SmalleR Опубликовано 26 февраля, 2013 · Жалоба А как проверяете видимость "мира" со стороны клиента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба SmalleR Проверяю через пинг от клиента на интерфейс внешнего роутера(192.168.0.1) и на внешнии ресурсы тип 8.8.8.8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmalleR Опубликовано 26 февраля, 2013 · Жалоба Type------Network--------------Next Hop--------Dist-----Metric----UpTime---Interface > S------0.0.0.0/0-----------192.168.0.1---------1---------0-------03:23:27--internet > C------10.99.0.0/24-------------0---------------0------------------03:23:27---mgt > S------10.100.0.0/24-------192.168.0.1-------1---------0-------03:23:27--internet А это зачем "руками" сделано, да еще и на внешний интерфейс? > SUB A-10.100.0.104/32------------------------15--------0-------01:07:18--users Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба SmalleR Во всех манах Ip route такого характера 0.0.0.0/0 next hop, в моем слечае это не помогло и я пошёл эксперементировать... Подскажите пожалуйста каким образом это должно выглядеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmalleR Опубликовано 26 февраля, 2013 · Жалоба SmalleR Во всех манах Ip route такого характера 0.0.0.0/0 next hop, в моем слечае это не помогло и я пошёл эксперементировать... Подскажите пожалуйста каким образом это должно выглядеть. Если это убрать, > S------10.100.0.0/24-------192.168.0.1-------1---------0-------03:23:27--internet что-то изменится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба SmalleR к сожалению нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmalleR Опубликовано 26 февраля, 2013 · Жалоба 192.168.0.1 - это тоже ему не видно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба Роутеру видно, Юзеру нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmalleR Опубликовано 26 февраля, 2013 · Жалоба show nat policy show nat pool Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба Policy-Grid Rules Slot-Mask Binds Policy-Name 0x00000001 0 0x00000000 0 NAT Pool-Grid Context-Id Type Rcrds Slot-Mask Pool-Name 0x00000001 0x40080001 napt/M 1 0x00000000 NAT-0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmalleR Опубликовано 26 февраля, 2013 · Жалоба show nat pool detail Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 26 февраля, 2013 · Жалоба [local]Redback#show nat pool NAT-0 detail Pool name : NAT-0 Pool context id : 0x40080001 Pool grid : 0x1 Pool type : napt, multi-bind Number of records : 1 Slot mask : 0x0 Reference counters (in circuits * classes): Slot 2 0 NAT Address Ranges / Excluded port ranges: Start-IP-Addr End-IP-Addr Start-Port End-Port 192.168.0.3 192.168.0.3 04096 65535 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 28 февраля, 2013 · Жалоба Вот просто уверен, запоролся на какой-то мелочи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 5 марта, 2013 · Жалоба Ребят помочь кто может? А то уже намучался, не знаю что делать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Blaar Опубликовано 5 марта, 2013 · Жалоба Мне кажется вы просто что-то не так делаете. Материалов по нату на СЕ огромное количество. Начните все с нуля. Лично нат на нем не поднимали, но не должно быть там никаких проблем на запуске. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 5 марта, 2013 · Жалоба Blaar Начинал не раз и делал все по манам, не жалаете взглянуть на конфиг? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 6 марта, 2013 · Жалоба Отсюда убрать ip nat NAT - interface users multibind (Интерфейс смотрящий в сторону юзеров), он не нужен, достаточно иметь политику на абоненте. Маршрут на клиентскую подсеть через internet тоже не нужен. Покажите еще show ip route nat (или как-то так было) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 6 марта, 2013 · Жалоба vurd Спасибо, сейчас попробую. Type----Network------------Next Hop---------Dist------Metric-----UpTime----Interface > NAT---192.168.0.3/32----0.0.0.1------------4----------0------01:19:35 >--------------------------------0.0.0.2 >-------------------------------0.0.0.3 >-------------------------------0.0.0.4 >-------------------------------0.0.0.5 >-------------------------------0.0.0.6 >-------------------------------0.0.0.7 >-------------------------------0.0.0.8 >-------------------------------0.0.0.9 >-------------------------------0.0.0.10 >-------------------------------0.0.0.11 >-------------------------------0.0.0.12 >-------------------------------0.0.0.13 >-------------------------------0.0.0.14 >-------------------------------0.0.0.15 >-------------------------------0.0.0.16 Привел к такому виду: interface users multibind ip address 10.100.0.254/24 ip mtu 1500 ip icmp suppress packet-too-big ip arp timeout 900 ip pool 10.100.0.0/24 logging console ! ip route 0.0.0.0/0 192.168.0.1 ! Конф Целиком Current configuration: ! ! Configuration last changed by user 'nxbit' at Wed Mar 6 10:41:14 2013 ! ! ! aaa global authentication subscriber radius context local ! ! no service multiple-contexts ! ! ! software license subscriber active 8000 encrypted 1 subscriber bandwidth 60 encrypted 1 subscriber active ipv6 16000 encrypted 1 ! ! ! ! ! ! flow ip profile sorm active-timeout 1000 inactive-timeout 10 aggregation-cache-size 8192 ! ! ! dpi traffic-management protocol http escape-conversion ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! context local domain ipNet advertise ! no ip domain-lookup ! ip nat pool NAT-0 napt multibind address 192.168.0.3/32 port-block 1 to 15 ! nat policy NAT connections tcp maximum 1000 connections udp maximum 1000 connections icmp maximum 50 ! Default class ignore admission-control tcp admission-control udp admission-control icmp endpoint-independent filtering udp icmp-notification ! Named classes access-group Users class NAT-0 pool NAT-0 local timeout tcp 18000 timeout udp 60 timeout fin-reset 60 timeout icmp 30 timeout syn 60 admission-control icmp endpoint-independent filtering udp icmp-notification ! interface internet p2p ip address 192.168.0.2/24 ip arp proxy-arp ! interface mgt ip address 10.99.0.99/24 ip source-address radius ! interface users multibind ip address 10.100.0.254/24 ip mtu 1500 ip icmp suppress packet-too-big ip arp timeout 900 ip pool 10.100.0.0/24 logging console ! policy access-list Users seq 10 permit ip 10.100.0.0 0.0.0.255 class NAT-0 ! router bgp Наша АС router-id 70.20.70.154 multi-paths external 2 fast-reset 10000 milliseconds address-family ipv4 unicast flap-statistics network Наша анонсируемая сеть/24 ! neighbor 70.20.70.153 external remote-as Их АС send community send ext-community address-family ipv4 unicast route-map FullView in prefix-list ourAS out ! ip arp 192.168.0.1 f0:7d:68:50:4f:36 alias ! ppp keepalive check-interval seconds 10 response-timeout 35 data-check ! enable encrypted 1 $1$........ enable authentication local ! aaa authentication administrator local aaa authentication subscriber radius aaa accounting subscriber radius radius accounting server 10.99.0.101 encrypted-key 88 radius coa server 10.99.0.101 encrypted-key 88 port 3799 ! administrator nxbit encrypted 1 $1$........ ! radius server 10.99.0.101 encrypted-key 88 radius max-retries 5 radius timeout 30 ! subscriber default qos policy policing TARIF-DEFAULT-512K-IN qos policy metering TARIF-DEFAULT-512K-OUT nat policy-name NAT ip interface name users ppp mtu 1492 dns primary 80.140.20.14 dns secondary 8.8.4.4 ! ip route 0.0.0.0/0 192.168.0.1 ! ! flow collector sorm ip-address 10.99.0.123 context local port 9996 export-version v5 transport-protocol udp ip profile sorm ! ! ! ! ** End Context ** logging tdm console logging active logging standby short ! ! ! ! qos policy TARIF-DEFAULT-512K-IN policing rate 512 burst 64 rate-calculation exclude layer-2-overhead ! qos policy TARIF-DEFAULT-512K-OUT metering rate 512 burst 64 rate-calculation exclude layer-2-overhead ! ! ! ! ! ! port ethernet 1/1 ! XCRP management port on slot 1 no shutdown bind interface mgt local ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port ! port ethernet 2/1 no auto-negotiate speed 100 no shutdown medium-type copper bind interface internet local ! port ethernet 2/2 no auto-negotiate speed 100 no shutdown medium-type copper encapsulation pppoe bind authentication chap pap context local maximum 8000 ! ! no service console-break ! service crash-dump-dram ! no service auto-system-recovery ! ! ! pppoe services marked-domains pppoe service-name accept-all pppoe circuit padr per-mac count 5 allow-time 60 drop-time 60 pppoe circuit padi per-mac count 5 allow-time 60 drop-time 60 ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 6 марта, 2013 · Жалоба Поправил результата нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 28 марта, 2013 · Жалоба Доброго времени суток, форумчане Взяли SE100 на тест и пробуем настроить долгожданную фичу nonDHCP CLIPS :) Документации по настройке и примеров конфигов найти не удалось, за исключением некоторого набора команд, которые почему-то не работали. В конце-концов фича заработала, но только при авторизации пользователя по локальной БД. А вот с RADIUS связать не удается. Никто не подскажет минимальный набор аттрибутов, который надо выдать, чтобы пользователь успешно авторизовался? Атрибуты из примеров к другим типам CLIPS (Dynamic, static и т.д) не подходят. user в локальной БД ерикссона выглядит так subscriber name 172.21.162.4 password Redback ip address pool timeout idle 5 CLIPS-сессия успешно устанавливается Если же пытаться сделать тоже самое через RADIUS, например, так 172.21.162.4 Cleartext-Password := "Redback" то получаем вот что log se100 Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-FSM: State now: Sent-auth-req, was: Await-cct-up Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-AUTH: Sending authenticationrequest to AAAd Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-AUTH_E: Authentication response status: Fail Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-FSM: State now: Await-down-cplt, was: Sent-auth-req Mar 28 17:35:34: [2/3:511:63:31/13/2/48]: %CLIPS-7-AUTH: Sending session down to AAAd; cause: Authentication failure (24) , хотя RADIUS-сервер отдает при этом Access-Accept! если же сделать так (по аналогии с локальной БД) freeradius: 172.21.162.4 Cleartext-Password := "Redback" Sub-Profile-Name = "001" SE100: subscriber profile 001 ip address pool timeout idle 5 то получаем такой же отлуп. Так какие же атрибуты SE100 ждет в Access-accept от RADIUSa? До qos, nat и т.д дело еще не дошло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 28 марта, 2013 · Жалоба Попробуйте дать имя интерфейса, куда прибиндить абонента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 29 марта, 2013 · Жалоба Спасибо, dmvy. Не помогло Интерфейс i3 interface i3 multibind ip address 172.21.162.1/24 ip pool 172.21.162.0/24 freeradius: 172.21.162.4 Cleartext-Password := "Redback" IP-Interface-Name = "i3", Sub-Profile-Name = "001" Мало того, SE100, похоже, вообще игнорирует (skipping) оба выданных аттрибута: Mar 29 09:33:44: [0001]: [2/3:511:63:31/13/2/19]: %AAA-7-RADIUS: aaa_idx 50000014: rad_parse_aaa_attr_list: skipping AAA attr 5(profile): none is true: applied, binding, not provisioned yet Mar 29 09:33:44: [0001]: [2/3:511:63:31/13/2/19]: %AAA-7-RADIUS: aaa_idx 50000014: rad_parse_aaa_attr_list: skipping AAA attr 39(ip interface): none is true: applied, binding, not provisioned yet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 29 марта, 2013 · Жалоба Вопрос про RADIUS и nondhcp CLIPS снят, оказывается, ему банально не хватало атрибута Context-Name ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 6 апреля, 2013 · Жалоба Приветствую всех! И снова вопрос про RADIUS.. На SE100 настроен non-dhcp CLIPS По-умолчанию SE100 шлет для абонентских сессий в Access-Request и Accounting-Request атрибут nas-port такого вида: NAS-Port=33751040, причем для всех сессий этот атрибут одинаковый! Это сводит с ума биллинг (BGBilling). На форумах было найдено решение, дать команду radius attribute nas-port format session-info # Это необходимо для того, чтобы RedBack отправлял разные Nas-Port для каждой сессии. Иначе биллинг будет обрабатывать сессии некорректно Но команда эта не возымела никакого эффекта, и даже после перезагрузки, SE100 все равно продолжает вставлять во все сессии одинаковый атрибут NAS-Port=33751040. Ради интереса пробовалась еще команда radius attribute nas-port format physical, но эффект тот же. Кто-нибудь пользуется этой опцией? Как должен выглядеть атрибут nas-port в RADIUS-accounting пакете в формате "session-info"? У кого-нибудь это работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 6 апреля, 2013 · Жалоба Может не в том контексте дали команду? Меня тоже напряг момент с одинаковым nas-port, но мне не критично. Надо будет опробовать на досуге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...