Сообщения без ответов | Активные темы Текущее время: 21 сен 2020, 15:17



Ответить на тему  [ Сообщений: 12 ] 
PPTP (Cisco-server, Addpac-client) 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
Здравствуйте, господа.

Пробую решить "в лоб"(без Радиуса) задачку об идентификации pptp клиента.
Есть 2811(сервер) и голосовой шлюз Addpac(клиент).
Addpac кое-как умеет pptp (динамическую маршрутизацию не умеет).

На кошке пишу:

ip dhcp pool N1 (Private)
import all
client-identifier 5456.4552.5f59
host 10.10.225.200 255.255.255.0
default-router 10.10.225.1

ip dhcp pool N2 (Global)
import all
network 10.10.225.0 255.255.255.0
default-router 10.10.225.1

interface Virtual-Template1
ip unnumbered Loopback1000
ip mtu 1400
autodetect encapsulation ppp
peer default ip address dhcp-pool N1 N2
ppp authentication chap callin


aaa - локально

В результате, при подключении, клиент "пролетает" N1 и берет адрес из N2 с идентификатором 5456.4552.5f59

TEST>sh ip dhcp bi
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
10.10.225.129 5456.4552.5f59 Infinite On-demand
10.10.225.200 5456.4552.5f59 Infinite Manual


Публиковал
здесь: http://www.opennet.ru/openforum/vsluhfo ... 21262.html
и здесь: http://www.certification.ru/cgi-bin/for ... d&id=37262

Но, то ли, вопрос глупый, то ли, никто не знает ;)

Кстати, не понимаю откуда, вообще, эта "цифра"(5456.4552.5f59) появляется...

Еcть ли, все таки, возможность привязать клиента к определенному адресу без Радиуса, при условии, что IP статический и, понятно, что логин клиента я знаю?

P.S. Здесь нашел такую тему: viewtopic.php?f=2&t=141&start=0&hilit=pptp


06 июл 2010, 20:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 125
1) А не пробовали сниффером смотреть, что реально прилетает/улетает?
2) А не пробовали вместо client-id ставить hardware-address ? (ну это так, просто для проверки)


06 июл 2010, 20:54
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
1. Пробовал, конечно ;)
И снифер и дебаг выдавали, собственно, одно и то же:
a) Приходит клиент
b) Авторизуется
с) Попадает в набор пулов
d) Перебирает, и получает адрес из "общего"....
Могу выложить...
Там пакетов 20.

2. ;)

P.S. Повторюсь.... Я не нашел ни одной "привязки" к 5456.4552.5f59....
Ну, ни на что не похоже (имеется в виду адреса адаптеров)


06 июл 2010, 21:40
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 125
Интересно было бы на сниффер посмотреть...


07 июл 2010, 08:46
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Если указать эту цифирь как hardware-address чего пишет в дебаге?

ПОхоже, что эта цифирь - какой-то "эмулятор" МАС-адреса. Т.е. эта железка себя как -то должна идентифицировать, но ей нечем :)

ЗЫ Кстати, а на ней есть реальный МАС-адрес? Почему не привязать по нему в пуле N1?


07 июл 2010, 09:16
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
> Если указать эту цифирь как hardware-address чего пишет в дебаге?


> ПОхоже, что эта цифирь - какой-то "эмулятор" МАС-адреса. Т.е. эта железка себя как -то должна идентифицировать, но ей нечем :)
Вот и у меня такие мысли возникали...

> ЗЫ Кстати, а на ней есть реальный МАС-адрес? Почему не привязать по нему в пуле N1?
Пробовал... Не хиляет.

