zstas Опубликовано 1 апреля, 2016 · Жалоба http://data.nag.ru/Ericsson%20SmartEdge%20%28Redback%29/Configurations/non-dhcp-clips.pdf т.е. запускаете non-dhcp clips l3 без авторизации (чтобы тупо всех пускал). на сабскрайбера вешаете nat policy с paired mode. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 1 апреля, 2016 (изменено) · Жалоба http://data.nag.ru/Ericsson%20SmartEdge%20%28Redback%29/Configurations/non-dhcp-clips.pdf т.е. запускаете non-dhcp clips l3 без авторизации (чтобы тупо всех пускал). на сабскрайбера вешаете nat policy с paired mode. Принялся делать, БРАС авторизует абонентов и выдает 10.5.0.0/16 Далее PBR на НАТ и с него уже в интернет. service-policy name CLIPS-1 allow clips ip range 10.5.0.0 10.5.255.255 nat logging-profile NAT-LOG-PROFILE1 transport-protocol udp export-version v9 dscp ef source 10.4.1.3 port 4242 destination 10.4.1.1 context local port 9996 ip nat pool NAT-0 napt multibind logging logging-profile NAT-LOG-PROFILE1 address 88.88.88.88/24 exclude well-known nat policy NAT enhanced connections tcp maximum 2000 connections udp maximum 1000 connections icmp maximum 50 ! Default class ignore inbound-refresh udp icmp-notification ! Named classes access-group NAT-ACL class NAT pool NAT-0 local timeout tcp 1800 timeout udp 60 timeout fin-reset 60 timeout icmp 30 timeout syn 60 timeout abandoned 3600 inbound-refresh udp icmp-notification policy access-list NAT-ACL seq 10 permit ip 10.5.0.0 0.0.0.255 class NAT interface vlan3026 ip address 10.4.3.1/24 aaa authentication subscriber none subscriber default ip source-validation nat policy-name NAT port ethernet 2/1 no shutdown encapsulation dot1q dot1q pvc 3026 bind interface vlan3026 local service clips auto-detect context local service-policy CLIPS-1 Но сабскрайбер не появляется. В доке выше создавался интерфейс с сетью clips ip range, нужен ли он мне, если в качестве шлюза у абонентов выступает БРАС, а не НАТ? 12.1.1.7p3 Изменено 1 апреля, 2016 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 1 апреля, 2016 · Жалоба [local]NAT-R1(config-ctx)#aaa authentication subscriber none [local]NAT-R1(config-ctx)#exit [local]NAT-R1(config)#exit Субскрабера нет. Вернул как было aaa authentication subscriber local radius, и стало вот так: [local]NAT-R1#show subscribers TYPE CIRCUIT SUBSCRIBER CONTEXT START TIME -------------------------------------------------------------------------------- clips 2/1 vlan-id 3026 clips 265 10.5.0.5 local (AUTHENTICATING -------------------------------------------------------------------------------- Total=1 Type Authenticating Active Disconnecting PPP 0 0 0 PPPoE 0 0 0 DOT1Q 0 0 0 CLIPs 1 0 0 ATM-B1483 0 0 0 ATM-R1483 0 0 0 Mobile-IP 0 0 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 1 апреля, 2016 · Жалоба У меня с none так ни разу и не заработало. Хотя в мане и в описании команды пишут "all accepted", но по show sub log username user@name показывает, что db_response = 2 и на этом всё. При обычноый local или radius - db_response = 1, после следуют бинды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 3 апреля, 2016 · Жалоба При обычноый local или radius - db_response = 1, после следуют бинды. Тоесть сабскрайберы авторизуются и все работает?У кого-то при aaa authentication subscriber none работает вообще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 4 апреля, 2016 · Жалоба хм, с none не пробовал. попробуйте с local и пропишите руками сабов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 4 апреля, 2016 · Жалоба хм, с none не пробовал. попробуйте с local и пропишите руками сабов. Ставлю aaa authentication subscriber local - строчка в конфиге не появляется даже, ставлю radius, строка есть, и висит: TYPE CIRCUIT SUBSCRIBER CONTEXT START TIME -------------------------------------------------------------------------------- clips 2/1 vlan-id 3026 clips 266 10.5.0.5 local (AUTHENTICATING -------------------------------------------------------------------------------- Total=1 Type Authenticating Active Disconnecting PPP 0 0 0 PPPoE 0 0 0 DOT1Q 0 0 0 CLIPs 1 0 0 ATM-B1483 0 0 0 ATM-R1483 0 0 0 Mobile-IP 0 0 0 Саба прописываю вот так: subscriber name 10.5.0.5 ip address 10.5.0.5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 4 апреля, 2016 · Жалоба а debug aaa all что говорит когда аутентификация локальная? