NAS-IP-Address

potlaty · Вт апр 15, 2008 6:02 pm

Дела обстоят следующим образом:
Сервер: Intel Celeron 1200, 128MB, Linux Debian Etch (4.0r0)

сетевые интерфейсы:

eth0 (смотрит в сеть):
- ip: 192.168.1.1
  netmask: 255.255.255.0
eth1 (подключен к ADSL модему):
- ip: 192.168.0.1
  netmask: 255.255.255.0
  gateway: 192.168.0.100

Настройку делал по http://omsk.lug.ru/Abills
Интерфейс работает без проблем.
System configuration -> NAS:

IP: 192.168.1.1
Name: пусто
Radius NAS-Identifier: пусто
Description: пусто
Type: pppd:pppd + Radius plugin (linux)
Alive: 60
RADIUS Parameters: Acct-Interim-Interval=60

IP POOL не задан.

Добавил VPN пользователя potlaty и поставил ему в настройках NAS, который описан выше.
При подключении Ошибка 619 "Имя пользователя или пароль недопустимы в данном домене".

запустил freeradius -X:
radtest potlaty potlaty 127.0.0.1:1812 0 radsecret 0 192.168.1.1
отрабатывает нормально, пользователь получает параметры.
При подключении с удалённого компа:
в логах при запуске rauth.pl: "Unknow server 192.168.0.1"
в логах abills: "AUTH [potlaty] NAS: 0 unknow server 192.168.0.1 [2] ERROR_NOT_EXIST"

Я просто не могу понять ОТКУДА он берёт адрес 192.168.0.1, я его при настройки НИГДЕ не писал, единственное место, где он всречается это в описании интерфейса eth1. Как я понимаю radius берёт параметры NAS из базы, которые прикреплены к моему пользователю potlaty. НО откуда такой 192.168.0.1???

P.S.
читал на форуме, много похожих тем. Единственное что нашёл, что мне не очень понравилось так это то что в /usr/abills/Abills/nas.pl указан неверный путь для параметра RADCLIENT.

Заранее спасибо.

ran · Сообщение **ran** » Вт апр 15, 2008 6:19 pm

System configuration -> NAS:

IP: 192.168.1.1

попробуй поставить 192.168.0.1

IP POOL не задан.

а какие ж адреса на клиентский конец туннеля назначаться будут?

potlaty · Вт апр 15, 2008 8:21 pm

попробуй поставить 192.168.0.1

при подключении в винде пишет, конфликт адресов, поэтому не подключит.

а какие ж адреса на клиентский конец туннеля назначаться будут?

Я так понимаю если это ошибка, то она вылезет позже, а не "Unknow server"

ran · Сообщение **ran** » Вт апр 15, 2008 9:37 pm

при подключении в винде пишет, конфликт адресов, поэтому не подключит.

какая нафиг винда??? в конфиге NAS пропиши IP: 192.168.0.1

Я так понимаю если это ошибка, то она вылезет позже, а не "Unknow server"

не намного позже

пул адресов нас - это адреса, назначаемые туннельным сервером на клиентский конец туннеля... ну и кое-что ещё

ran · Сообщение **ran** » Вт апр 15, 2008 9:41 pm

кстати, если не секрет... а зачем тебе ваще ip адрес на eth1?

вот если ты его уберёшь, то можешь оставить и 192.168.1.1

NiTr0 · Ср апр 16, 2008 8:23 am

ran писал(а):а зачем тебе ваще ip адрес на eth1?

подозреваю, нужен для конфигурирования мопеда

а может еще мопед и как роутер работает........

ran · Сообщение **ran** » Ср апр 16, 2008 9:05 am

а может еще мопед и как роутер работает........

ну разве что так...

potlaty · Ср апр 16, 2008 2:36 pm

Просто на страничке http://abills.net.ua/wiki/doku.php?id=a ... s:other:ru в мане по установке для Debian написано при конфигурировании NAS:

IP ***.***.***.*** (Указываем ip сервера, смотрящего в локалку)

в конфиге NAS пропиши IP: 192.168.0.1

ты имеешь в виду System configuration -> NAS?? Просто я не могу понять откуда он вообще берёт 192.168.0.1 если я его нигде не указывал?

кстати, если не секрет... а зачем тебе ваще ip адрес на eth1?

чтобы после подключения сделать nat, запускаю скрипт следующего содержания:

echo 1 > /proc/sys/net/ipv4/ip_forward
INET_IP=192.168.0.1
INET_GW=192.168.0.100
iptables -t nat -A POSTROUTING --source 10.8.0.0/24 -o eth1 -j SNAT --to-source $INET_IP
ip route add default via $INET_GW dev eth1 table inet

где 10.8.0.0/24 - IP-POOL для клиентов.

