Всем привет.

Есть сиска с двумя интерфейсами.
Как передать в радиус при_авторизации в Access_Request
еще хоть что-нибудь, шоб понять на какой из двух интервейсов зацепился клиент (внутренний или внешний)
Приходит такое:

       Framed-Protocol = PPP
       User-Name = "test"
       MS-CHAP-Challenge = ....
       MS-CHAP-Response = .....
       NAS-Port-Type = Virtual
       Cisco-NAS-Port = "Uniq-Sess-ID248"
       NAS-Port = 0
       NAS-Port-Id = "Uniq-Sess-ID248"
       Service-Type = Framed-User
       NAS-IP-Address = 172.29.29.163
       NAS-Identifier = "xxx.xxx"

А из этого непонятно куда цеплялся... 172.29.29.163 - адрес NAS. С него на радиус-сервер идут запросы.

Очень бы устроил вывод 66 и 67 атрибутов, которые успешно получаю в аккаунтинге.
Tunnel-Server-Endpoint & Tunnel-Client-Endpoint

Поможите!!!

• Cisco 7206, RADIUS,fantom, 14:12 , 20-Мрт-07
  • Cisco 7206, RADIUS,Begemot2, 14:17 , 20-Мрт-07
    • Cisco 7206, RADIUS,Begemot2, 14:18 , 20-Мрт-07
    • Cisco 7206, RADIUS,Begemot2, 22:00 , 20-Мрт-07
      • Cisco 7206, RADIUS,fantom, 11:26 , 21-Мрт-07
        • Cisco 7206, RADIUS,Begemot2, 12:04 , 21-Мрт-07
          • Cisco 7206, RADIUS,fantom, 13:51 , 21-Мрт-07
            • Cisco 7206, RADIUS,Begemot2, 14:18 , 21-Мрт-07
          • Проблема решена дурацким способом...,Begemot2, 14:14 , 21-Мрт-07
  • А может, пойти другим путем?,Begemot2, 12:41 , 21-Мрт-07
    • А может, пойти другим путем?,Begemot2, 13:49 , 22-Мрт-07

>Всем привет.
>
>Есть сиска с двумя интерфейсами.
>Как передать в радиус при_авторизации в Access_Request
>еще хоть что-нибудь, шоб понять на какой из двух интервейсов зацепился клиент
>(внутренний или внешний)
>Приходит такое:
>
>       Framed-Protocol = PPP
>       User-Name = "test"
>       MS-CHAP-Challenge = ....
>       MS-CHAP-Response = .....
>       NAS-Port-Type = Virtual
>       Cisco-NAS-Port = "Uniq-Sess-ID248"
>       NAS-Port = 0
>       NAS-Port-Id = "Uniq-Sess-ID248"
>       Service-Type = Framed-User
>       NAS-IP-Address = 172.29.29.163
>       NAS-Identifier = "xxx.xxx"
>
>А из этого непонятно куда цеплялся... 172.29.29.163 - адрес NAS. С него
>на радиус-сервер идут запросы.
>
>Очень бы устроил вывод 66 и 67 атрибутов, которые успешно получаю в
>аккаунтинге.
>Tunnel-Server-Endpoint & Tunnel-Client-Endpoint
>
>Поможите!!!

radius-server attribute nas-port format ?

И выбирай в каком формате.

>>Всем привет.
>>
>>Есть сиска с двумя интерфейсами.
>>Как передать в радиус при_авторизации в Access_Request
>>еще хоть что-нибудь, шоб понять на какой из двух интервейсов зацепился клиент
>>(внутренний или внешний)
>>Приходит такое:
>>
>>       Framed-Protocol = PPP
>>       User-Name = "test"
>>       MS-CHAP-Challenge = ....
>>       MS-CHAP-Response = .....
>>       NAS-Port-Type = Virtual
>>       Cisco-NAS-Port = "Uniq-Sess-ID248"
>>       NAS-Port = 0
>>       NAS-Port-Id = "Uniq-Sess-ID248"
>>       Service-Type = Framed-User
>>       NAS-IP-Address = 172.29.29.163
>>       NAS-Identifier = "xxx.xxx"
>>
>>А из этого непонятно куда цеплялся... 172.29.29.163 - адрес NAS. С него
>>на радиус-сервер идут запросы.
>>
>>Очень бы устроил вывод 66 и 67 атрибутов, которые успешно получаю в
>>аккаунтинге.
>>Tunnel-Server-Endpoint & Tunnel-Client-Endpoint
>>
>>Поможите!!!
>
>radius-server attribute nas-port format ?
>
>И выбирай в каком формате.