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 4 апреля, 2016 · Жалоба а debug aaa all что говорит когда аутентификация локальная? При local Apr 4 09:31:21: %CLIPS-7-ISM: ICR Lib processing ISM CCT DEL: 2/1:511:63:31/13/2/4306 Apr 4 09:31:22: %CLIPS-7-AUTO_DETECT: Process CREATE from PPA cct: 2/1:511:63:31/1/2/7 ip: 10.5.0.5 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-CCT: Assigned session-id 266451 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Sending circuit create to ISM Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Sending circuit flags IP to ISM Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Sending circuit config to ISM session id 266451 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Sending circuit state UP to ISM Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-FSM: State now: Await-cct-up, was: Initial Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Processing ISM event: CCT state; CCT create Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: sub_event 3 state: Await-cct-up Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Processing ISM event: CCT cfg; CCT 1qcfg Apr 4 09:31:22: %CLIPS-7-ISM: clips_ism_recv_cct_cfg, iphost_count:0 ipv6host msg Apr 4 09:31:22: %CLIPS-7-ISM: ICR Lib processing ISM CCT CFG : 2/1:511:63:31/13/2/4307 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Processing ISM event: CCT state; CCT up Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: sub_event 2 state: Await-cct-up Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-FSM: State now: Sent-auth-req, was: Await-cct-up Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-AUTH: Sending authentication request to AAAd Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: Received AUTHEN_REQUEST msg from CLIPSd for username 10.5.0.5 with external handle = 266451 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-GEN: aaa_sess_wrap_lookup_with_ccthandle: AAA cct node lookup fail: cct 2/1:511:63:31/13/2/4307 (0x100ffffd80010d3) Apr 4 09:31:22: %AAA-7-GEN: aaa_idx 500010d4: aaa_sess_wrap_lookup_with_index: AAA idx node lookup fail: idx 0x500010d4 Apr 4 09:31:22: [0000]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_create_session_with_cct_handle: creating session for cct 2/1:511:63:31/13/2/4307 index 1342181588 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: Assigned aaa_idx 1342181588 to username 10.5.0.5 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: IPOE CLIPS ip address is 168099845 Apr 4 09:31:22: %AAA-7-GEN: aaa_convert_context_name_to_id: Context ID 0x40080001 Apr 4 09:31:22: %AAA-7-AUTHEN: aaa_set_context_grid Convert context name: local to context_id: 0x40080001 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Binding subscriber 10.5.0.5 to context local via bind context (aaa_idx = 1342181588). Apr 4 09:31:22: %AAA-7-ANCP: [aaa_DslAddOrFindSessionCircuit] searching in CCT tree for cct "2/1:511:63:31/1/2/7" madeNew 1 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Received session slot mask 0x0 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_process_ipc_authen_request slot_mask: 0x0 ipc_req->active_slot_msk : 0x0 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Acct-Session-Id: 0100FFFFD80010D3-57020A3A/len:25 Apr 4 09:31:22: %AAA-7-GEN: aaa_idx 500010d4: Processing AUTHEN_REQUEST msg. Apr 4 09:31:22: [0001]: %AAA-7-GEN: AAA sub name node lookup fail: cntxt 0x40080001 subscriber 10.5.0.5 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Adding aaa_idx 1342181588 to context local Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Sending Authentication request to local Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: [aaa_send_db_req]. Invalid Monitor Circuit Apr 4 09:31:22: %AAA-7-GEN: aaa_idx 500010d4: Sending DB_REQUEST to local. Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_local_authen: Subscriber 10.5.0.5 exists, idx: 8, type: 0 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-EXCEPT: aaa_idx 500010d4: [10.5.0.5] passwd check failed, no password Apr 4 09:31:22: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_process_ipc_authen_response, Received Authentication response msg for aaa_idx 1342181588. Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_process_authen_fail_cleanup: bind_ec error code 2 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_process_authen_fail_cleanup: response header status set to fail: send acct stop for err-code 24 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-ACCT: aaa_idx 500010d4: aaa_send_db_acct_request_all: Acct method 0x8 (10.5.0.5) Apr 4 09:31:22: %AAA-7-AUTHEN: Copied term ec 24 to session_down_acct Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_send_authen_reply: Sending authentication response of 2 for stack 0 for user 10.5.0.5 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Deleting session term cause 24 Apr 4 09:31:22: [0001]: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: clear_all_ipv6_prefixes: no ipv6 author attrs for subscriber 10.5.0.5 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-AUTH_E: Authentication response fail, status: Fail Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-FSM: State now: Await-down-cplt, was: Sent-auth-req Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-AUTH: Sending session down to AAAd; cause: Authentication failure (24) Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: aaa_process_ipc_session_down: Received SESSION_DOWN msg extern_handle 266451 ep=15 Apr 4 09:31:22: %AAA-7-GEN: aaa_idx 500010d4: aaa_sess_wrap_lookup_with_index: AAA idx node lookup fail: idx 0x500010d4 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Failed to look up session lookup with cct_handle to purge session Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-GEN: aaa_sess_wrap_lookup_with_ccthandle: AAA cct node lookup fail: cct 2/1:511:63:31/13/2/4307 (0x100ffffd80010d3) Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-AUTHEN: aaa_idx 500010d4: Session Down request: Unknown session Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %AAA-7-INTF: send state change of sub to ISM,new state is down-complete, cause 24 Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: Processing ISM event: CCT state; CCT del Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-ISM: sub_event 4 state: Await-down-cplt Apr 4 09:31:22: [2/1:511:63:31/13/2/4307]: %CLIPS-7-FSM: State now: Unknown, was: Await-down-cplt Apr 4 09:31:22: %CLIPS-7-ISM: ICR Lib processing ISM CCT DEL: 2/1:511:63:31/13/2/4307 Apr 4 09:31:23: %CLIPS-7-AUTO_DETECT: Process CREATE from PPA cct: 2/1:511:63:31/1/2/7 ip: 10.5.0.5 Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-CCT: Assigned session-id 266452 Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-ISM: Sending circuit create to ISM Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-ISM: Sending circuit flags IP to ISM Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-ISM: Sending circuit config to ISM session id 266452 Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-ISM: Sending circuit state UP to ISM Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-FSM: State now: Await-cct-up, was: Initial Apr 4 09:31:23: [2/1:511:63:31/13/2/4308]: %CLIPS-7-ISM: Processing ISM event: CCT cfg; CCT 1qcfg При none Apr 4 09:36:08: %CLIPS-7-ISM: ICR Lib processing ISM CCT DEL: 2/1:511:63:31/13/2/4535 Apr 4 09:36:08: %CLIPS-7-AUTO_DETECT: Process CREATE from PPA cct: 2/1:511:63:31/1/2/7 ip: 10.5.0.5 Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-CCT: Assigned session-id 266680 Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Sending circuit create to ISM Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Sending circuit flags IP to ISM Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Sending circuit config to ISM session id 266680 Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Sending circuit state UP to ISM Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-FSM: State now: Await-cct-up, was: Initial Apr 4 09:36:08: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Processing ISM event: CCT cfg; CCT 1qcfg Apr 4 09:36:08: %CLIPS-7-ISM: clips_ism_recv_cct_cfg, iphost_count:0 ipv6host msg Apr 4 09:36:08: %CLIPS-7-ISM: ICR Lib processing ISM CCT CFG : 2/1:511:63:31/13/2/4536 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Processing ISM event: CCT cfg; CCT 1qcfg Apr 4 09:36:09: %CLIPS-7-ISM: clips_ism_recv_cct_cfg, iphost_count:0 ipv6host msg Apr 4 09:36:09: %CLIPS-7-ISM: ICR Lib processing ISM CCT CFG : 2/1:511:63:31/13/2/4536 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Processing ISM event: CCT state; CCT up Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: sub_event 2 state: Await-cct-up Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-FSM: State now: Sent-auth-req, was: Await-cct-up Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-AUTH: Sending authentication request to AAAd Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: Received AUTHEN_REQUEST msg from CLIPSd for username 10.5.0.5 with external handle = 266680 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-GEN: aaa_sess_wrap_lookup_with_ccthandle: AAA cct node lookup fail: cct 2/1:511:63:31/13/2/4536 (0x100ffffd80011b8) Apr 4 09:36:09: %AAA-7-GEN: aaa_idx 500011b9: aaa_sess_wrap_lookup_with_index: AAA idx node lookup fail: idx 0x500011b9 Apr 4 09:36:09: [0000]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_create_session_with_cct_handle: creating session for cct 2/1:511:63:31/13/2/4536 index 1342181817 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: Assigned aaa_idx 1342181817 to username 10.5.0.5 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: IPOE CLIPS ip address is 168099845 Apr 4 09:36:09: %AAA-7-GEN: aaa_convert_context_name_to_id: Context ID 0x40080001 Apr 4 09:36:09: %AAA-7-AUTHEN: aaa_set_context_grid Convert context name: local to context_id: 0x40080001 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Binding subscriber 10.5.0.5 to context local via bind context (aaa_idx = 1342181817). Apr 4 09:36:09: %AAA-7-ANCP: [aaa_DslAddOrFindSessionCircuit] searching in CCT tree for cct "2/1:511:63:31/1/2/7" madeNew 1 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Received session slot mask 0x0 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_process_ipc_authen_request slot_mask: 0x0 ipc_req->active_slot_msk : 0x0 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Acct-Session-Id: 0100FFFFD80011B8-57020B59/len:25 Apr 4 09:36:09: %AAA-7-GEN: aaa_idx 500011b9: Processing AUTHEN_REQUEST msg. Apr 4 09:36:09: [0001]: %AAA-7-GEN: AAA sub name node lookup fail: cntxt 0x40080001 subscriber 10.5.0.5 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Adding aaa_idx 1342181817 to context local Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Sending Authentication request to none Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: [aaa_send_db_req]. Invalid Monitor Circuit Apr 4 09:36:09: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_process_ipc_authen_response, Received Authentication response msg for aaa_idx 1342181817. Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_process_ipc_authen_response: Length of attributes 0 Apr 4 09:36:09: %AAA-7-GEN: aaa_idx 500011b9: Processing DB_RESPONSE msg. Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHOR: aaa_idx 500011b9: aaa_is_sess_on_tm_card: slot 2 is NOT a TM card Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-GEN: aaa_idx 500011b9: aaa_process_db_response: Received successful DB response. Apr 4 09:36:09: %AAA-7-AUTHEN: aaa_is_ipv6_license_available: No IPv6 Licenses are available. Max-Count 0 Used-Count 0 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHOR: aaa_idx 500011b9: aaa_process_profile_attr: Process sub_profile: default Apr 4 09:36:09: %AAA-7-AUTHEN: aaa_is_ipv6_license_available: No IPv6 Licenses are available. Max-Count 0 Used-Count 0 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_ipv6_enforce_binding_order: The IPV6 stack is not enabled for user 10.5.0.5 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_bind_subscriber: Enforcing IPV6 binding failed error code -1 Apr 4 09:36:09: %AAA-7-AUTHEN: aaa_is_clear_sess_dup_ip: dualstack_forcedown knob not configured, session not-cleared Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-EXCEPT: aaa_idx 500011b9: aaa_process_db_response: Cannot populate dynamic attribute for subscriber 10.5.0.5. send FAIL to client Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_release_license: No license to release for user 10.5.0.5 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_process_authen_fail_cleanup: bind_ec error code -1 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_process_authen_fail_cleanup: response header status set to fail: send acct stop for err-code 24 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-ACCT: aaa_idx 500011b9: aaa_send_db_acct_request_all: Acct method 0x8 (10.5.0.5) Apr 4 09:36:09: %AAA-7-AUTHEN: Copied term ec 24 to session_down_acct Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_send_authen_reply: Sending authentication response of 2 for stack 0 for user 10.5.0.5 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Deleting session term cause 24 Apr 4 09:36:09: [0001]: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: clear_all_ipv6_prefixes: no ipv6 author attrs for subscriber 10.5.0.5 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-AUTH_E: Authentication response fail, status: Fail Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-FSM: State now: Await-down-cplt, was: Sent-auth-req Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-AUTH: Sending session down to AAAd; cause: Authentication failure (24) Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: aaa_process_ipc_session_down: Received SESSION_DOWN msg extern_handle 266680 ep=15 Apr 4 09:36:09: %AAA-7-GEN: aaa_idx 500011b9: aaa_sess_wrap_lookup_with_index: AAA idx node lookup fail: idx 0x500011b9 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Failed to look up session lookup with cct_handle to purge session Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-GEN: aaa_sess_wrap_lookup_with_ccthandle: AAA cct node lookup fail: cct 2/1:511:63:31/13/2/4536 (0x100ffffd80011b8) Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-AUTHEN: aaa_idx 500011b9: Session Down request: Unknown session Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %AAA-7-INTF: send state change of sub to ISM,new state is down-complete, cause 24 Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: Processing ISM event: CCT state; CCT del Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-ISM: sub_event 4 state: Await-down-cplt Apr 4 09:36:09: [2/1:511:63:31/13/2/4536]: %CLIPS-7-FSM: State now: Unknown, was: Await-down-cplt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 4 апреля, 2016 · Жалоба [10.5.0.5] passwd check failed, no password попробуйте прописать в сабе password Redback Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 4 апреля, 2016 (изменено) · Жалоба [10.5.0.5] passwd check failed, no password попробуйте прописать в сабе password Redback Прописал subscriber name 10.5.0.5 password Redback ip address 10.5.0.5 Спасибо помогло, только как это понять, это баг или фича? И как быть с тем, что сабов тысячи, авторизовывать без создания сабов и пароля? Изменено 4 апреля, 2016 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 4 апреля, 2016 (изменено) · Жалоба