[shefys]

давайте я вам всех "блондинок", которым на работе корп. доступ в виде PPTP сделали, и просто всех хороших людей со старыми и никому ненужными протоколами, буду переводить в Сан Хосе.

и вы им будете объяснять, а лучше за них платить навязанную услугу внешнего адреса :)

 

да, блондинок здесь и вправду не хватает ;)

На самом деле, я понимаю, что если что-то не работает, то виноват провайдер. Есть несколько вариантов решения:

1) использовать ALG (на PPA этого не будет).

2) делать отдельный "белый" пул адресов, который вешать на сессии "проблемных" клиентов.

3) выдавать серый адрес юзерам, но делать NAT 1:1 - в таком случае другие пользователи не будут плакать, что у них серые, а вот у этих белые адреса.

4) ничего не делать, посылать пользователей к их админам

5) предлагать использовать IPv6 :)

6) можно попытаться редиректить такой трафик на специальную машинку, занимающуюся ALG.

[radiotech]

Помогите начинающему ериксоноводу, пытаюсь на se 100 настроить сервер доступа l2tp, может кто поделится примером конфигурации?

[radiotech]

По документации максимум смог извлечь информации чтоб накидать такой конфиг

aaa accounting l2tp tunnel radius

aaa accounting l2tp session radius

radius accounting server x.x.x.x encrypted-key xxxx

!

l2tp-peer default

description vpn.ru

session-auth chap

function lns-only

!

 

Клиент к серверу даже не пытается подключиться...

[macharius]

минимальная настройка следующая

!
context local
!
interface loop loopback
 ip address 1.1.1.1/32
!
!
interface uplink
 ip address x.x.x.x/30
!
interface downlink
 ip address y.y.y.y/30
!
interface subs multibind lastresort
 ip unnumbered loop
logging console
! 
aaa authentication subscriber radius  
!
radius server 10.126.131.167 encrypted-key 3828082561D6BDD6
!
!
l2tp-peer unnamed local 1.1.1.1
 session-auth chap context local
 function lns-only
!
! ** End Context **
!
port ethernet 2/2 
no shutdown
medium-type copper
encapsulation dot1q
dot1q pvc 100 
 bind uplink local
dot1q pvc 200 
 bind downlink local
!

 

Абоненты приходят по l2tp в контекст local на адрес 1.1.1.1 и там же происходит их аутентификация. Если есть необходимость, то сами тунели l2tp можно опускать в один котекст, а идущие внутри ррр сессии в другой. Ну и не забыть для примера выше добавить маршруты для радиус, плюс default (или запустить динамический протокол маршрутизации).

 

P.S. Забыл сказать, что для данного примера вам нужно с радиуса присылать адрес абоненту в Framed-IP-Address

Edited May 2, 2011 by macharius

[radiotech]

Кидает в лог следущее при попытке подключения

Aug 7 05:51:06: %L2TP-6-TUNNEL: MikroTik: Couldn't create peer for incoming SCCRQ

 

Вот текущий конфиг

!

context bras

!

no ip domain-lookup

!

interface loop loopback

ip address 172.16.0.1/32

!

interface subs multibind

ip unnumbered loop

!

interface uplink

description -g2/1-

ip address x.x.x.x/27

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip access-group DropIn in

!

interface user

!

interface users

description -g2/2-

ip address 192.168.0.20/24

ip mtu 1500

ip icmp suppress packet-too-big

ip arp timeout 900

ip access-group PermitIn in

logging console

ip martian 10.0.0.0/8

ip martian 192.168.0.0/24

!

ip access-list DropIn

seq 10 deny ip 10.0.0.0 0.255.255.255 any

seq 20 deny ip 169.254.0.0 0.0.255.255 any

seq 30 deny ip any 10.0.0.0 0.255.255.255

seq 40 deny ip any 169.254.0.0 0.0.255.255

seq 50 deny ip any 192.168.0.0 0.0.255.255

seq 1000 permit ip any any

!

ip access-list PermitIn

seq 10 permit ip 192.168.0.0 0.0.0.255

seq 20 permit ip 10.0.0.0 0.255.255.255

!

enable authentication local

!

aaa authentication administrator local

aaa authentication administrator maximum sessions 1

aaa authentication subscriber radius

aaa accounting l2tp tunnel radius

aaa accounting l2tp session radius

radius accounting server 192.168.0.253 encrypted-key xxxx

!

radius server 192.168.0.253 encrypted-key xxxx

!

ip route 10.0.0.0/8 192.168.0.254

!

l2tp-peer unnamed local 172.16.0.1

session-auth chap context bras

function lns-only

!

 

 

!

end

[macharius]

вот тут попробуйте подправить (чтоб как в моем примере было)

interface subs multibind lastresort

Edited May 2, 2011 by macharius

[radiotech]

сделал эффект тотже

[macharius]

покажите плиз show config port, show radius server.

С какого ip приходят пакеты от клиента? какой ip указан в качестве vpn сервера на клиенте? Клиент его пингует?

[macharius]

если они должны цепляться на 192.168.0.20

то переделайте вот тут:

 

!

l2tp-peer unnamed local 192.168.0.20

session-auth chap context bras

function lns-only

!

