Cisco PPPoE clien & radius
Здравствуйте! Есть циска, подключенная к internet по PPPoE. Появилась необходимость поднять на ней ppptp сервер и раздавать статические ip кастомерам через radius. Включаю авторизацию через радиус, отламывается авторизация pppoe до провайдера. Ставлю локальную, теряю возможность выдавать постоянные IP клиентам. Задать авторизацию для pppoe через радиус не получается, радиус-сервер доступен через pppoe? Можно как-то совместить радиус и локальную авторизацию для ppp? Спасибо! -- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE
Добрий вечір всім.
Якась мені незрозуміла задача...
Ще в далекому 1998 Merit Radius вмів це робити.
Правда, тоді не було РРРоЕ (принаймі масово. Лінь дивитися на дати
реалізації), але хрена з нього... ІР та й ІР...
А зараз realm'и відмінили, чи як?
Щось я, мабуть, не зрозумів...
2012/2/9 Yuriy B. Borysov
Здравствуйте!
Есть циска, подключенная к internet по PPPoE. Появилась необходимость поднять на ней ppptp сервер и раздавать статические ip кастомерам через radius. Включаю авторизацию через радиус, отламывается авторизация pppoe до провайдера. Ставлю локальную, теряю возможность выдавать постоянные IP клиентам.
Задать авторизацию для pppoe через радиус не получается, радиус-сервер доступен через pppoe?
Можно как-то совместить радиус и локальную авторизацию для ppp?
Спасибо!
-- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE
Hi! On Thu, Feb 09, 2012 at 11:53:31PM +0200, Oleh Hrynchuk writes:
Добрий вечір всім.
Якась мені незрозуміла задача... Ще в далекому 1998 Merit Radius вмів це робити. Правда, тоді не було РРРоЕ (принаймі масово. Лінь дивитися на дати реалізації), але хрена з нього... ІР та й ІР...
Проблема не в радиусе. Радиус работает как надо. Проблема в том, что на момент поднятия пппое, радиус еще не виден. -- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE
Привет, видимо, я не совсем понимаю вопрос. Для подключения клиентом по pppoe тебе Radius вообще не требуется - ты username/пароль передаешь в настройках Dialer: interface Dialer1 description client-ppoe mtu 1492 ip address negotiated encapsulation ppp [ ... ] ppp authentication pap callin _ppp pap sent-username <username> password 7 <password>_ соответственно, для работы pptp тебе требуется штатная настройка AAA, которая не имеет ни малейшего отношения к pppoe-клиенту. Что-то типа такого: aaa group server radius gRAD server x.x.x.x auth-port 1812 acct-port 1813 ! aaa authentication ppp default group gRAD aaa authorization network default group gRAD aaa accounting network default start-stop group gRAD ! vpdn-group PPTP ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ip pmtu ip mtu adjust ! interface Virtual-Template1 ip unnumbered Loopback0 ip route-cache flow no peer default ip address ppp mtu adaptive ppp authentication chap ms-chap ms-chap-v2 ну а то, что в отсутствие pppoe удаленный радиус недоступен - ну это жизнь... :) On 2/9/2012 8:48 PM, Yuriy B. Borysov wrote:
Здравствуйте!
Есть циска, подключенная к internet по PPPoE. Появилась необходимость поднять на ней ppptp сервер и раздавать статические ip кастомерам через radius. Включаю авторизацию через радиус, отламывается авторизация pppoe до провайдера. Ставлю локальную, теряю возможность выдавать постоянные IP клиентам.
Задать авторизацию для pppoe через радиус не получается, радиус-сервер доступен через pppoe?
Можно как-то совместить радиус и локальную авторизацию для ppp?
Спасибо!
-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ "Справа не в церкв? ? не в наркотиках. Справа у в?дпов?дальност? та вдячност?. Якщо в тебе це ?, ма?ш шанс померти не останньою скотиною." (с) С.Жадан, "Ворошиловград"
Hi! On Fri, Feb 10, 2012 at 11:53:15AM +0200, Vladimir Litovka writes:
Привет,
видимо, я не совсем понимаю вопрос.
Для подключения клиентом по pppoe тебе Radius вообще не требуется - ты username/пароль передаешь в настройках Dialer:
Я тоже так думал, но, как оказалось, фик. Вот настройки aaa: aaa new-model ! ! aaa authentication username-prompt "login: " aaa authentication login default local aaa authentication login userauthen group radius aaa authentication ppp default local aaa authorization exec default local aaa authorization network default group radius aaa authorization network groupauthor local aaa accounting network default start-stop group radius aaa accounting network useracc start-stop group radius Как только включаю: aaa authentication ppp default group radius PPPOE перестает подключаться. Настройки на dialer такие: interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside no ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname pppoe@isp ppp chap password 7 144234285FKJH7A7B7671 ppp ipcp dns request ppp ipcp address accept -- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE
On 2/10/2012 12:04 PM, Yuriy B. Borysov wrote:
Как только включаю:
aaa authentication ppp default group radius
PPPOE перестает подключаться.
Тогда попробуй не использовать метод default. Не помню уже точно, как описывается это на ppptp virtual-template, но фишка в том, чтобы писать aaa authentication ppp pptpmethod group radius и на Virtual-Template писать аутентификацию на метод pptpmethod -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ "Справа не в церкві і не в наркотиках. Справа у відповідальності та вдячності. Якщо в тебе це є, маєш шанс померти не останньою скотиною." (с) С.Жадан, "Ворошиловград"
On Fri, Feb 10, 2012 at 12:04:07PM +0200, Yuriy B. Borysov wrote:
Hi!
On Fri, Feb 10, 2012 at 11:53:15AM +0200, Vladimir Litovka writes:
Привет,
видимо, я не совсем понимаю вопрос.
Для подключения клиентом по pppoe тебе Radius вообще не требуется - ты username/пароль передаешь в настройках Dialer:
Я тоже так думал, но, как оказалось, фик.
jimho, благородный дон наступает на то, что ppp может аутенифицировать "в обе стороны" (то есть как только ты настраиваешь aaa - твоя кошка начинает запрашивать аутенификацию у твоего провайдера pppoe). Как-то это отключается, но как - нужно искать. PS: ppp authentication chap callin - это не оно часом ? Для dialout- аутенификации по логике вещей команда должна бы назваться ... callout.
Вот настройки aaa:
aaa new-model ! ! aaa authentication username-prompt "login: " aaa authentication login default local aaa authentication login userauthen group radius aaa authentication ppp default local aaa authorization exec default local aaa authorization network default group radius aaa authorization network groupauthor local aaa accounting network default start-stop group radius aaa accounting network useracc start-stop group radius
Как только включаю:
aaa authentication ppp default group radius
PPPOE перестает подключаться.
Настройки на dialer такие:
interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside no ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname pppoe@isp ppp chap password 7 144234285FKJH7A7B7671 ppp ipcp dns request ppp ipcp address accept
-- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE
-- In theory, there is no difference between theory and practice. But, in practice, there is.
participants (4)
-
Alexandre Snarskii -
Oleh Hrynchuk -
Vladimir Litovka -
Yuriy B. Borysov