iValera, можно конеш поднять фрирадиус, который бы всем давал добро. но это как костыльный вариант. Ну посмотрим, он ругается что "Cannot populate dynamic attribute for subscriber 10.5.0.5". Ему не хватает ипа в subscriber default. Не уверен взлетит или нет, но можно так попробовать. На multibind интерфейсе пропишите: ip pool 10.5.0.0/16 name pool1 На subscriber default ip address pool name pool1 И аутентификацию none. Если не взлетит сразу дебаг приложите. Изменено 4 апреля, 2016 пользователем zstas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 4 апреля, 2016 · Жалоба iValera, можно конеш поднять фрирадиус, который бы всем давал добро. но это как костыльный вариант. Ну посмотрим, он ругается что "Cannot populate dynamic attribute for subscriber 10.5.0.5". Ему не хватает ипа в subscriber default. Не уверен взлетит или нет, но можно так попробовать. На multibind интерфейсе пропишите: ip pool 10.5.0.0/16 name pool1 На subscriber default ip address pool name pool1 И аутентификацию none. Если не взлетит сразу дебаг приложите. Взлетело, спасибо! Повесил на саба paired-mode, можно тестировать NAT) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 4 апреля, 2016 · Жалоба Покажите итоговый конфиг, для истории. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 5 апреля, 2016 · Жалоба none-dhcp-clips + nat howto Есть брас, появилсь задача натить часть пользователей. Решили использовать старое шасси под нат, завернули на него серую сеть по PBR. Вначале нат не взлетел, т.к. paired mode работает только на динамических интерфейсах, от napt конечно же отказались. Выше гуру подсказали что можно использовать none-dhcp-clips. Итого авторизация происходит по первому ip пакету, создается динамический интерфейс (clips) на который вешается полиси с nat paired mode. ! service-policy name CLIPS-1 allow clips ip range 10.5.0.3 10.5.255.255 ! context local ! ip nat pool NAT-2 napt paired-mode logging paired-mode subscriber over-subscription 64 port-limit 5000 logging-profile NAT-LOG-PROFILE1 address 88.88.88.88/28 exclude well-known ! nat policy NAT-2 enhanced connections tcp maximum 2000 connections udp maximum 1000 connections icmp maximum 10 ! Default class ignore inbound-refresh udp icmp-notification ! Named classes access-group NAT-ACL class NAT pool NAT-2 local timeout tcp 1800 timeout udp 60 timeout fin-reset 60 timeout icmp 30 timeout syn 60 timeout abandoned 3600 inbound-refresh udp icmp-notification ! interface CLIPS multibind ip address 10.5.0.2/16 ip pool 10.5.0.0/16 name pool-clips-1 ! interface vlan3026 description #svyaznost NAT-RB s BRAS-RB ip address 10.4.3.1/24 ! policy access-list NAT-ACL seq 10 permit ip 10.5.0.0 0.0.0.255 class NAT ! aaa authentication subscriber none ! subscriber default ip address pool name pool-clips-1 timeout idle 10 nat policy-name NAT-2 ! ip route 10.5.0.0/16 10.4.3.2 ! port ethernet 2/1 no shutdown encapsulation dot1q dot1q pvc 3026 bind interface vlan3026 local service clips auto-detect context local service-policy CLIPS-1 Кстати, у кого какие значения connections tcp/udp, over-subscription, port-limit? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 5 апреля, 2016 · Жалоба кстати, раз уж вы используете cgnat можно врубить в nat policy endpoint-independent filtering tcp endpoint-independent filtering udp если, конечно, оно нужно про over-subscription в закрытом разделе обсуждали, что чем меньше, тем лучше пользователи размазываются по пулу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 апреля, 2016 · Жалоба Спасибо за конфиг. OS ставьте в 1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 5 апреля, 2016 (изменено) · Жалоба кстати, раз уж вы используете cgnat можно врубить в nat policy endpoint-independent filtering tcp endpoint-independent filtering udp если, конечно, оно нужно про over-subscription в закрытом разделе обсуждали, что чем меньше, тем лучше пользователи размазываются по пулу. Если я правильно понял, то это позволяет осуществлять