVP: l=6 t=Service-Type(6): Framed-User(2) Service-Type: Framed-User (2) AVP: l=6 t=Framed-Protocol(7): PPP(1) Framed-Protocol: PPP (1) AVP: l=31 t=Vendor-Specific(26) v=ERX(4874) VSA: l=25 t=ERX-Pppoe-Description(24): pppoe 00:80:c8:39:5c:f8 ERX-Pppoe-Description: pppoe 00:80:c8:39:5c:f8 AVP: l=18 t=Calling-Station-Id(31): #erx01-nk#E12#61 Calling-Station-Id: #erx01-nk#E12#61 AVP: l=6 t=NAS-Port-Type(61): Virtual(5) NAS-Port-Type: Virtual (5) AVP: l=6 t=NAS-Port(5): 167772221 NAS-Port: 167772221 AVP: l=27 t=NAS-Port-Id(87): GigabitEthernet 1/2.61:61 NAS-Port-Id: GigabitEthernet 1/2.61:61 AVP: l=6 t=NAS-IP-Address(4): 62.X.Y.Z NAS-IP-Address: 62.X.Y.Z (62.X.Y.Z) AVP: l=10 t=NAS-Identifier(32): erx01-nk NAS-Identifier: erx01-nk Вот Access-Accept: Radius Protocol Code: Access-Accept (2) Packet identifier: 0x32 (50) Length: 38 Authenticator: F18A7072F137E3E58DFE7A3E325F786C [This is a response to a request in frame 93924] [Time from request: 0.730769000 seconds] Attribute Value Pairs AVP: l=6 t=Service-Type(6): Framed-User(2) Service-Type: Framed-User (2) AVP: l=6 t=Framed-IP-Address(8): 172.16.3.33 Framed-IP-Address: 172.16.3.33 (172.16.3.33) AVP: l=6 t=Framed-IP-Netmask(9): 255.255.255.255 Framed-IP-Netmask: 255.255.255.255 (255.255.255.255) Конфиг: erx01-nk#sh run ! Configuration script being generated on FRI JAN 16 2009 08:36:02 UTC ! Juniper Edge Routing Switch ERX-310 ! Version: 9.2.0 patch-1.0 [BuildId 9793] (July 22, 2008 14:13) ! Copyright (c) 1999-2008 Juniper Networks, Inc. All rights reserved. ! ! Commands displayed are limited to those available at privilege level 10 ! boot config startup-configuration boot system erx310_9-2-0p1-0.rel no boot backup no boot subsystem no boot backup subsystem no boot force-backup ! license b-ras <лицензия> license service-management <лицензия> ! pppoe-service-name-table BishopTable service BishopTest ! hostname "erx01-nk" aaa new-model aaa authentication login "LOCAL-AUTH" enable aaa local database default aaa local username bishop database default secret 5 <пароль> ! ! service password-encryption control-plane ! dos-protection-group default line console 0 line vty 0 29 login authentication "LOCAL-AUTH" ! ip rate-limit-profile "RLP-police256k-onerate" one-rate committed-rate 260000 committed-burst 128000 ! traffic-class best-effort ! drop-profile default ! queue-profile default ! scheduler-profile default ! qos-shared-shaper-control ! statistics-profile default ! qos-profile atm-default ! qos-profile serial-default ! qos-profile ethernet-default ! qos-profile server-default ! qos-profile lag-default ! ! qos-port-type-profile ethernet qos-profile ethernet-default ! qos-port-type-profile atm qos-profile atm-default ! qos-port-type-profile serial qos-profile serial-default ! qos-port-type-profile server-port qos-profile server-default ! qos-port-type-profile lag qos-profile lag-default ! ip classifier-list "CL-match-all" ip any any enable secret level 5 5 <пароль> profile BishopProfile ip unnumbered loopback 0 ip sa-validate ip block-multicast-sources ip policy input "PL-256k-in" statistics enabled merge ip policy output "PL-256k-out" statistics enabled merge ppp authentication pap pppoe acName BishopTest pppoe service-name-table BishopTable ! virtual-router default aaa authentication atm1483 default radius aaa accounting atm1483 default radius aaa authentication ip default radius aaa accounting ip default radius aaa authentication ipsec default radius aaa accounting ipsec default radius aaa accounting immediate-update enable aaa authentication ppp default radius aaa accounting ppp default radius ! ip address-pool local aaa authentication radius-relay default radius aaa accounting radius-relay default radius aaa authentication tunnel default radius aaa accounting tunnel default radius ! mpls interface null 0 interface loopback 0 ip address A.B.C.D 255.255.255.255 ! interface fastEthernet 0/0 ip address 62.X.Y.Z 255.255.255.240 ! interface gigabitEthernet 1/0 ip address 10.19.81.2 255.255.255.0 ! interface gigabitEthernet 1/1 shutdown pppoe ! pppoe subinterface gigabitEthernet 1/1.61 shutdown ! pppoe subinterface gigabitEthernet 1/1.150 shutdown ! ! interface gigabitEthernet 1/2 mtu 1522 encapsulation vlan ! interface gigabitEthernet 1/2.61 vlan id 61 pppoe pppoe acName BishopTest pppoe duplicate-protection pppoe auto-configure pppoe profile any BishopProfile ! interface gigabitEthernet 1/3 ! interface gigabitEthernet 1/4 ! interface gigabitEthernet 1/5 ! interface gigabitEthernet 1/6 ! interface gigabitEthernet 1/7 ! interface gigabitEthernet 1/8 ! no ip source-route ! ip policy-list "PL-256k-in" classifier-group "CL-match-all" precedence 50000 rate-limit-profile "RLP-police256k-onerate" ! ip policy-list "PL-256k-out" classifier-group "CL-match-all" precedence 50000 rate-limit-profile "RLP-police256k-onerate" ! radius authentication server 62.L.M.N key "<пароль>" ! radius update-source-addr 62.A.B.C radius ethernet-port-type virtual radius nas-port-format extended ethernet field-widths slot 5 adapter 0 port 3 svlan 12 vlan 12 ! router ospf 1 router-id 1.0.0.0 network 10.19.81.0 0.0.0.255 area 1.0.0.0 network 172.16.0.0 0.15.255.255 area 1.0.0.0 ! area 1.0.0.0 nssa ! redistribute connected redistribute access-internal ! license ipsec-tunnels <лицензия> ! log engineering log verbosity low no log severity * log severity debug radiusAttributes log severity debug radiusClient log severity debug radiusSendAttributes log destination console severity debug no log engineering log fields timestamp instance no-calling-task ! service manual-commit ! End of generated configuration script. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mancubus Опубликовано 16 января, 2009 · Жалоба А настройки радиус какие? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 17 января, 2009 · Жалоба На радиусе? Нормальные настройки. Access-Accept же возвращается. ) AV-пары показаны выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
triam Опубликовано 17 января, 2009 · Жалоба На радиусе? Нормальные настройки. Access-Accept же возвращается. )AV-пары показаны выше. Нужно через атрибуты RADIUSa выдать 1) ИП или pool откуда брать ип. 2) Интерфейс 3) и название виртуального роутера =) user1 Cleartext-Password := "user1" CHAP-Password = "user1", Service-Type = Framed-User, Framed-Protocol = PPP, ERX-Virtual-Router-Name = default, ERX-Address-Pool-Name = pppoe_pool, ERX-Local-Loopback-Interface = "Loopback 1", Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 18 января, 2009 · Жалоба Спасибо. Попробую. Только я никак тогда не пойму, в какой-то период времени у меня нормально всё цеплялось, и ip-адрес отдавался. RADIUS-сервер был вообще тогда детский - WinRADIUS. Не думаю, что он что-то про Juniper знает. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 18 января, 2009 · Жалоба Попробовал - всё работает. Очень удивило то, что FreeRADIUS знает AV-пары Джунипера. ) Кстати, добавил команду ppp authentication virtual-router default pap и убрал проприетарные Джуниперские (поставил те, которые указаны в первом посте) - тоже работает. ) Видимо, эту команду я и удалил случаем - тогда и перестало работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...