OpenForum RSS: выдавать IP-адрес по логину впн клиента https://www.opennet.dev/openforum/vsluhforumID6/18454.html Добрый день, подскажите пожалуйста есть ли возможность на cisco 871 выдавать IP-адрес впн клиенту неважно pptp или ipsec на основании его логина. Типа как для группы назначается пул IP-адресов, только именно конкретный IP для определенного клиента. Пробовал создавать пулы в один адрес и назначать их группам, но во первых неудобно каждому клиенту заводить группу во вторых бывает что клиент отсоединился а циска почему то думает что адрес еще занят, и вообще не принимает соединение. Может кто нибудь решил этот вопрос с помощью авторизации на радиусе? У меня клиенты проходят AAA на радиусе, и я вижу что он в ответ отдает поле Framed-IP однако циска его не использует, и все равно выдает IP из пула назначенного этой группе. Помогите пожалуйста уже месяц бьюсь. Вот выдержки из конфига:<br>aaa new-model<br>!<br>!<br>aaa authentication login group1 local group radius<br>aaa authentication ppp default group radius local<br>aaa authorization network group1 local group radius<br>aaa accounting delay-start <br>aaa accounting network rada выдавать IP-адрес по логину впн клиента (BLiN) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#12 Wed, 25 Mar 2009 13:36:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;создавать его в локальном ААА сервере получается следующее: <br>&gt;&gt;altera(config)#aaa attribute list pptp_list <br>&gt;&gt;altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ <br>&gt;&gt;% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip" <br>&gt;&gt;<br>&gt;&gt;При этом в списке доступных атрибутов он есть, и любой другой кроме <br>&gt;&gt;этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня. <br>&gt;&gt;<br>&gt;<br>&gt;http://blog.internetworkexpert.com/2009/01/07/understanding-ios-local-aaa/ тут почитай, шаристый ccie пишет <br><br>Спасибо большое, ссылка очень помогла, через локальный ААА заработало, проблема была не в той прошивке, также заработало через циско ACS, теперь буду пробывать через радиус.<br><br><br> выдавать IP-адрес по логину впн клиента (BLiN) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#11 Fri, 20 Mar 2009 09:06:09 GMT &gt;[оверквотинг удален]<br>&gt;8 - это именно атрибут addr - который циска ни в какую <br>&gt;не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если <br>&gt;создавать его в локальном ААА сервере получается следующее: <br>&gt;altera(config)#aaa attribute list pptp_list <br>&gt;altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ <br>&gt;% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip" <br>&gt;<br>&gt;При этом в списке доступных атрибутов он есть, и любой другой кроме <br>&gt;этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня. <br>&gt;<br><br>Вобщем на другом иосе прокатила команда буду пробовать, спасибо!<br> выдавать IP-адрес по логину впн клиента (denp) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#10 Fri, 20 Mar 2009 07:26:03 GMT часть конфига:<br><br>user Auth-Type := MS-CHAP, User-Password == "qwerty"<br> Framed-Protocol = PPP,<br> Framed-IP-Address = 10.5.20.2,<br> Framed-IP-Netmask = 255.255.255.255, Framed-Route := "10.2.1.0/24 10.5.20.2 1"<br><br><br><br> выдавать IP-адрес по логину впн клиента (shutdown now) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#9 Thu, 19 Mar 2009 20:44:11 GMT &gt;[оверквотинг удален]<br>&gt;8 - это именно атрибут addr - который циска ни в какую <br>&gt;не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если <br>&gt;создавать его в локальном ААА сервере получается следующее: <br>&gt;altera(config)#aaa attribute list pptp_list <br>&gt;altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$ <br>&gt;% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip" <br>&gt;<br>&gt;При этом в списке доступных атрибутов он есть, и любой другой кроме <br>&gt;этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня. <br>&gt;<br><br>http://blog.internetworkexpert.com/2009/01/07/understanding-ios-local-aaa/ тут почитай, шаристый ccie пишет<br> выдавать IP-адрес по логину впн клиента (denp) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#8 Thu, 19 Mar 2009 15:43:09 GMT &gt;&gt;отправил свои контакты вам на мыло <br>&gt;<br>&gt;К сожалению ничего не пришло :( <br><br>странно, тогда отправьте Вы мне свои<br> выдавать IP-адрес по логину впн клиента (BLiN) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#7 Thu, 19 Mar 2009 15:15:27 GMT &gt;отправил свои контакты вам на мыло <br><br>К сожалению ничего не пришло :(<br><br> выдавать IP-адрес по логину впн клиента (BLiN) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#6 Thu, 19 Mar 2009 09:18:22 GMT Вобщем опять уперся в стену :(<br>Даже локальный ААА сервер не помогает. Рыская по мануалам как то напал на такую фразу:<br>someRADIUS attributes no longer appear on the Group Setup page. This is because IP pools and Callback supersede the following attributes:<br>8, Framed-IP-Address<br>19, Callback-Number<br>218, Ascend-Assign-IP-Pool<br>Additionally, these attributes cannot be set via database synchronization.<br>8 - это именно атрибут addr - который циска ни в какую не дает назначить клиенту, или Framed-IP если отдавать его радиусом. если создавать его в локальном ААА сервере получается следующее:<br>altera(config)#aaa attribute list pptp_list<br>altera(config-attr-list)#attribute type addr "192.168.198.15" service ppp prot$<br>% Ambiguous command: "attribute type addr "192.168.198.15" service ppp protocol ip"<br>При этом в списке доступных атрибутов он есть, и любой другой кроме этих трех атрибутов из сотни доступных отлично добавляется. Вот такая фигня.<br><br><br><br> выдавать IP-адрес по логину впн клиента (BLiN) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#5 Thu, 19 Mar 2009 07:17:21 GMT &gt;[оверквотинг удален]<br>&gt;username raidervpn password XXXX <br>&gt;Это локальный пользователь. <br>&gt;<br>&gt;username raidervpn aaa attribute list raidervpn_ip <br>&gt;Это привязка списка атрибутов к пользователю. <br>&gt;<br>&gt;Атрибуты можно отдать практически любые. <br>&gt;<br>&gt;--- <br>&gt;Удачи! <br><br>Вот спасибо! хотя б так а дальше на радиусе реализую.<br><br> выдавать IP-адрес по логину впн клиента (Alexander Yakimenko) https://www.opennet.dev/openforum/vsluhforumID6/18454.html#4 Wed, 18 Mar 2009 17:08:05 GMT Cisco-router позволяет выдать определенный атрибут без использования внешнего tacacs/radius-сервера.<br><br>Вот пример из конфига, локальному пользователю отдается необходимый IP-адрес. <br><br>aaa attribute list raidervpn_ip<br> attribute type addr 192.168.168.230 service ppp protocol ip<br>Так создаем список атрибутов.<br><br>username raidervpn password XXXX<br>Это локальный пользователь.<br><br>username raidervpn aaa attribute list raidervpn_ip<br>Это привязка списка атрибутов к пользователю.<br><br>Атрибуты можно отдать практически любые.<br><br>---<br>Удачи!<br>