- CISCO 3620 - авторизация dialup & pptp ,
 ShyLion, 14:21 , 26-Окт-07 (1)>На cisco 3620 никаких ip local pool нет. что мешает сделать?
читай доки к радиусу.
- CISCO 3620 - авторизация dialup & pptp , Andrei_V, 15:15 , 26-Окт-07 (2)
>>На cisco 3620 никаких ip local pool нет.
>
>что мешает сделать?
>читай доки к радиусу. Пришлось сделать их на циске: ip local pool dial ххх.ххх.191.33 ххх.ххх.191.48
ip local pool pptp ххх.ххх.191.49 ххх.ххх.191.62 Ну и навесить для каждого теплейта: interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin
!
interface Group-Async0
ip unnumbered FastEthernet1/0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
encapsulation ppp
no logging event link-status
autodetect encapsulation ppp
async mode interactive
peer default ip address pool dial
ppp authentication pap callin
group-range 1 30 А из радиуса вообще убрать указанный reply item на фиг!
Вот тогда заработало как надо. :)
- CISCO 3620 - авторизация dialup & pptp , ShyLion, 12:46 , 27-Окт-07 (3)
>А из радиуса вообще убрать указанный reply item на фиг!
>Вот тогда заработало как надо. :) В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так и имени пула адресов и киса оба способа поддерживает.
Так что это вопрос не о конфигурации кисы а о конкретной реализации сервера авторизации.
- CISCO 3620 - авторизация dialup & pptp , Andrei_V, 10:00 , 28-Окт-07 (4)
>>А из радиуса вообще убрать указанный reply item на фиг!
>>Вот тогда заработало как надо. :)
>
>В принципе в протоколе радиуса есть свойства как быдачи конкретного адреса, так
>и имени пула адресов и киса оба способа поддерживает.
>Так что это вопрос не о конфигурации кисы а о конкретной реализации
>сервера авторизации. Оказалось, что если есть и ip local pool на циске, и reply item в радиусе, что приоритетней является атрибут радиуса. При этом циска уже не проверяет кому и какие адреса выданы. В результате и получается, что могут быть два абонента с одинаковыми ip-адресами.
Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
- CISCO 3620 - авторизация dialup & pptp , ShyLion, 07:05 , 29-Окт-07 (5)
>Оказалось, что если есть и ip local pool на циске, и reply
>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>уже не проверяет кому и какие адреса выданы. В результате и
>получается, что могут быть два абонента с одинаковыми ip-адресами.
>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске. Это если радиус конкретный адрес выдает. А если имя пула, то все ок.
- CISCO 3620 - авторизация dialup & pptp , Andrei_V, 07:35 , 29-Окт-07 (6)
>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок. Радиус выдавал по reply item, например: Framed-IP-Address: xxx.xxx.191.33+
Т.е. начиная с xxx.xxx.191.34. Но непонятно как надо было в радиусе поставить ограничение: выдавать с xxx.xxx.191.34 по с xxx.xxx.191.63.
- CISCO 3620 - авторизация dialup & pptp , Andrei_V, 07:07 , 30-Окт-07 (7)
>>Оказалось, что если есть и ip local pool на циске, и reply
>>item в радиусе, что приоритетней является атрибут радиуса. При этом циска
>>уже не проверяет кому и какие адреса выданы. В результате и
>>получается, что могут быть два абонента с одинаковыми ip-адресами.
>>Поэтому пришлось выбрать что-то одно. Я выбрал ip local pool на циске.
>
>Это если радиус конкретный адрес выдает. А если имя пула, то все
>ок. А как радиусом сообщить кошке из какого пула надо выдать ip?
Cisco-IP-Pool-Definition ?
- CISCO 3620 - авторизация dialup & pptp , ShyLion, 10:14 , 30-Окт-07 (8)
>А как радиусом сообщить кошке из какого пула надо выдать ip?
>Cisco-IP-Pool-Definition ? Cisco-AVPair =3D "ip:addr-pool=pool_name"
- CISCO 3620 - авторизация dialup & pptp , Andrei_V, 11:54 , 30-Окт-07 (9)
>>А как радиусом сообщить кошке из какого пула надо выдать ip?
>>Cisco-IP-Pool-Definition ?
>
>Cisco-AVPair =3D "ip:addr-pool=pool_name" Наверное Cisco-AVPair ="ip:addr-pool=pool_name" ? Тогда наверное из темплейта:
interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
logging event subif-link-status
autodetect encapsulation ppp
peer default ip address pool pptp
ppp authentication pap chap callin надо убрать строку "peer default ip address pool pptp" ?
Просто убрать?
- CISCO 3620 - авторизация dialup & pptp , ShyLion, 12:49 , 30-Окт-07 (10)
>надо убрать строку "peer default ip address pool pptp" ?
>Просто убрать? как хош. если не убирать, то будет использоваться при отсутствии в ответе от радиуса. у радиуса больший приоритет.
- CISCO 3620 - авторизация dialup & pptp , Andrei_V, 08:13 , 15-Фев-08 (11)
>>надо убрать строку "peer default ip address pool pptp" ?
>>Просто убрать?
>
>как хош. если не убирать, то будет использоваться при отсутствии в ответе
>от радиуса. у радиуса больший приоритет. А если в радиусе есть:
и Cisco-AVPair ip:addr-pool=pptp
и Framed-IP-Address ххх.ххх.191.44
причем пул адресов с именем pptp на циске не пересекается с адресом, указанным в Framed-IP-Address, то юзер вообще не может получить никакого адреса. :( А хочется, чтобы получал всегда один и тот же адрес (ххх.ххх.191.44).
Убрать Cisco-AVPair ip:addr-pool=pptp для этого клиента не получается по другим причинам.
Подскажете?
|
Версия для распечатки
CISCO 3620 - авторизация dialup & pptp , 