обратную трансляцию через тот же порт, который был открыт ранее, невзирая на возможно отличающийся ip адрес источника? Спасибо за конфиг. OS ставьте в 1. Получается 1 в 1? У нас нет столько IP адресов. Изменено 5 апреля, 2016 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 5 апреля, 2016 (изменено) · Жалоба и я правильно понял, то это позволяет осуществлять обратную трансляцию через тот же порт, который был открыт ранее, невзирая на возможно отличающийся ip адрес источника? да, в теории должен помочь со всяким peer-to-peer, когда на порт по которому обратился клиент обратно будут долбиться куча других ip-адресов. Изменено 5 апреля, 2016 пользователем zstas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 5 апреля, 2016 · Жалоба Получается 1 в 1? У нас нет столько IP адресов. после того, как роутер дойдёт до конца пула, он пойдёт по новой. у вас есть доступ в закрытый раздел по эриксонам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 апреля, 2016 · Жалоба Это не 1 в 1, это совсем наоборот, это всё что у вас есть на всё что у вас есть. Т.е. он максимально размажет абонентов по пулу. Ваше 64 наоборот будет прибивать всё на первые адреса. Это нельзя понять, просто надо сделать os=1 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iValera Опубликовано 5 апреля, 2016 (изменено) · Жалоба Про OS почитал, спасибо. Доступ в раздел получил. Переделал конфиг для nat, прошу покритиковать, задача транслировать 16 серых адресов в 1 белый. В продакшене пул будет /24 или сразу /23 context local ! nat fragments ! ip nat pool NAT-2 napt paired-mode logging paired-mode subscriber over-subscription 1 port-limit 4096 logging-profile NAT-LOG-PROFILE1 address 88.88.88.88/28 exclude well-known ! nat policy NAT-2 enhanced connections icmp maximum 10 ! Default class ignore inbound-refresh udp icmp-notification ! Named classes access-group NAT-ACL class NAT pool NAT-2 local timeout tcp 3600 timeout udp 60 timeout fin-reset 60 timeout icmp 30 timeout syn 60 timeout abandoned 3600 admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp endpoint-independent filtering tcp inbound-refresh udp icmp-notification Изменено 5 апреля, 2016 пользователем iValera Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 7 апреля, 2016 · Жалоба Все же достали ломиться на коробку: Apr 7 21:43:59: %SYSLOG-3-ERR: inetd[10740]: refused connection from 222.186.21.251 service 22 (ssh) context:0x40080001 Apr 7 21:44:01: %SYSLOG-3-ERR: inetd[10741]: refused connection from 222.186.34.206 service 22 (ssh) context:0x40080001 Apr 7 21:44:03: %SYSLOG-3-ERR: inetd[10742]: refused connection from 222.186.21.251 service 22 (ssh) context:0x40080001 Apr 7 21:44:05: %SYSLOG-3-ERR: inetd[10743]: refused connection from 222.186.34.206 service 22 (ssh) context:0x40080001 Apr 7 21:44:07: %SYSLOG-3-ERR: inetd[10744]: refused connection from 222.186.21.251 service 22 (ssh) context:0x40080001 Apr 7 21:44:11: %SYSLOG-3-ERR: inetd[10745]: refused connection from 222.186.21.251 service 22 (ssh) context:0x40080001 Apr 7 21:44:11: %SYSLOG-3-ERR: inetd[253]: ssh/tcp server failing (looping), service terminated после такого сам попасть на нее не могу. Из того что настроил: ! ip access-list trusted.hosts ssh-and-telnet-acl seq 10 permit ip host 192.168.1.65 seq 20 permit ip host 192.168.1.241 seq 30 permit ip host 192.168.1.100 seq 90 deny tcp any any seq 100 permit ip any any ! service ssh server access-group trusted.hosts admin-access-group ssh-and-telnet-acl in ! ssh server rate-drop 50 ssh server start-drop 5 ! Что еще можно сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 7 апреля, 2016 · Жалоба Вам поможет - admin-access-group admin-access in count Есть доступ в закрытый раздел? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loschikatilos Опубликовано 7 апреля, 2016 · Жалоба Вам поможет - admin-access-group admin-access in count Есть доступ в закрытый раздел? ЧТо за раздел? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