А можно какой-нить любой пример. Все перепробовал

Забыл сказать, что речь идет о PPTP соединениях

На циску можно залогиниться с помощью pptp (VPN) на два IP адреса, условно назовем: внешний и внутренний. Циска передает access_request на радиус-сервер. Очень надо передать
в этом запросе хоть какой-нибудь намек, на то, что коннекция активирована внешним пользователем или внутренним. Поскольку соединение виртуальное и NAS-Port-Type = Virtual
не получается получить NAS-Port отличный от нуля или просто тупо - порядкового номера соединения. Пожалуйста, помогите. Радиус-сервер - не проблема. Как сделать передачу
"условного сигнала" с NAS-а? (коим является cisco 7206).

>На циску можно залогиниться с помощью pptp (VPN) на два IP адреса,
>условно назовем: внешний и внутренний. Циска передает access_request на радиус-сервер. Очень
>надо передать
>в этом запросе хоть какой-нибудь намек, на то, что коннекция активирована внешним
>пользователем или внутренним. Поскольку соединение виртуальное и NAS-Port-Type = Virtual
>не получается получить NAS-Port отличный от нуля или просто тупо - порядкового
>номера соединения. Пожалуйста, помогите. Радиус-сервер - не проблема. Как сделать передачу
>
>"условного сигнала" с NAS-а? (коим является cisco 7206).

radius-server attribute nas-port format ?
  a  Format is type, channel, port
  b  Either interface(16) or isdn(16), async(16)
  c  Data format(bits): shelf(2), slot(4), port(5), channel(5)
  d  Data format(bits): slot(4), module(1), port(3), vpi(8), vci(16)
  e  Configurable data format

Идем на www.cisco.com
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/produ...

там есть таблица для формирования собственного формата (e)
Пишешь в свой формат, что тебе надо присылать.
Если мне память не изменяет, должна быть строка из 32-х символов,
например
Если верить табличке то что-то типа 000000000000000000000000000000iP
должно присылать в наспорте порт и сабинтерфейс, хотя я этого там и неувидел :)

Есть другой вариант
Tunnel-Server-Endpoint - это IP на который коннектился pptp клиент.
Acct-Tunnel-Client-Endpoint - это IP с которого коннектился pptp клиент.

>radius-server attribute nas-port format ?
>  a  Format is type, channel, port
>  b  Either interface(16) or isdn(16), async(16)
>  c  Data format(bits): shelf(2), slot(4), port(5), channel(5)
>  d  Data format(bits): slot(4), module(1), port(3), vpi(8), vci(16)
>  e  Configurable data format
>

Пробовал a,b,c,d - или 0 или 1,2,3,4,....
пробовал и e, но как я понял это лишь способ вызвать компоненты a,b,c,d в своем порядке и
несколько новых.
По поводу е - не все множество вариантов проверил. Может быть, есть у кого-нить
реально работающее е ?

>Идем на www.cisco.com
>http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/produ...
>
>там есть таблица для формирования собственного формата (e)
>Пишешь в свой формат, что тебе надо присылать.
>Если мне память не изменяет, должна быть строка из 32-х символов,
>например
>Если верить табличке то что-то типа 000000000000000000000000000000iP
>должно присылать в наспорте порт и сабинтерфейс, хотя я этого там и
>неувидел :)

Только что проверил 000000000000000000000000000000iP
Получил:

...
        NAS-Port-Type = Virtual
        NAS-Port = 0
        NAS-Port-Id = "Uniq-Sess-ID12" -- тут цифра растет с каждым подключением от рестарта сиски
        Service-Type = Framed-User
        NAS-IP-Address = 172.29.29.163
...

Кстати, прошивка: c7200p-adventerprisek9-mz.124-4.XD5.bin

>
>Есть другой вариант
>Tunnel-Server-Endpoint - это IP на который коннектился pptp клиент.
>Acct-Tunnel-Client-Endpoint - это IP с которого коннектился pptp клиент.

В аккаунте это есть. приходит отлично. Но мне хотелось бы получить инфу при авторизации
и назначить с помощью Cisco-AV-Pair другие правила для внешнего коннекта.
В аккаунте, вообще все супер приходит. Но видимо, при авторизации устанавливаются правила
для вирт. интерфейса, а мне надо их подстроить для внешних и внутр. пользователей.
:-( хоть вторую сиску покупать для второго NAS-а... (проверять по насу внешний или внутренний)