Вот кусок дебага...
Правда, по DHCP, он какой то "куцый".....
Код:
Jul  6 14:36:08.431: VPDN Received L2TUN socket message <Dataplane UP>
Jul  6 14:36:08.431: ppp401 PPP: Bind to [Virtual-Access3]
Jul  6 14:36:08.431: Vi3 PPP: Send Message[Static Bind Response]
Jul  6 14:36:08.435: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
L2X_ADJ: Vi3:midchain adj reqd for ip 0.0.0.0, cid 0
L2X_ADJ: Vi3:midchain adj reqd for ip 0.0.0.0, cid 0
Jul  6 14:36:08.439: Vi3 PPP: Phase is AUTHENTICATING, Authenticated User
Jul  6 14:36:08.439: Vi3 PPP: Sent LCP AUTHOR Request
Jul  6 14:36:08.439: Vi3 PPP: Sent IPCP AUTHOR Request
Jul  6 14:36:08.443: Vi3 LCP: Received AAA AUTHOR Response PASS
Jul  6 14:36:08.443: Vi3 IPCP: Received AAA AUTHOR Response PASS
Jul  6 14:36:08.443: Vi3 CHAP: O SUCCESS id 1 len 4
Jul  6 14:36:08.455: Vi3 PPP: Phase is UP
Jul  6 14:36:08.455: Vi3 IPCP: O CONFREQ [Closed] id 1 len 10
Jul  6 14:36:08.455: Vi3 IPCP:    Address 10.10.225.1 (0x03060A0AE101)
Jul  6 14:36:08.455: Vi3 PPP: Process pending ncp packets
Jul  6 14:36:08.459: Vi3 IPCP: I CONFREQ [REQsent] id 85 len 22
Jul  6 14:36:08.459: Vi3 IPCP:    Address 0.0.0.0 (0x030600000000)
Jul  6 14:36:08.459: Vi3 IPCP:    PrimaryDNS 83.242.139.10 (0x810653F28B0A)
Jul  6 14:36:08.459: Vi3 IPCP:    SecondaryDNS 83.242.140.10 (0x830653F28C0A)
Jul  6 14:36:08.459: Vi3 AAA/AUTHOR/IPCP: Start.  Her address 0.0.0.0, we want 0.0.0.0
Jul  6 14:36:08.459: Vi3 AAA/AUTHOR/IPCP: Done.  Her address 0.0.0.0, we want 0.0.0.0
Jul  6 14:36:08.459: DHCPD: allocate request for client PPP_USER on Virtual-Access3.
Jul  6 14:36:08.459: DHCPD: Pool N1 specified.
TEST#
Jul  6 14:36:08.459: DHCPD: Interface Virtual-Access3 is not associated with any VRF.
Jul  6 14:36:08.459: DHCPD: allocate request for client PPP_USER on Virtual-Access3.
Jul  6 14:36:08.463: DHCPD: Pool N2 specified.
Jul  6 14:36:08.463: DHCPD: Interface Virtual-Access3 is not associated with any VRF.
Jul  6 14:36:08.463: DHCPD: found pool N2 for client PPP_USER.
Jul  6 14:36:08.463: DHCPD: Allocate an address without class information (10.10.225.0)
TEST#
Jul  6 14:36:09.435: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up
Jul  6 14:36:10.451: Vi3 IPCP: Timeout: State REQsent
Jul  6 14:36:10.451: Vi3 IPCP: O CONFREQ [REQsent] id 2 len 10
Jul  6 14:36:10.451: Vi3 IPCP:    Address 10.10.225.1 (0x03060A0AE101)
Jul  6 14:36:10.463: DHCPD: Adding binding to radix tree (10.10.225.128)
Jul  6 14:36:10.463: DHCPD: Adding binding to hash tree
Jul  6 14:36:10.463: DHCPD: assigned IP address 10.10.225.128 to client 5456.4552.5f59.
Jul  6 14:36:10.463: Vi3 IPCP: Pool returned 10.10.225.128
Jul  6 14:36:10.463: DHCP: look up prim DNS for Vi3 from any any ret: fail
Jul  6 14:36:10.463: DHCP: look up sec DNS for Vi3 from any any ret: fail
Jul  6 14:36:10.463: Vi3 IPCP: O CONFNAK [REQsent] id 85 len 10
Jul  6 14:36:10.463: Vi3 IPCP:    Address 10.10.225.128 (0x03060A0AE180)
Jul  6 14:36:10.463: Vi3 IPCP: I CONFACK [REQsent] id 1 len 10
Jul  6 14:36:10.463: Vi3 IPCP:    Address 10.10.225.1 (0x03060A0AE101)
Jul  6 14:36:10.463: Vi3 IPCP: ID 1 didn't match 2, discarding packet
Jul  6 14:36:10.463: Vi3 IPCP: I CONFACK [REQsent] id 2 len 10
Jul  6 14:36:10.463: Vi3 IPCP:    Address 10.10.225.1 (0x03060A0AE101)
Jul  6 14:36:10.467: Vi3 IPCP: I CONFREQ [ACKrcvd] id 86 len 22
Jul  6 14:36:10.467: Vi3 IPCP:    Address 10.10.225.128 (0x03060A0AE180)
Jul  6 14:36:10.467: Vi3 IPCP:    PrimaryDNS 83.242.139.10 (0x810653F28B0A)
Jul  6 14:36:10.467: Vi3 IPCP:    SecondaryDNS 83.242.140.10 (0x830653F28C0A)
Jul  6 14:36:10.467: DHCP: look up prim DNS for Vi3 from any any ret: fail
Jul  6 14:36:10.467: DHCP: look up sec DNS for Vi3 from any any ret: fail
Jul  6 14:36:10.467: Vi3 IPCP: O CONFACK [ACKrcvd] id 86 len 22
Jul  6 14:36:10.471: Vi3 IPCP:    Address 10.10.225.128 (0x03060A0AE180)
Jul  6 14:36:10.471: Vi3 IPCP:    PrimaryDNS 83.242.139.10 (0x810653F28B0A)
Jul  6 14:36:10.471: Vi3 IPCP:    SecondaryDNS 83.242.140.10 (0x830653F28C0A)
Jul  6 14:36:10.471: Vi3 IPCP: State is Open


07 июл 2010, 11:34
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
Следующая серия ;)
Решил подключиться к той же кошке windows клиентом.
Появился "MAC" "WAN (PPP/SLIP) Interface"
Но, один фик, ситуация та же....
Опять получаю адрес из "общего" пула...
И, опять, это "загадочное" значение "client 5456.4552.5f59"
Дебаг:

Код:
Jul  7 17:20:09.001: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
Jul  7 17:20:09.041: DHCPD: allocate request for client PPP_USER on Virtual-Access3.
Jul  7 17:20:09.041: DHCPD: Pool ME specified.
Jul  7 17:20:09.041: DHCPD: Interface Virtual-Access3 is not associated with any VRF.
Jul  7 17:20:09.041: DHCPD: allocate request for client PPP_USER on Virtual-Access3.
Jul  7 17:20:09.041: DHCPD: Pool N2 specified.
Jul  7 17:20:09.041: DHCPD: Interface Virtual-Access3 is not associated with any VRF.
TEST(config)#
Jul  7 17:20:09.041: DHCPD: found pool N2 for client PPP_USER.
Jul  7 17:20:09.041: DHCPD: Allocate an address without class information (10.10.225.0)
TEST(config)#
Jul  7 17:20:10.001: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up
TEST(config)#
Jul  7 17:20:11.041: DHCPD: Adding binding to radix tree (10.10.225.143)
Jul  7 17:20:11.041: DHCPD: Adding binding to hash tree
Jul  7 17:20:11.041: DHCPD: assigned IP address 10.10.225.143 to client 5456.4552.5f59.
Jul  7 17:20:11.313: DHCPD: DHCPINFORM received from client 0800.5345.0000.00 (10.10.225.143).
Jul  7 17:20:11.313: DHCPD: Sending DHCPACK to client 0800.5345.0000.00 (10.10.225.143).
Jul  7 17:20:11.313: DHCPD: child  pool: 10.10.225.0 / 255.255.255.0 (N2)
Jul  7 17:20:11.313: DHCPD: pool N2 has no parent.
Jul  7 17:20:11.313: DHCPD: child  pool: 10.10.225.0 / 255.255.255.0 (N2)
Jul  7 17:20:11.313: DHCPD: pool N2 has no parent.
TEST(config)#
Jul  7 17:20:11.313: DHCPD: child  pool: 10.10.225.0 / 255.255.255.0 (N2)
Jul  7 17:20:11.313: DHCPD: pool N2 has no parent.
Jul  7 17:20:11.313: DHCPD: broadcasting BOOTREPLY to client 0053.4500.0000.


В пуле "ME" пробовал варианты для client-id:
0800.5345.0000.00
0100.5345.0000.00
0053.4500.0000


TEST(dhcp-config)#do sh ip dhcp bi
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
10.10.225.145 5456.4552.5f59 Infinite On-demand
10.10.225.210 0X00.5345.0000.00 Infinite Manual


Вот думаю, есть ли смысл дальше котов мучить?
Или такая конструкция (pptp-dhcp_pool), в принципе, не должна работать?


07 июл 2010, 20:42
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
попробуйте указать origin file


07 июл 2010, 23:04
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
Это, точно, "не к туда".....
Данный файл, лишь способ не "перегружать" конфиг, чтобы не писать отдельную секцию для каждого "статика"....

Но, не суть....
Вот, наткнулся:
http://www.opennet.ru/openforum/vsluhfo ... 21155.html

Есть подозрение, что данная конструкция заработает....
По, крайней мере, windows клиент, получил нужный адрес...
Продолжу тестирование.... Отпишусь....


07 июл 2010, 23:44
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
из файла он немного по-другому читает, т.к. тот иначе устроен. впрочем, дело хозяйское


08 июл 2010, 00:03
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
Фух...
Не драки ради.....А ради понимания...
Creating the Static Mapping Text File

Perform this task to create the static mapping text file. You will input your addresses in the text file, which is stored in the DHCP database for the DHCP server to read. There is no limit on the number of addresses in the file. The file format has the following elements:

•Time the file was created

•Database version number

•IP address

•Hardware type

•Hardware address

•Lease expiration


•End-of-file designator

See Table 1 for more details about the format of the text file.

The following is a sample static mapping text file:

*time* Jan 21 2005 03:52 PM

*version* 2

!IP address Type Hardware address Lease expiration

10.0.0.4 /24 1 0090.bff6.081e Infinite

10.0.0.5 /28 id 00b7.0813.88f1.66 Infinite

10.0.0.2 /21 1 0090.bff6.081d Infinite

*end*


Еще раз повторюсь, что нет ни одной строчки, которую нельзя прописать "руками" в секции "ip dhcp pool"....
Если есть пример обратного, то опубликуйте, пожалуйста....
И мне и вам будет полезно....


08 июл 2010, 00:33
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 163
Спасибо всем.
Тему можно закрывать.
Такая конструкция заработала:

Код:
interface Virtual-Template1
 ip unnumbered Loopback1000
 ip mtu 1400
 autodetect encapsulation ppp
 ppp authentication chap callin
 
 username PPP_USER password *
 username PPP_USER aaa attribute list PPP_LIST
 aaa attribute list PPP_LIST
 attribute type addr 10.10.225.205 service ppp protocol ip mandatory


08 июл 2010, 13:27
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB