7201 + VPN(PPTP)

[ya4ya]

Имеется 7201-NPE-G2 на ней крутятся ISG Option82 + ISG PPPoE... все работет просто замечательно.

Встала необходимость терменировать на данную железку ещё и VPN PPTP.

Поднимаю.

 

aaa group server radius radius-def
server x.62 auth-port 1645 acct-port 1646

vpdn enable
!
vpdn-group test
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

 

interface Virtual-Template1 
description PPPoE/VPN Template
ip unnumbered Loopback1
no ip redirects
no ip proxy-arp
no peer default ip address
ppp disconnect-cause keepalive lost-carrier
ppp authentication chap pppoe
ppp authorization pppoe
ppp accounting pppoe
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp pap refuse
ppp ipcp dns xxxxxxx
ppp ipcp address required
ppp ipcp address unique
ppp link reorders
ppp timeout authentication 20
!

 

radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req 
radius-server attribute 32 include-in-accounting-req 
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server attribute 31 send nas-port-detail mac-only
radius-server host xxxxxxxxxxxx
radius-server retransmit 5
radius-server key 7 140317181857787A
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication

 

7200 Software (C7200P-ADVIPSERVICESK9_LI-M), Version 12.2(33)SRD3

 

В итоге на радиусе вижу:

Wed Feb 10 03:39:53 2010
        Packet-Type = Access-Request
        Framed-Protocol = PPP
        User-Name = "test"
        CHAP-Password = xxxxxx
        Service-Type = Framed-User
        NAS-IP-Address = xxxxxxxxx
        Acct-Session-Id = xxxxxxx
        NAS-Identifier = xxxxxxxx
        Event-Timestamp = "Feb 10 2010 03:39:53 MSK"
        CHAP-Challenge = xxxxxx

И тут мне не понятно... а где собственно NAS-Port, NAS-Port-Id... да и хотябы NAS-Port-Type. Встрял.

Пробую в dynamips'е, правда на 7200-npe400 поднять конфиг 1:1... Атрибу приходят. :)

IOS? Или куда ещё капнуть, не хотелось бы железку сильно насиловать, только-только с последним ИОСом все устраивать стало.

 

Да и хорошо бы ещё ip адрес источника (от куда клиент соединение устанавливает - т.е. что то типа Tunnel-Server/Client-Endpoint или в Calling-Station-ID его) получить, но это как бы уже вторая проблема.

Edited February 10, 2010 by ya4ya

[sirmax]

У меня PPTP нормально заработал с

System image file is "disk0:c7200p-adventerprisek9-mz.122-33.SRC5.bin"

при этом ISG с ним скорее всего не живет (но - не проверял)

ИМХО, из-за сырости софта одновременно - не получиться. (

Тут была моя тема про мучения с подбором ИОСов

 

[darkagent]

vpdn authen-before-forward

vpdn aaa attribute nas-ip-address vpdn-nas

vpdn aaa attribute nas-port physical-channel-id

м?

[ya4ya]

У меня PPTP нормально заработал с

 

System image file is "disk0:c7200p-adventerprisek9-mz.122-33.SRC5.bin"

 

при этом ISG с ним скорее всего не живет (но - не проверял)

ИМХО, из-за сырости софта одновременно - не получиться. (

Тут была моя тема про мучения с подбором ИОСов

Да уж... я тоже наплясался. По-моему isg там работает, но там в статистику по сервисам все ещё попадает дропаный полисингом трафик.

 

 

vpdn authen-before-forward

vpdn aaa attribute nas-ip-address vpdn-nas

vpdn aaa attribute nas-port physical-channel-id

м?

Пробовал :( Обсолютно без изменений в кол-ве и в содержательности приходимых атрибутов.

[darkagent]

значит ios..

у нас например advipservicesk9 хорошо бегал как нат, но хреново бегал как vpdn, а с ik91s с точностью до наоборот.

 

[Abram]

Почему люди покупают Cisco? Чтобы мучиться с этим всем?

[alks]

Почему люди покупают Cisco? Чтобы мучиться с этим всем?

да не говори - кошмар какой-то .. за что бабки платим!!!! .. на кол всех

 

12.2(31)SB17(16/15/14) is-mz - без проблем работает

но vpnd не тестил