forum.opennet.ru - "PIX L2TPOverIPSec не считает траффик сессии" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"PIX L2TPOverIPSec не считает траффик сессии"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"PIX L2TPOverIPSec не считает траффик сессии"
Сообщение от Алекс (??) on 26-Май-07, 06:15
Значит такая история... Есть PIX515E-UR в ней pix722.bin Требовалось с ее помощью обеспечить доступ пользователей локальки в интернет посредством l2tp. Настраиваю пиксу, настраиваю радиус. В конце концов виндовая машина таки соединяется по д2ез с пиксой и выходит в интернет. Радиус нормально пользователя авторизирует и пускает в интернет. На пиксе смотрю: pixfirewall# sh vpdn session state L2TP Session Information (Total tunnels=1 sessions=1) LocID RemID TunID Intf Username State Last Chg 4 1 4 inside regress est 49 secs pixfirewall# sh vpdn session packets L2TP Session Information (Total tunnels=1 sessions=1) LocID RemID TunID Pkts-In Pkts-Out Bytes-In Bytes-Out 4 1 4 31 16 2503 366 Т.е. пользователь авторизирован и байтики считаются... Отключаюсь. На радиусе получаю вот такой stop: Sat May 26 12:59:51 2007 User-Name = "regress" NAS-Port = 3 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 10.10.243.41 Calling-Station-Id = "10.10.242.198" Acct-Status-Type = Stop Acct-Delay-Time = 2 Acct-Input-Octets = 0 Acct-Output-Octets = 0 Acct-Session-Id = "04900003" Acct-Authentic = RADIUS Acct-Session-Time = 13 Acct-Input-Packets = 0 Acct-Output-Packets = 0 Acct-Terminate-Cause = User-Request NAS-Port-Type = Virtual Tunnel-Client-Endpoint:0 = "10.10.242.198" NAS-IP-Address = 10.10.10.213 Client-IP-Address = 10.10.10.213 Acct-Unique-Session-Id = "d079f0d1f359e534" Timestamp = 1180144791 Т.е. кругом нули... Только время сессии правильно... В логах при этом вот такая запись: %PIX-4-113019: Group = DefaultRAGroup, Username = regress, IP = 10.10.242.198, Session disconnected. Session Type: L2TPOverIPSec, Duration: 0h:00m:15s, Bytes xmt: 0, Bytes rcv: 0, Reason: User Requested Пробовал версию 721 - такая же петрушка. Вопрос собственно такой: это вообще нормально или у меня лыжи не той системы ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

PIX L2TPOverIPSec не считает траффик сессии, Vaso Petrovich, 09:38 , 26-Май-07, (1)

PIX L2TPOverIPSec не считает траффик сессии, Алекс, 10:47 , 26-Май-07, (2)

PIX L2TPOverIPSec не считает траффик сессии, Алекс, 04:11 , 01-Июн-07, (3)

PIX L2TPOverIPSec не считает траффик сессии, much, 12:59 , 15-Янв-08, (4)

PIX L2TPOverIPSec не считает траффик сессии, Алекс, 06:12 , 16-Янв-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "PIX L2TPOverIPSec не считает траффик сессии"

Сообщение от Vaso Petrovich on 26-Май-07, 09:38

конфиг в студию, есть подозрение что акаунтинг не включен...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "PIX L2TPOverIPSec не считает траффик сессии"

Сообщение от Алекс (??) on 26-Май-07, 10:47

PIX Version 7.2(2)
!
hostname pixfirewall
domain-name default.domain.invalid
enable password xxxxxxxxxxxxxxxx encrypted
names
!
interface Ethernet0
nameif outside
security-level 100
ip address xx.xx.xxx.xxx 255.255.255.224
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.243.3 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
nameif manage
security-level 100
ip address 10.10.10.213 255.255.255.0
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
passwd xxxxxxxxxxxxxxxx encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list 105 extended permit udp host 10.10.243.3 10.10.0.0 255.255.0.0
access-list l2tp extended permit udp any host 10.10.243.3 eq 1701
access-list l2tp extended permit ip any any
access-list 200 extended permit ip any any
access-list outside_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list inside_accounting extended permit tcp any any
pager lines 73
logging enable
logging console debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu manage 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group outside_access_in in interface outside
access-group outside_access_out out interface outside
access-group l2tp in interface inside
access-group inside_access_out out interface inside
access-group 200 in interface manage
access-group 200 out interface manage
route outside 0.0.0.0 0.0.0.0 62.76.207.221 255
route inside 10.10.0.0 255.255.0.0 10.10.243.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
aaa-server RADIUS protocol radius
aaa-server RADIUS (manage) host 10.10.10.116
key testnas
authentication-port 1812
accounting-port 1813
radius-common-pw testnas
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
default-domain value vtest.khstu.ru
username Regressor password mBouG1Y9XCxWc//8 encrypted privilege 15
aaa authentication telnet console LOCAL
aaa accounting match inside_accounting inside RADIUS
http server enable
http 10.10.10.8 255.255.255.255 manage
http 10.10.10.8 255.255.255.255 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport
crypto dynamic-map inside_dyn_map 20 match address 105
crypto dynamic-map inside_dyn_map 20 set transform-set TRANS_ESP_3DES_MD5
crypto map inside_map 20 ipsec-isakmp dynamic inside_dyn_map
crypto map inside_map interface inside
crypto isakmp identity address
crypto isakmp enable inside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group RADIUS
accounting-server-group RADIUS
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key test
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
telnet 10.10.10.8 255.255.255.255 inside
telnet 10.10.10.8 255.255.255.255 manage
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Тестовый пикс... Все открыто настежь... Если аккаунтинг включать через match, то на inside траффик с l2tp сессий не цепляется, а на ouside показывает только внешний адрес в который транслируются клиенты. А как его по другому включить чтобы он пользовательские сессии обсчитывал я нигде не нашел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PIX L2TPOverIPSec не считает траффик сессии"

