The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"выдавать IP-адрес по логину впн клиента"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 18-Мрт-09, 10:27 
Добрый день, подскажите пожалуйста есть ли возможность на cisco 871 выдавать IP-адрес впн клиенту неважно pptp или ipsec на основании его логина. Типа как для группы назначается пул IP-адресов, только именно конкретный IP для определенного клиента. Пробовал создавать пулы в один адрес и назначать их группам, но во первых неудобно каждому клиенту заводить группу во вторых бывает что клиент отсоединился а циска почему то думает что адрес еще занят, и вообще не принимает соединение. Может кто нибудь решил этот вопрос с помощью авторизации на радиусе? У меня клиенты проходят AAA на радиусе, и я вижу что он в ответ отдает поле Framed-IP однако циска его не использует, и все равно выдает IP из пула назначенного этой группе. Помогите пожалуйста уже месяц бьюсь. Вот выдержки из конфига:
aaa new-model
!
!
aaa authentication login group1 local group radius
aaa authentication ppp default group radius local
aaa authorization network group1 local group radius
aaa accounting delay-start
aaa accounting network radac start-stop group radius
vpdn enable
!
vpdn-group PPTP_WIN
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
vpdn-group pppoe
crypto isakmp client configuration group group1
key key1
pool vpnpool
acl 199
save-password
crypto isakmp profile vpn1
   self-identity address
   match identity group group1
   client authentication list group1
   isakmp authorization list group1
   client configuration address respond
   accounting radac
   local-address FastEthernet4.1
!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "выдавать IP-адрес по логину впн клиента"  
Сообщение от denp email on 18-Мрт-09, 11:21 
попробуйте удалить пул с циски.
ну и надо смотреть дебаги радиуса.
у нас такая схема реализована на фрирадиусе, все работает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 18-Мрт-09, 12:12 
>попробуйте удалить пул с циски.
>ну и надо смотреть дебаги радиуса.
>у нас такая схема реализована на фрирадиусе, все работает.

Пробывал, тогда вообще не подключается, вы не могли бы выложить конфиг, связанный с радиусом, и второй момент какое поле с радиуса вы отдаете циске? Framed-IP или какую то пару Cisco-AV pair?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "выдавать IP-адрес по логину впн клиента"  
Сообщение от denp email on 18-Мрт-09, 16:27 
отправил свои контакты вам на мыло
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "выдавать IP-адрес по логину впн клиента"  
Сообщение от Alexander Yakimenko email on 18-Мрт-09, 20:08 
Cisco-router позволяет выдать определенный атрибут без использования внешнего tacacs/radius-сервера.

Вот пример из конфига, локальному пользователю отдается необходимый IP-адрес.

aaa attribute list raidervpn_ip
attribute type addr 192.168.168.230 service ppp protocol ip
Так создаем список атрибутов.

username raidervpn password XXXX
Это локальный пользователь.

username raidervpn aaa attribute list raidervpn_ip
Это привязка списка атрибутов к пользователю.

Атрибуты можно отдать практически любые.

---
Удачи!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 19-Мрт-09, 10:17 
>[оверквотинг удален]
>username raidervpn password XXXX
>Это локальный пользователь.
>
>username raidervpn aaa attribute list raidervpn_ip
>Это привязка списка атрибутов к пользователю.
>
>Атрибуты можно отдать практически любые.
>
>---
>Удачи!

Вот спасибо! хотя б так а дальше на радиусе реализую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 19-Мрт-09, 12:18 
Вобщем опять уперся в стену :(
Даже локальный ААА сервер не помогает. Рыская по мануалам как то напал на такую фразу:
someRADIUS attributes no longer appear on the Group Setup page. This is because IP pools and Callback supersede the following attributes:
8, Framed-IP-Address
19, Callback-Number
218, Ascend-Assign-IP-Pool
Additionally, these attributes cannot be set via database synchronization.
8 - это именно атрибут addr - который циска ни в какую не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если создавать его в локальном ААА сервере получается следующее:
altera(config)#aaa attribute list pptp_list
altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
При этом в списке доступных атрибутов он есть, и любой другой кроме этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "выдавать IP-адрес по логину впн клиента"  
Сообщение от shutdown now on 19-Мрт-09, 23:44 
>[оверквотинг удален]
>8 - это именно атрибут addr - который циска ни в какую
>не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если
>создавать его в локальном ААА сервере получается следующее:
>altera(config)#aaa attribute list pptp_list
>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
>
>При этом в списке доступных атрибутов он есть, и любой другой кроме
>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>

http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 25-Мрт-09, 16:36 
>[оверквотинг удален]
>>создавать его в локальном ААА сервере получается следующее:
>>altera(config)#aaa attribute list pptp_list
>>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
>>
>>При этом в списке доступных атрибутов он есть, и любой другой кроме
>>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>>
>
>http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет

Спасибо большое, ссылка очень помогла, через локальный ААА заработало, проблема была не в той прошивке, также заработало через циско ACS, теперь буду пробывать через радиус.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 20-Мрт-09, 12:06 
>[оверквотинг удален]
>8 - это именно атрибут addr - который циска ни в какую
>не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если
>создавать его в локальном ААА сервере получается следующее:
>altera(config)#aaa attribute list pptp_list
>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$
>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip"
>
>При этом в списке доступных атрибутов он есть, и любой другой кроме
>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
>

Вобщем на другом иосе прокатила команда буду пробовать, спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "выдавать IP-адрес по логину впн клиента"  
Сообщение от BLiN email on 19-Мрт-09, 18:15 
>отправил свои контакты вам на мыло

К сожалению ничего не пришло :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "выдавать IP-адрес по логину впн клиента"  
Сообщение от denp email on 19-Мрт-09, 18:43 
>>отправил свои контакты вам на мыло
>
>К сожалению ничего не пришло :(

странно, тогда отправьте Вы мне свои

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "выдавать IP-адрес по логину впн клиента"  
Сообщение от denp email on 20-Мрт-09, 10:26 
часть конфига:

user Auth-Type := MS-CHAP, User-Password == "qwerty"
        Framed-Protocol = PPP,
        Framed-IP-Address = 10.5.20.2,
        Framed-IP-Netmask = 255.255.255.255, Framed-Route := "10.2.1.0/24 10.5.20.2 1"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру