Уточнение по поводу NAS

[Shturm_N]

Скажите, пожалуйста, в пункте вебинтерфейса "/ Система/ Сервер доступа/" под NAS понимается сервер с радиусом или сервер с pptp/pppoe? Изучаю документацию но начинаю уже путаться в этом параметре и нет уже однозначной уверенности...

[zakachkin]

Скажите, пожалуйста, в пункте вебинтерфейса "/ Система/ Сервер доступа/" под NAS понимается сервер с радиусом или сервер с pptp/pppoe? Изучаю документацию но начинаю уже путаться в этом параметре и нет уже однозначной уверенности...

Сервер с pptp/pppoe и radiusclient.

[Shturm_N]

Тогда помогите, пожалуйста, советом.
Ситуация такова. Есть три браса которые должны работать с радиусом. На каждом из них пптп + пппое + радиусклиент. Если я в вебинтерфейсе добавляю NAS с адресом 127.0.0.1 и пустым идентификатором - все работает. Добавление идентификатора или смена ip на адресс фрирадиуса приводит к тому, что авторизация не проходит а в логах pptp появляется

Код: Выделить всё

pppd[11930]: sent [CHAP Failure id=0xd6 "Unknow server '10.50.0.15'\n"]

(10.50.0.15 - адрес сервера с мускулом, абиллсом и фрирадиусом)
Пробовал добавлять в вебинтерфейсе в настройках NAS записи о брасах. В результате получаю

Код: Выделить всё

pppd[11930]: sent [CHAP Failure id=0xd6 "Unknow server '10.50.0.12'\n"]

(10.50.0.12 - адрес сервера пптп + пппое + радиусклиент, т.е. браса)

Факт того, что всё работает с адресом 127.0.0.1 свидетельствует о том, что в принципе связка работает. Но не до конца. В ветке http://abills.asmodeus.com.ua/forum/vie ... 2&start=15 описана похожая ситуация. Решили правильным описанием Radius NAS-Identifier либо его очисткой. Я его поправил и привел в соответствие с днс. Не помогло. Очистка параметра тоже не помогает. Чувствую, что я близок к решению но что-то я упускаю из виду...... Подскажите, где я не прав?

[Shturm_N]

На скрине видно как описаны NAS на данный момент.

Снимок.png (131.87 КБ) 18763 просмотра

При попытке подключения абонента в логи на freeradius падает:

Код: Выделить всё

Waking up in 2.7 seconds.
rad_recv: Access-Request packet from host 10.50.0.12 port 48381, id=162, length=145
        Service-Type = Framed-User
        Framed-Protocol = PPP
        User-Name = "0982"
        MS-CHAP-Challenge = 0x872ed2d687b55464720159f3a51f654a
        MS-CHAP2-Response = 0x61005455f4651ab7396b42200d84fe9d998800000000000000000b8143deffed39d19a77cf12d624699fe3220ede8ac9f11e
        Calling-Station-Id = "10.57.0.161"
        NAS-IP-Address = 10.50.0.12
        NAS-Port = 0
+- entering group authorize
++[preprocess] returns ok
Use of uninitialized value in hash element at /usr/abills/libexec/rauth.pl line 145.
Use of uninitialized value in hash element at /usr/abills/libexec/rauth.pl line 152.
Exec-Program output: Cleartext-Password := "ixp440xx"
Exec-Program-Wait: value-pairs: Cleartext-Password := "ixp440xx"
Exec-Program: returned: 0
++[abills_preauth] returns ok
  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'
++[mschap] returns ok
    users: Matched entry DEFAULT at line 205
++[files] returns ok
Exec-Program output: Reply-Message = "Unknow server '10.50.0.12'" 
Exec-Program-Wait: value-pairs: Reply-Message = "Unknow server '10.50.0.12'"
Exec-Program: returned: 1
++[abills_auth] returns reject
Invalid user: [0982/<via Auth-Type = mschap>] (from client vpn2 port 0 cli 10.57.0.161)
  Found Post-Auth-Type Reject
+- entering group REJECT
Exec-Program output: 
Exec-Program: returned: 0
++[abills_postauth] returns ok
Delaying reject of request 14 for 1 seconds
Going to the next request
Waking up in 0.4 seconds.
Cleaning up request 13 ID 161 with timestamp +108
Waking up in 0.2 seconds.
Sending delayed reject for request 14
Sending Access-Reject of id 162 to 10.50.0.12 port 48381
        Reply-Message = "Unknow server '10.50.0.12'"
Waking up in 4.9 seconds.

В логах PPTP на брасе:

Код: Выделить всё

using channel 21015
Using interface ppp0
Connect: ppp0 <--> /dev/pts/0
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x7b90eea5> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <magic 0x738c6a96> <pcomp> <accomp> <callback CBCP>]
sent [LCP ConfRej id=0x0 <callback CBCP>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x7b90eea5> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x738c6a96> <pcomp> <accomp>]
sent [LCP ConfAck id=0x1 <mru 1400> <magic 0x738c6a96> <pcomp> <accomp>]
sent [LCP EchoReq id=0x0 magic=0x7b90eea5]
sent [CHAP Challenge id=0x32 <363acffe4ae77765d613f437bcc22fd7>, name = "vpn2"]
rcvd [LCP Ident id=0x2 magic=0x738c6a96 "MSRASV5.10"]
rcvd [LCP Ident id=0x3 magic=0x738c6a96 "MSRAS-0-MICROSOF-6F49BF"]
rcvd [LCP EchoRep id=0x0 magic=0x738c6a96]
rcvd [CHAP Response id=0x32 <20a8386f7fec98fd825cd673a116264a0000000000000000babe68ce0652b13edb5e77cf9391782f888ba54024fcd6bf00>, name = "xxx"]
Peer xxx failed CHAP authentication
sent [CHAP Failure id=0x32 "Unknow server '127.0.0.1'\n"]
sent [LCP TermReq id=0x2 "Authentication failed"]
rcvd [LCP TermAck id=0x2 "Authentication failed"]
Connection terminated.
RADATTR plugin removed file /var/run/radattr.ppp0.

При этом на брасе:

Код: Выделить всё

vpn2:/# cat /etc/hosts
127.0.0.1       localhost
#127.0.0.1       vpn2.skynet.lg.ua       vpn2
10.50.0.10      vpn1.skynet.lg.ua       vpn1
10.50.0.11      vpn3.skynet.lg.ua       vpn3
10.50.0.12      vpn2.skynet.lg.ua       vpn2
10.50.0.15      billing.skynet.lg.ua    billing

Если раскомментировать на брасе строку "127.0.0.1 vpn2.skynet.lg.ua vpn2" и сменить в abillse у первого NAS на ip на 127.0.0.1 и убрать идентификатор - все работает. Но хотелось бы поднять систему правильно и иметь возможность сбрасывать сессии на брасах...

[Shturm_N]

Если я задаю вопрос который уже поднимался или описан в документации, ткните носом. Уже несколько раз вдумчиво перечитал документацию по установке и описание модуля Dv, прочесал форум, погуглил. Просветления не наступает. Уже не знаю в кукую сторону думать.... Хоть пинок дайте куда рыть...
На данный момент два браса подключены к новому биллингу и успешно работают но все светятся висящими на NAS 127.0.0.1 и много зелёных... Порты то одинаковые могут занять на разных NAS. Сессию руками удалённо я могу оборвать, но так как абиллс не в курсе того, что сессии не на 127.0.0.1 - сбросить не в состоянии.

[NiTr0]

Попробуйте для проверки поля 'Название' насов заполнить. Влияет ли это на что-либо - не знаю, в код лезть лень, но если выборка идет по имени наса - такое вполне может наблюдаться.

P.S. NAS identifier - это НЕ название наса, а аттрибут, передаваемый радиус-клиентом.

[Shturm_N]

Названия НАСов тоже пробовал дописывать. Ситуация не меняется.

[zakachkin]

Названия НАСов тоже пробовал дописывать. Ситуация не меняется.

А в NAS так :
/etc/hosts

Код: Выделить всё

192.168.0.4            localhost

Остальное заремарино
команда

Код: Выделить всё

hostname -i

Дожна выплюнуть IP который вписан в биллинге в настройках наса
в /pach/to/radiusclient/server

Код: Выделить всё

ip.radius.ser.vera                              secret

Ну а radiusclient.conf я думаю вы знаете что делать.

PS поле пользователь на картинке заполнять не надо... оно у меня само заполнилось... зачем-то-)

[Shturm_N]

Огромнейшее спасибо!..
Получилось.
Привел hosts к виду:

Код: Выделить всё

#127.0.0.1       vpn2.skynet.lg.ua       vpn2
10.50.0.11            localhost 

И убрал из настроек NAS записи Radius NAS-Identifier.
Так работает. Сессии разошлись на все три НАС и обрываются удаленно.
Ещё раз огромное спасибо за помощь. Три недели не мог понять почему не работает.

[Shturm_N]

Есть следующая проблема при роботе на этой схеме. В детализацию радиуса падает:

Код: Выделить всё

Acct-Session-Id = "4D19C361395000"
User-Name = "vdovchenko"
Acct-Status-Type = Stop
Service-Type = Framed-User
Framed-Protocol = PPP
Acct-Authentic = RADIUS
Acct-Session-Time = 254
Acct-Output-Octets = 37916016
Acct-Input-Octets = 1045888
Acct-Output-Packets = 28592
Acct-Input-Packets = 17865
Calling-Station-Id = "10.63.13.12"
NAS-Port-Type = Async
Acct-Terminate-Cause = User-Request
Framed-IP-Address = 10.113.13.12
NAS-IP-Address = 10.50.0.12
NAS-Port = 4
Acct-Delay-Time = 0
Timestamp = 1293534303
Request-Authenticator = Verified

В sysylog

Код: Выделить всё

Dec 28 20:16:05 vpn2 pppd[31644]: Plugin radius.so loaded.
Dec 28 20:16:05 vpn2 pppd[31644]: RADIUS plugin initialized.
Dec 28 20:16:05 vpn2 pppd[31644]: Plugin radattr.so loaded.
Dec 28 20:16:05 vpn2 pppd[31644]: RADATTR plugin initialized.
Dec 28 20:16:05 vpn2 pppd[31644]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Dec 28 20:16:05 vpn2 pppd[31644]: pptpd-logwtmp: $Version$
Dec 28 20:16:05 vpn2 pppd[31644]: pppd 2.4.4 started by root, uid 0
Dec 28 20:16:05 vpn2 pppd[31644]: using channel 5530
Dec 28 20:16:05 vpn2 pppd[31644]: Using interface ppp25
Dec 28 20:16:05 vpn2 pppd[31644]: Connect: ppp25 <--> /dev/pts/29
Dec 28 20:16:05 vpn2 pppd[31644]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x9a239646> <pcomp> <accomp>]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP ConfReq id=0x0 <mru 1400> <magic 0x3e54334f> <pcomp> <accomp> <callback CBCP>]
Dec 28 20:16:05 vpn2 pppd[31644]: sent [LCP ConfRej id=0x0 <callback CBCP>]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x9a239646> <pcomp> <accomp>]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x3e54334f> <pcomp> <accomp>]
Dec 28 20:16:05 vpn2 pppd[31644]: sent [LCP ConfAck id=0x1 <mru 1400> <magic 0x3e54334f> <pcomp> <accomp>]
Dec 28 20:16:05 vpn2 pppd[31644]: sent [LCP EchoReq id=0x0 magic=0x9a239646]
Dec 28 20:16:05 vpn2 pppd[31644]: sent [CHAP Challenge id=0x1f <8c8ae9cc160cb7edd16ada3fe0eb6d76>, name = "vpn2"]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP Ident id=0x2 magic=0x3e54334f "MSRASV5.20"]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP Ident id=0x3 magic=0x3e54334f "MSRAS-0-\37777777604\37777777616\37777777614-\37777777617\37777777612"]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP Ident id=0x4 magic=0x3e54334f "\37777777741\377777777045\37777777665\37777777621\37777777735\37777777705F\37777777621\37777777757\37777777715x\37777777657Z\37777777771z"]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [LCP EchoRep id=0x0 magic=0x3e54334f]
Dec 28 20:16:05 vpn2 pppd[31644]: rcvd [CHAP Response id=0x1f <54f4320b4275263be4bc1496b6635d3200000000000000008a4dc0d327bb228a49d2473bb4b9fdde916a7921f787c38200>, name = "vdovchenko"]
Dec 28 20:16:06 vpn2 pppd[31644]: RADATTR plugin wrote 11 line(s) to file /var/run/radattr.ppp25.
Dec 28 20:16:06 vpn2 pppd[31644]: sent [CHAP Success id=0x1f "S=7ABD04BFE3357EA96A3D2C9B6DED1E248DDAFDEB"]
Dec 28 20:16:06 vpn2 pppd[31644]: sent [CCP ConfReq id=0x1 <mppe +H -M +S +L -D -C>]
Dec 28 20:16:06 vpn2 pppd[31644]: rcvd [IPV6CP ConfReq id=0x5 <addr fe80::08d1:ab13:2b88:1a2c>]
Dec 28 20:16:06 vpn2 pppd[31644]: Unsupported protocol 'IPv6 Control Protovol' (0x8057) received
Dec 28 20:16:06 vpn2 pppd[31644]: sent [LCP ProtRej id=0x2 80 57 01 05 00 0e 01 0a 08 d1 ab 13 2b 88 1a 2c]
Dec 28 20:16:06 vpn2 pppd[31644]: rcvd [CCP ConfReq id=0x6 <mppe +H -M +S -L -D -C>]
Dec 28 20:16:06 vpn2 pppd[31644]: sent [CCP ConfAck id=0x6 <mppe +H -M +S -L -D -C>]
Dec 28 20:16:06 vpn2 pppd[31644]: rcvd [IPCP ConfReq id=0x7 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-wins 0.0.0.0> <ms-dns3 0.0.0.0> <ms-wins 0.0.0.0>]
Dec 28 20:16:06 vpn2 pppd[31644]: sent [IPCP TermAck id=0x7]
Dec 28 20:16:06 vpn2 pppd[31644]: rcvd [CCP ConfNak id=0x1 <mppe +H -M +S -L -D -C>]
Dec 28 20:16:06 vpn2 pppd[31644]: sent [CCP ConfReq id=0x2 <mppe +H -M +S -L -D -C>]
Dec 28 20:16:06 vpn2 pppd[31644]: rcvd [CCP ConfAck id=0x2 <mppe +H -M +S -L -D -C>]
Dec 28 20:16:06 vpn2 pppd[31644]: MPPE 128-bit stateless compression enabled
Dec 28 20:16:06 vpn2 pppd[31644]: sent [IPCP ConfReq id=0x1 <addr 10.50.0.12>]
Dec 28 20:16:06 vpn2 pppd[31644]: rcvd [IPCP ConfAck id=0x1 <addr 10.50.0.12>]
Dec 28 20:16:07 vpn2 pppd[31644]: rcvd [IPCP ConfReq id=0x8 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-wins 0.0.0.0> <ms-dns3 0.0.0.0> <ms-wins 0.0.0.0>]
Dec 28 20:16:07 vpn2 pppd[31644]: sent [IPCP ConfRej id=0x8 <ms-wins 0.0.0.0> <ms-wins 0.0.0.0>]
Dec 28 20:16:07 vpn2 pppd[31644]: rcvd [IPCP ConfReq id=0x9 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
Dec 28 20:16:07 vpn2 pppd[31644]: sent [IPCP ConfNak id=0x9 <addr 10.113.13.12> <ms-dns1 10.50.0.15> <ms-dns3 195.8.56.15>]
Dec 28 20:16:07 vpn2 pppd[31644]: rcvd [IPCP ConfReq id=0xa <addr 10.113.13.12> <ms-dns1 10.50.0.15> <ms-dns3 195.8.56.15>]
Dec 28 20:16:07 vpn2 pppd[31644]: sent [IPCP ConfAck id=0xa <addr 10.113.13.12> <ms-dns1 10.50.0.15> <ms-dns3 195.8.56.15>]
Dec 28 20:16:07 vpn2 pppd[31644]: Cannot determine ethernet address for proxy ARP
Dec 28 20:16:07 vpn2 pppd[31644]: local  IP address 10.50.0.12
Dec 28 20:16:07 vpn2 pppd[31644]: remote IP address 10.113.13.12
Dec 28 20:16:07 vpn2 pppd[31644]: pptpd-logwtmp.so ip-up ppp25 vdovchenko 10.63.13.12
Dec 28 20:16:08 vpn2 pppd[31644]: Script /etc/ppp/ip-up started (pid 31699)
Dec 28 20:16:08 vpn2 pppd[31644]: Script /etc/ppp/ip-up finished (pid 31699), status = 0x1
Dec 28 20:20:04 vpn2 pppd[31644]: Hangup (SIGHUP)
Dec 28 20:20:04 vpn2 pppd[31644]: pptpd-logwtmp.so ip-down ppp25
Dec 28 20:20:06 vpn2 pppd[31644]: Connect time 4.0 minutes.
Dec 28 20:20:06 vpn2 pppd[31644]: Sent 35490249 bytes, received 727340 bytes.
Dec 28 20:20:06 vpn2 pppd[31644]: Script /etc/ppp/ip-down started (pid 32128)
Dec 28 20:20:06 vpn2 pppd[31644]: MPPE disabled
Dec 28 20:20:06 vpn2 pppd[31644]: sent [LCP TermReq id=0x3 "MPPE disabled"]
Dec 28 20:20:06 vpn2 pppd[31644]: sent [LCP TermReq id=0x4 "MPPE disabled"]
Dec 28 20:20:06 vpn2 pppd[31644]: Script /etc/ppp/ip-down finished (pid 32128), status = 0x0
Dec 28 20:20:06 vpn2 pppd[31644]: rcvd [LCP TermAck id=0x3 "MPPE disabled"]
Dec 28 20:20:06 vpn2 pppd[31644]: Connection terminated.
Dec 28 20:20:06 vpn2 pppd[31644]: RADATTR plugin removed file /var/run/radattr.ppp25.
Dec 28 20:20:06 vpn2 pppd[31644]: Exit.
Dec 28 20:20:06 vpn2 pptpd[31643]: CTRL: Reaping child PPP[31644]

Не пойму, что я упускаю?

[zakachkin]

А если без MPPE??
и еще добавте в биллинге в настройки NAS Radius параметр

Код: Выделить всё

Session-Octets-Limit=0

[Shturm_N]

А если без MPPE??

Без мппе и с ним одинаковая ситуация.

и еще добавте в биллинге в настройки NAS Radius параметр

Не помогло.

[Shturm_N]

Замечен ещё один симптом.
В syslog валит:

Код: Выделить всё

rc_send_server: no reply from RADIUS server billing.skynet.lg.ua:1813

При запуске freeradius -X появляется сообщение об открытии порта 1813. Хотя nmap говорит:

Код: Выделить всё

1813/tcp closed unknown

Пинг на billing.skynet.lg.ua идет.
Ну и сама запись billing.skynet.lg.ua в конфигах у меня отсутствует. Есть она только в настройках NAS в вебморде abills в пункте "Описание" и "Название". Я пока NAS с адресом 127.0.0.1 не удалял. На нем живет другой NAS (т.е. работает пока по старой схеме.). Сетка на 1.8к пользователей. Не могу позволить себе отладку на всех NAS одновременно. Клиенты съедят техподдержку....

[zakachkin]

Замечен ещё один симптом.
В syslog валит:

Код: Выделить всё

rc_send_server: no reply from RADIUS server billing.skynet.lg.ua:1813

При запуске freeradius -X появляется сообщение об открытии порта 1813. Хотя nmap говорит:

Код: Выделить всё

1813/tcp closed unknown

Radius это udp

Код: Выделить всё

netstat -nap|grep radius
udp        0      0 0.0.0.0:1812            0.0.0.0:*                           30421/radiusd       
udp        0      0 0.0.0.0:1813            0.0.0.0:*                           30421/radiusd      

[Shturm_N]

Код: Выделить всё

billing:~# netstat -nap|grep radius
udp        0      0 0.0.0.0:1812            0.0.0.0:*                           25872/freeradius
udp        0      0 0.0.0.0:1813            0.0.0.0:*                           25872/freeradius
udp        0      0 0.0.0.0:1814            0.0.0.0:*                           25872/freeradius

Вроде как нормально... Но:

Код: Выделить всё

..................
Dec 29 13:35:04 vpn2 pppd[23955]: Connect time 4.9 minutes.
Dec 29 13:35:04 vpn2 pppd[23964]: Connect time 4.8 minutes.
Dec 29 13:35:04 vpn2 pppd[24102]: Connect time 3.9 minutes.
Dec 29 13:35:04 vpn2 pppd[24017]: Connect time 4.8 minutes.
Dec 29 13:35:04 vpn2 pppd[24363]: Connect time 0.3 minutes.
Dec 29 13:35:23 vpn2 pppd[24520]: Connect time 0.2 minutes.
Dec 29 13:36:08 vpn2 pppd[24637]: Connect time 0.2 minutes.
.................