Главный вопрос, что я не могу понять:
Откуда берётся NAS-IP-Address, который передаётся пользователю? Тот из базы, который разрешён для пользователя или где-то в настройках радиуса?

chtito · Ср апр 16, 2008 3:04 pm

Откуда берётся NAS-IP-Address, который передаётся пользователю? Тот из базы, который разрешён для пользователя или где-то в настройках радиуса?

NAS-IP-Address - адрес NAS, от имени которого посылается запрос RADIUS серверу. Автоматически не вычисляется, а передается RADIUS клиентом серверу как один из атрибутов, наравне с логином и паролем пользователя.

Tiger · Ср апр 16, 2008 3:09 pm

potlaty писал(а):
чтобы после подключения сделать nat, запускаю скрипт следующего содержания:

echo 1 > /proc/sys/net/ipv4/ip_forward
INET_IP=192.168.0.1
INET_GW=192.168.0.100
iptables -t nat -A POSTROUTING --source 10.8.0.0/24 -o eth1 -j SNAT --to-source $INET_IP
ip route add default via $INET_GW dev eth1 table inet

где 10.8.0.0/24 - IP-POOL для клиентов.

Главный вопрос, что я не могу понять:
Откуда берётся NAS-IP-Address, который передаётся пользователю? Тот из базы, который разрешён для пользователя или где-то в настройках радиуса?

Вот мой нат на дебиане

Код: Выделить всё


iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables --append FORWARD -s 172.0.0.0/24 -j ACCEPT

Где 172.0.0.0/24 -клиенты,
ppp0 - интерфейс рррое на провайдера

Что касается

Откуда берётся NAS-IP-Address

смотри ТУТ
Я уже наступал на эти грабли.

NiTr0 · Ср апр 16, 2008 3:29 pm

Я тоже сталкивался с проблемой, когда после переноса сервера на другую машину (с более свежей ОС, но конфиги скопированы старые, в т.ч. и все /etc/sysconfig/network, ессно - с подправленными маками) менялся адрес NAS в атрибутах, отсылаемых сервером. Кто виноват и что делать - ответа не нашел... radiusclient-ng, идущий дефолтно в комплекте оси, привязку к IP не понимает - хотя мануал на него утверждает обратное

После пары часов ночных извращений было решено забить на это и вписать в биллинг тот адрес, который шлет клиент.

ran · Сообщение **ran** » Чт апр 17, 2008 8:57 am

После пары часов ночных извращений было решено забить на это и вписать в биллинг тот адрес, который шлет клиент.

ну это если пптп... а вот у меня пппое

там никаких ип нету

и из каких соображений получается ип наса ваще непонятно... я в таких случаях просто перебираю ип ифейсов рутера и прописываю как адрес наса... на одном из них обязательно попадаю

а почему так я тоже не въехал

ran · Сообщение **ran** » Чт апр 17, 2008 9:32 am

потлатый писал(а):чтобы после подключения сделать nat, запускаю скрипт следующего содержания:

echo 1 > /proc/sys/net/ipv4/ip_forward
INET_IP=192.168.0.1
INET_GW=192.168.0.100
iptables -t nat -A POSTROUTING --source 10.8.0.0/24 -o eth1 -j SNAT --to-source $INET_IP
ip route add default via $INET_GW dev eth1 table inet

где 10.8.0.0/24 - IP-POOL для клиентов.

ну начит либо у тебя действительно мопед - рутер и авторизация с провом происходит на нём - тада правильно... (разве что смущает нат на приватный ип) а вот если бридж и авторизация (скажем через пппое) - на биллинге, тада неправильно маскарадить нада на туннель и ип и шлюз на eth1 в принципе не нужен... кста, а зачем роут через тейбл инет? мейн не хватает? или у тебя несколько внешних каналов?

potlaty · Чт апр 17, 2008 1:42 pm

а зачем роут через тейбл инет? мейн не хватает? или у тебя несколько внешних каналов?

Дело в том, что до того как поставить abills, стояло просто vpn подключение через pptpd, пароли в chap-secrets. И вот там этим скриптом я делал nat. Честно говоря это скрипт мне прислал друг.

Вообщем как я понял мне нужно убрать ip на eth1 и в System Configuration -> NAS задать тот nas server, который просит система (а иммено "unknow server 192.168.0.1").

P.S. или же попробовать настроить pppoe

ran · Сообщение **ran** » Чт апр 17, 2008 2:42 pm

Вообщем как я понял мне нужно убрать ip на eth1

а эт я ненаю... я ж писал выше - в зависимости от того, как ты подключаешься к провайдеру

P.S. или же попробовать настроить pppoe

а какая разница (в плане нас) - те же яйца вид сбоку... для начала попробуй то что я писал:

в конфиге NAS пропиши IP: 192.168.0.1