форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"выдавать IP-адрес по логину впн клиента"

Сообщение от BLiN on 18-Мрт-09, 10:27

Добрый день, подскажите пожалуйста есть ли возможность на cisco 871 выдавать IP-адрес впн клиенту неважно pptp или ipsec на основании его логина. Типа как для группы назначается пул IP-адресов, только именно конкретный IP для определенного клиента. Пробовал создавать пулы в один адрес и назначать их группам, но во первых неудобно каждому клиенту заводить группу во вторых бывает что клиент отсоединился а циска почему то думает что адрес еще занят, и вообще не принимает соединение. Может кто нибудь решил этот вопрос с помощью авторизации на радиусе? У меня клиенты проходят AAA на радиусе, и я вижу что он в ответ отдает поле Framed-IP однако циска его не использует, и все равно выдает IP из пула назначенного этой группе. Помогите пожалуйста уже месяц бьюсь. Вот выдержки из конфига: aaa new-model ! ! aaa authentication login group1 local group radius aaa authentication ppp default group radius local aaa authorization network group1 local group radius aaa accounting delay-start aaa accounting network radac start-stop group radius vpdn enable ! vpdn-group PPTP_WIN ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 ! vpdn-group pppoe crypto isakmp client configuration group group1 key key1 pool vpnpool acl 199 save-password crypto isakmp profile vpn1    self-identity address    match identity group group1    client authentication list group1    isakmp authorization list group1    client configuration address respond    accounting radac    local-address FastEthernet4.1 !

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "выдавать IP-адрес по логину впн клиента"

Сообщение от denp on 18-Мрт-09, 11:21

попробуйте удалить пул с циски. ну и надо смотреть дебаги радиуса. у нас такая схема реализована на фрирадиусе, все работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "выдавать IP-адрес по логину впн клиента"
	Сообщение от BLiN on 18-Мрт-09, 12:12
	>попробуйте удалить пул с циски. >ну и надо смотреть дебаги радиуса. >у нас такая схема реализована на фрирадиусе, все работает. Пробывал, тогда вообще не подключается, вы не могли бы выложить конфиг, связанный с радиусом, и второй момент какое поле с радиуса вы отдаете циске? Framed-IP или какую то пару Cisco-AV pair?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "выдавать IP-адрес по логину впн клиента"
	Сообщение от denp on 18-Мрт-09, 16:27
	отправил свои контакты вам на мыло
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "выдавать IP-адрес по логину впн клиента"
	Сообщение от Alexander Yakimenko on 18-Мрт-09, 20:08
	Cisco-router позволяет выдать определенный атрибут без использования внешнего tacacs/radius-сервера. Вот пример из конфига, локальному пользователю отдается необходимый IP-адрес. aaa attribute list raidervpn_ip attribute type addr 192.168.168.230 service ppp protocol ip Так создаем список атрибутов. username raidervpn password XXXX Это локальный пользователь. username raidervpn aaa attribute list raidervpn_ip Это привязка списка атрибутов к пользователю. Атрибуты можно отдать практически любые. --- Удачи!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "выдавать IP-адрес по логину впн клиента"
	Сообщение от BLiN on 19-Мрт-09, 10:17
	>[оверквотинг удален] >username raidervpn password XXXX >Это локальный пользователь. > >username raidervpn aaa attribute list raidervpn_ip >Это привязка списка атрибутов к пользователю. > >Атрибуты можно отдать практически любые. > >--- >Удачи! Вот спасибо! хотя б так а дальше на радиусе реализую.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "выдавать IP-адрес по логину впн клиента"
	Сообщение от BLiN on 19-Мрт-09, 12:18
	Вобщем опять уперся в стену :( Даже локальный ААА сервер не помогает. Рыская по мануалам как то напал на такую фразу: someRADIUS attributes no longer appear on the Group Setup page. This is because IP pools and Callback supersede the following attributes: 8, Framed-IP-Address 19, Callback-Number 218, Ascend-Assign-IP-Pool Additionally, these attributes cannot be set via database synchronization. 8 - это именно атрибут addr - который циска ни в какую не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если создавать его в локальном ААА сервере получается следующее: altera(config)#aaa attribute list pptp_list altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ % Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip" При этом в списке доступных атрибутов он есть, и любой другой кроме этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "выдавать IP-адрес по логину впн клиента"
	Сообщение от shutdown now on 19-Мрт-09, 23:44
	>[оверквотинг удален] >8 - это именно атрибут addr - который циска ни в какую >не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если >создавать его в локальном ААА сервере получается следующее: >altera(config)#aaa attribute list pptp_list >altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ >% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip" > >При этом в списке доступных атрибутов он есть, и любой другой кроме >этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня. > http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "выдавать IP-адрес по логину впн клиента"
	Сообщение от BLiN on 25-Мрт-09, 16:36
	>[оверквотинг удален] >>создавать его в локальном ААА сервере получается следующее: >>altera(config)#aaa attribute list pptp_list >>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ >>% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip" >> >>При этом в списке доступных атрибутов он есть, и любой другой кроме >>этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня. >> > >http://blog.internetworkexpert.com/2009/01/07/understanding-.../ тут почитай, шаристый ccie пишет Спасибо большое, ссылка очень помогла, через локальный ААА заработало, проблема была не в той прошивке, также заработало через циско ACS, теперь буду пробывать через радиус.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "выдавать IP-адрес по логину впн клиента"
	Сообщение от BLiN on 20-Мрт-09, 12:06
	>[оверквотинг удален] >8 - это именно атрибут addr - который циска ни в какую >не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если >создавать его в локальном ААА сервере получается следующее: >altera(config)#aaa attribute list pptp_list >altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ >% Ambiguous command:  "attribute type addr "192.168.198.15" service ppp protocol ip" > >При этом в списке доступных атрибутов он есть, и любой другой кроме >этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня. > Вобщем на другом иосе прокатила команда буду пробовать, спасибо!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "выдавать IP-адрес по логину впн клиента"
	Сообщение от BLiN on 19-Мрт-09, 18:15
	>отправил свои контакты вам на мыло К сожалению ничего не пришло :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "выдавать IP-адрес по логину впн клиента"
	Сообщение от denp on 19-Мрт-09, 18:43
	>>отправил свои контакты вам на мыло > >К сожалению ничего не пришло :( странно, тогда отправьте Вы мне свои
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "выдавать IP-адрес по логину впн клиента"
	Сообщение от denp on 20-Мрт-09, 10:26
	часть конфига: user Auth-Type := MS-CHAP, User-Password == "qwerty"         Framed-Protocol = PPP,         Framed-IP-Address = 10.5.20.2,         Framed-IP-Netmask = 255.255.255.255, Framed-Route := "10.2.1.0/24 10.5.20.2 1"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]