>>radius-server attribute nas-port format ?
>>  a  Format is type, channel, port
>>  b  Either interface(16) or isdn(16), async(16)
>>  c  Data format(bits): shelf(2), slot(4), port(5), channel(5)
>>  d  Data format(bits): slot(4), module(1), port(3), vpi(8), vci(16)
>>  e  Configurable data format
>>
>
>Пробовал a,b,c,d - или 0 или 1,2,3,4,....
>пробовал и e, но как я понял это лишь способ вызвать компоненты
>a,b,c,d в своем порядке и
>несколько новых.
>По поводу е - не все множество вариантов проверил. Может быть, есть
>у кого-нить
>реально работающее е ?
>
>
>
>>Идем на www.cisco.com
>>http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/produ...
>>
>>там есть таблица для формирования собственного формата (e)
>>Пишешь в свой формат, что тебе надо присылать.
>>Если мне память не изменяет, должна быть строка из 32-х символов,
>>например
>>Если верить табличке то что-то типа 000000000000000000000000000000iP
>>должно присылать в наспорте порт и сабинтерфейс, хотя я этого там и
>>неувидел :)
>
>Только что проверил 000000000000000000000000000000iP
>Получил:
>
>...
>        NAS-Port-Type = Virtual
>        NAS-Port = 0
>        NAS-Port-Id = "Uniq-Sess-ID12" --
>тут цифра растет с каждым подключением от рестарта сиски
>        Service-Type = Framed-User
>        NAS-IP-Address = 172.29.29.163
>...
>
>Кстати, прошивка: c7200p-adventerprisek9-mz.124-4.XD5.bin
>
>>
>>Есть другой вариант
>>Tunnel-Server-Endpoint - это IP на который коннектился pptp клиент.
>>Acct-Tunnel-Client-Endpoint - это IP с которого коннектился pptp клиент.
>
>В аккаунте это есть. приходит отлично. Но мне хотелось бы получить инфу
>при авторизации
>и назначить с помощью Cisco-AV-Pair другие правила для внешнего коннекта.
>В аккаунте, вообще все супер приходит. Но видимо, при авторизации устанавливаются правила
>
>для вирт. интерфейса, а мне надо их подстроить для внешних и внутр.
>пользователей.
>:-( хоть вторую сиску покупать для второго NAS-а... (проверять по насу внешний
>или внутренний)

       Acct-Session-Id = "бла-бла"
        Tunnel-Medium-Type:0 = IP
        Tunnel-Server-Endpoint:0 = "бла-бла"
        Acct-Tunnel-Client-Endpoint:0 = "бла-бла"
        Tunnel-Assignment-Id:0 = "PPTP"
        Framed-Protocol = PPP
        Framed-IP-Address = бла-бла
        User-Name = "бла-бла"
        Acct-Authentic = RADIUS
        Acct-Status-Type = Start
        NAS-Port-Type = Virtual
        NAS-Port = 11
        Attr-87 = "Uniq-Sess-ID11"
        Service-Type = Framed-User
        NAS-IP-Address = бла-бла
        Acct-Delay-Time = 0
        Client-IP-Address = бла-бла
        Timestamp = бла-бла
        Request-Authenticator = Verified

Обрати внимание, что это Start, и в нем есть Tunnel-Server-Endpoint и Acct-Tunnel-Client-Endpoint....

>
>Обрати внимание, что это Start, и в нем есть Tunnel-Server-Endpoint и Acct-Tunnel-Client-Endpoint....
>

Да! Но это в account-инге, когда уже поздно настраивать сиску для клиента.
У него уже все сложилось и он авторизован. Конечно, можно дождаться аккаунтинга и
"перепрошить" все, но это как-то не очень.

надо в авторизации сразу

если указать:
vpdn aaa attribute nas-ip-address vpdn-nas

То в NAS-Ip приходит соурс адрес подключаемого.
Смешно, но он перебивает и NAS-Identifier , делает его равным по ip,
однако, в формате %h.%d (хост с доменом) - дает настоящее имя NAS-a.
Коряво? Думаю, да.

Если подкрячить радиус-сервер, то все в порядке. Но как коряво... ух.

Теперь попытался посклонять:
vpdn aaa attribute nas-port vpdn-nas
Тут просто тупик. В атрибут приходит всегда нуль. Как ни бился.
Возможно получать еще 1,2,3,4,5............ как номер порта

Если предположить, что vpdn-nas это source ip-адрес клиента в первом
случае, то почему он не лезет в nas-port??? Или он лезет, а радиус его
из-за формата воспроизвести не может?

Може быть есть способ разрулить по входящим интерфейсам между двумя
Virtual Template и/или двумя разными vpdn-group ????

Можно по соурс и дест. IP адресу, можно по дест. интерфейсу сиски (вн. или внешн.)
Как-нибудь в этом направлении возможно?

>Може быть есть способ разрулить по входящим интерфейсам между двумя
>Virtual Template и/или двумя разными vpdn-group ????
>
>Можно по соурс и дест. IP адресу, можно по дест. интерфейсу сиски
>(вн. или внешн.)
>Как-нибудь в этом направлении возможно?

Сделал две vpdn-group.
внутри одинаково

accept-dialin
  protocol pptp
  virtual-template 1
source-ip a.a.a.a

и

accept-dialin
  protocol pptp
  virtual-template 2
source-ip b.b.b.b

Но, первая встает дефаултом и если коннект не подходит под source-ip - все
рвется, авторизация не проходит и вторая группа не проверяется.
Шож такое то! Как заставить проверять обе группы по очереди?