[macharius]

ok :), чтоб долго не гадать - качните policy how to с нага, там все самое необходимое расписано.

[radiotech]

ну профили вроде несложно настроить

[ingress]

вопрос: в коммутаторах доступа присутствует функция igmp authentication, смысл её заключается в том при каждом запросе группы, она предварительно аутентифицируется через RADIUS, так же задействован MVR(ISM), и L3 роутер отдаёт мультикаст через отдельный VLAN(не пользовательский).

в концепции единой точки оказания услуг(vlan-per-customer) предусматривается единая точка оказания - BRAS(предположим он же отдаёт мультикаст), но если поменять схему(убрать IGMP Auth и MVR с доступа) и сделать чтобы BRAS аутентифицировал IGMP запросы(каналы которые можно смотреть) то теряется масштабируемость, фактически мультикаст превращается в юникаст.

Возможно ли в SE сделать RADIUS прокси, т.е. в качестве радиус сервера на коммутаторе будет указан адрес SE, при ААА абонента(static/dynamic CLIPS) SE передаётся профиль пользователя(мультикаст влан,разрешённые группы, мак адрес приставки), и при запросе канала(кстати запрос придёт в мультикаст влане, с подделаным IP адресом, но мак адресом приставки) SE уже отвечал коммутатору, и соответственно пускал группу в мультикаст влане?

[macharius]

сейчас реализована фича, которая позволяет принимать контрольные сообщения igmp в выделенном, не абонентском dot1q pvc, как от известных, так и от неизвестных абонентских маков (регулируется). Соответсвенно, в этот же pvc она отдает сам мультикаст. Детали сейчас точно не помню, это работает для рррое точно, могу проверить для clips. Если работает, то можно аутентификацию igmp оставить на коммутаторах, будет рутится через брас прозрачно?

[ingress]

Если работает, то можно аутентификацию igmp оставить на коммутаторах, будет рутится через брас прозрачно?

 

это часть проблемы.

интересно было бы, чтобы BRAS аутентифицировал каналы(на основании один раз выданного профиля через RADIUS), но точкой оказания этой услуги всё равно выступает коммутатор, просто он будет должен запрашивать у BRAS, а не у центрального RADIUS сервера.

[shicoy]

ingress а зачем? логичнее для этого юзать отдельный радиус, который будет рулить igmp в соотвествии с биллингом или чем надо.

[ingress]

а зачем?

 

а за тем что радиус должен быть один, а не 100500 под каждую фенечку, и он должен ААА абонента проводить с одной точки, вот эта одна точка и есть BRAS(а не тысячи коммутаторов), биллинг выдал ему профиль IPTV для пользователя, а дальше BRAS решает что давать а что нет, просто "вентиль" услуги в данном случае всё равно находится на коммутаторе, просто потому что "вентиль" на самом BRAS не возможен в условиях масштабируемости.

[radiotech]

блин теперь не удается победить OSPF

Вот конфиг на циске(5 цисок все работает):

router ospf 99

router-id 1.1.1.1

log-adjacency-changes

redistribute connected subnets

passive-interface default

no passive-interface FastEthernet0/1

network x.x.x.x 0.0.1.255 area 1

network y.y.y.y 0.0.0.31 area 0

 

Вот конфиг эриксона(циски не видит...):

router ospf 99

fast-convergence

router-id 1.1.1.2

area 0.0.0.0

passive

interface uplink

summary-address y.y.y.y/27

area 0.0.0.1

passive

redistribute subscriber

summary-address x.x.x.x/23

 

В доке както туговато с примерами(

[macharius]

обе арии сделали пассивными, а значит и все интерфейсы в них, попробуйте убрать passive

[radiotech]

странно passive убрал заработало... хотя это неправильно...

 

чтото я тогда недопонял смысл passive, видимо это не тоже что у циски passive-interface default

[macharius]

Почему неправильно? в документации написано, что если команда passive применяется к арии, то она делает пассивными все интерфейсы в этой арии. В SE конфигурация арии наполняется интерфейсами явно, т.е. либо вы указываете имя интерфейса, либо ip, но не wildcard. Т.о. необходимость в команде passive-interface default (cisco) нет, т.к. логика тут немного другая.

[smiler999]

Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER.

[macharius]

Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER.

 

<host>---<access_sw>----dot1q------<aggr_sw>----qiniq-----<SE>
                                   |
<host>---<access_sw>----dot1q-------+

...

[smiler999]

Товарищи покажите пожалуйста схематическое изображение сети провайдера построенной с использованием данной железяки постоенной по технологии VLAN per USER.

 

<host>---<access_sw>----dot1q------<aggr_sw>----qiniq-----<SE>
                                   |
<host>---<access_sw>----dot1q-------+

...

 

А по подробнее нету схемы с описанием для новичков что называется...

И немного непонятно как будет устроена архитектура внутри сети,я какие адреса начиная с SE и заканчивая user.

Edited May 3, 2011 by smiler999

[radiotech]

осталось победить нетфлоу... пытаюсь создать ip профиль нужных команд невижу...

[local]bras(config)#flow ?

admission-control Configure Flow Admission-Control

 

и все.... а по доке flow ip profile profile-name

[carleone]

Действительно, а есть ли success story PPPoE + netflow? А то IPoE, IPoE...