https://www.opennet.ru/openforum/vsluhforumID6/19212.html Здравствуйте!<br><br>Ктонибудь мне скажет, как на Radius сервере заводить ACL листы и <br>сервисы и передавать их на Cisco.<br>А также, чтобы это всё заработало!<br><br>Пробую заводить ACL листы пока только на одном клиенте.<br>На Radius в таблице radreply:<br><br>Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo<br>Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo-reply<br>Cisco-AVPair+=ip:inacl#101= deny icmp any any <br><br> https://www.opennet.ru/openforum/vsluhforumID6/19212.html#5 Thu, 09 Jul 2009 10:51:00 GMT <br>&gt;должно работать, это даже на диалапе работает (AS5300) <br>&gt;а вообще ping идёт? может, в рутинге проблема? <br><br>Да, пинг идёт на внешний интерфейс 81.x.x.xx3.<br>Если на Cisco, ACL "ip access-group 101 in" повешать на интерфейс:<br><br>interface Virtual-Template1<br> ip unnumbered Loopback0<br> ip nat inside<br> ip access-group 101 in<br> ip virtual-reassembly<br> peer default ip address pool PPPoE1<br> ppp authentication pap chap Test-AUTH<br><br>и на Cisco прописать ACL:<br><br>ip access-list extended 101<br>!<br>permit icmp any host 81.x.xxx.xx1 echo<br>permit icmp any host 81.x.xx.xx1 echo-reply<br>deny icmp any any<br>!<br><br>то с VPN клиента пингуется только 81.x.xxx.xx1, то что нам и надо.<br><br>1 Не могу понять почему не работает через Радиус даже если ACL<br>хранить на Cisco, а в Радиусе просто писать в таблице radreply:<br>сisco-avpair+="ip:inacl=101"<br>сisco-avpair+="ip:outacl=101"<br><br>2 Пробывал ещё кое что. Вот отрывок debug:<br>Jul 9 17:47:06.761: RADIUS: Cisco AVpair [1] 35 "ip:traffic-class=out default drop"<br>Jul 9 17:47:06.761: R https://www.opennet.ru/openforum/vsluhforumID6/19212.html#4 Thu, 09 Jul 2009 09:58:59 GMT &gt;[оверквотинг удален]<br>&gt;Jul 9 09:22:06.707: RADIUS(00000165): Received from id 1645/196 <br>&gt;Jul 9 09:22:06.711: %LINK-3-UPDOWN: Interface Virtual-Access5, changed state to up <br>&gt;Jul 9 09:22:06.711: RADIUS/ENCODE(00000165):Orig. component type = VPDN <br>&gt;<br>&gt;x - закрыл <br>&gt;<br>&gt;Ping c vpn-клиента 10.141.1.xxx не проходит на 81.x.xxx.xxx <br>&gt;<br>&gt;Может быть такое что при pppoe такая форма записи не действует? Cisco-avpair="ip:inacl#1=deny <br>&gt;tcp any any eq 25" <br><br>должно работать, это даже на диалапе работает (AS5300)<br>а вообще ping идёт? может, в рутинге проблема?<br> https://www.opennet.ru/openforum/vsluhforumID6/19212.html#3 Thu, 09 Jul 2009 02:34:08 GMT <br>&gt;если заводить по радиусу, то циска именованные ACL создаёт, после `#' - <br>&gt;номер правила в ACL <br>&gt;<br>&gt;Cisco-avpair="ip:inacl#1=deny tcp any any eq 25" <br>&gt;Cisco-avpair+="ip:inacl#2=permit ip any any" <br><br>после Send Access-Request<br><br>debug пишет:<br>Jul 9 09:22:06.707: RADIUS: Received from id 1645/196 10.141.1.1:1812, Access-Accept, len 203<br>Jul 9 09:22:06.707: RADIUS: authenticator 9F 0C E7 71 FE 3A AE 8D - D3 83 11 DB D3 49 A4 01<br>Jul 9 09:22:06.707: RADIUS: Framed-Protocol [7] 6 PPP [1]<br>Jul 9 09:22:06.707: RADIUS: Framed-Compression [13] 6 VJ TCP/IP Header Compressi[1]<br>Jul 9 09:22:06.707: RADIUS: Service-Type [6] 6 Outbound [5]<br>Jul 9 09:22:06.707: RADIUS: Session-Timeout [27] 6 360000<br>Jul 9 09:22:06.707: RADIUS: Vendor, Cisco [26] 58<br>Jul 9 09:22:06.707: RADIUS: Cisco AVpair [1] 52 "ip:inacl#1= permit icmp any host 81.x.xxx.xxx echo"<br>Jul 9 09:22:06.707: RADIUS: Vendor, Cisco [26] 64<br>Jul 9 09:2 https://www.opennet.ru/openforum/vsluhforumID6/19212.html#2 Thu, 09 Jul 2009 02:20:26 GMT &gt;если заводить по радиусу, то циска именованные ACL создаёт, после `#' - <br>&gt;номер правила в ACL <br>&gt;<br>&gt;Cisco-avpair="ip:inacl#1=deny tcp any any eq 25" <br>&gt;Cisco-avpair+="ip:inacl#2=permit ip any any" <br><br>Какие настройки на Cisco должны быть тогда, чтобы принимать с АСL c Радиуса?<br> https://www.opennet.ru/openforum/vsluhforumID6/19212.html#1 Wed, 08 Jul 2009 20:35:14 GMT &gt;[оверквотинг удален]<br>&gt;Ктонибудь мне скажет, как на Radius сервере заводить ACL листы и <br>&gt;сервисы и передавать их на Cisco. <br>&gt;А также, чтобы это всё заработало! <br>&gt;<br>&gt;Пробую заводить ACL листы пока только на одном клиенте. <br>&gt;На Radius в таблице radreply: <br>&gt;<br>&gt;Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo <br>&gt;Cisco-AVPair+=ip:inacl#101= permit icmp any host 81.x.xxx.xxx echo-reply <br>&gt;Cisco-AVPair+=ip:inacl#101= deny icmp any any <br><br>если заводить по радиусу, то циска именованные ACL создаёт, после `#' - номер правила в ACL<br><br>Cisco-avpair="ip:inacl#1=deny tcp any any eq 25"<br>Cisco-avpair+="ip:inacl#2=permit ip any any"<br>