Сообщение от Алекс (??) on 01-Июн-07, 04:11

Так что никто не в курсе почему такое получается ?
Видно придется засунуть эту цисковскую поделку подальше на шкаф ибо в таком варианте от нее пользы никакой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "PIX L2TPOverIPSec не считает траффик сессии"

Сообщение от much on 15-Янв-08, 12:59

>Так что никто не в курсе почему такое получается ?
>Видно придется засунуть эту цисковскую поделку подальше на шкаф ибо в таком
>варианте от нее пользы никакой.
решил проблему ? я на те же грабли напоролся :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "PIX L2TPOverIPSec не считает траффик сессии"

Сообщение от Алекс (??) on 16-Янв-08, 06:12

Нет не решил - закинул циску на полку и поставил mpd. Цисковцы сказали
- покупайте сервисный контракт и мы сразу все сделаем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PIX L2TPOverIPSec не считает траффик сессии"
Сообщение от Vaso Petrovich on 26-Май-07, 09:38
конфиг в студию, есть подозрение что акаунтинг не включен...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "PIX L2TPOverIPSec не считает траффик сессии"
	Сообщение от Алекс (??) on 26-Май-07, 10:47
	PIX Version 7.2(2) ! hostname pixfirewall domain-name default.domain.invalid enable password xxxxxxxxxxxxxxxx encrypted names ! interface Ethernet0 nameif outside security-level 100 ip address xx.xx.xxx.xxx 255.255.255.224 ! interface Ethernet1 nameif inside security-level 100 ip address 10.10.243.3 255.255.255.0 ! interface Ethernet2 shutdown no nameif no security-level no ip address ! interface Ethernet3 nameif manage security-level 100 ip address 10.10.10.213 255.255.255.0 ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! passwd xxxxxxxxxxxxxxxx encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list 105 extended permit udp host 10.10.243.3 10.10.0.0 255.255.0.0 access-list l2tp extended permit udp any host 10.10.243.3 eq 1701 access-list l2tp extended permit ip any any access-list 200 extended permit ip any any access-list outside_access_in extended permit ip any any access-list inside_access_out extended permit ip any any access-list outside_access_out extended permit ip any any access-list inside_accounting extended permit tcp any any pager lines 73 logging enable logging console debugging logging asdm informational mtu outside 1500 mtu inside 1500 mtu manage 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-522.bin no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 access-group outside_access_in in interface outside access-group outside_access_out out interface outside access-group l2tp in interface inside access-group inside_access_out out interface inside access-group 200 in interface manage access-group 200 out interface manage route outside 0.0.0.0 0.0.0.0 62.76.207.221 255 route inside 10.10.0.0 255.255.0.0 10.10.243.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute aaa-server RADIUS protocol radius aaa-server RADIUS (manage) host 10.10.10.116 key testnas authentication-port 1812 accounting-port 1813 radius-common-pw testnas group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes vpn-tunnel-protocol IPSec l2tp-ipsec default-domain value vtest.khstu.ru username Regressor password mBouG1Y9XCxWc//8 encrypted privilege 15 aaa authentication telnet console LOCAL aaa accounting match inside_accounting inside RADIUS http server enable http 10.10.10.8 255.255.255.255 manage http 10.10.10.8 255.255.255.255 inside no snmp-server location no snmp-server contact crypto ipsec transform-set TRANS_ESP_3DES_MD5 esp-3des esp-md5-hmac crypto ipsec transform-set TRANS_ESP_3DES_MD5 mode transport crypto dynamic-map inside_dyn_map 20 match address 105 crypto dynamic-map inside_dyn_map 20 set transform-set TRANS_ESP_3DES_MD5 crypto map inside_map 20 ipsec-isakmp dynamic inside_dyn_map crypto map inside_map interface inside crypto isakmp identity address crypto isakmp enable inside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 tunnel-group DefaultRAGroup general-attributes authentication-server-group RADIUS accounting-server-group RADIUS default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key test tunnel-group DefaultRAGroup ppp-attributes no authentication chap telnet 10.10.10.8 255.255.255.255 inside telnet 10.10.10.8 255.255.255.255 manage telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Тестовый пикс... Все открыто настежь... Если аккаунтинг включать через match, то на inside траффик с l2tp сессий не цепляется, а на ouside показывает только внешний адрес в который транслируются клиенты. А как его по другому включить чтобы он пользовательские сессии обсчитывал я нигде не нашел.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "PIX L2TPOverIPSec не считает траффик сессии"
	Сообщение от Алекс (??) on 01-Июн-07, 04:11
	Так что никто не в курсе почему такое получается ? Видно придется засунуть эту цисковскую поделку подальше на шкаф ибо в таком варианте от нее пользы никакой.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "PIX L2TPOverIPSec не считает траффик сессии"
	Сообщение от much on 15-Янв-08, 12:59
	>Так что никто не в курсе почему такое получается ? >Видно придется засунуть эту цисковскую поделку подальше на шкаф ибо в таком >варианте от нее пользы никакой. решил проблему ? я на те же грабли напоролся :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "PIX L2TPOverIPSec не считает траффик сессии"
	Сообщение от Алекс (??) on 16-Янв-08, 06:12
	Нет не решил - закинул циску на полку и поставил mpd. Цисковцы сказали - покупайте сервисный контракт и мы сразу все сделаем.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]