The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"запрет приема ИП от клинта"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"запрет приема ИП от клинта"  
Сообщение от Димыч (??) on 12-Ноя-08, 13:22 
.. а вот еще подскажите
есть 72хх циска, есть на ней иос 122-31.sb6
пптп сервер, авторизвция на радиус
ип клиентам раздает радиус.
но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
как запретить ?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "запрет приема ИП от клинта"  
Сообщение от CrAzOiD (ok) on 12-Ноя-08, 13:30 
>.. а вот еще подскажите
>есть 72хх циска, есть на ней иос 122-31.sb6
>пптп сервер, авторизвция на радиус
>ип клиентам раздает радиус.
>но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
>
>как запретить ?

Динамический ACL в котором пермит только на выдаваемый IP, все остальное запретить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "запрет приема ИП от клинта"  
Сообщение от Димыч (??) on 12-Ноя-08, 15:53 
>Динамический ACL в котором пермит только на выдаваемый IP, все остальное запретить.

оппа
однако есть 2821 с более свежим иос, там " по-умолчанию " клиент не может выставить себе адрес, только назначается.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "запрет приема ИП от клинта"  
Сообщение от nikl (ok) on 12-Ноя-08, 19:00 
>.. а вот еще подскажите
>есть 72хх циска, есть на ней иос 122-31.sb6
>пптп сервер, авторизвция на радиус
>ип клиентам раздает радиус.
>но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
>
>как запретить ?

покажите sh run interface virtual-template <номер>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "запрет приема ИП от клинта"  
Сообщение от Димыч (??) on 13-Ноя-08, 00:47 
>покажите sh run interface virtual-template <номер>

interface Virtual-Template1
ip unnumbered Loopback0
no ip proxy-arp
ip flow egress
no logging event link-status
no peer default ip address
ppp authentication ms-chap-v2 ms-chap chap
end


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "запрет приема ИП от клинта"  
Сообщение от nikl (ok) on 13-Ноя-08, 09:06 
>>покажите sh run interface virtual-template <номер>
>
>interface Virtual-Template1
> ip unnumbered Loopback0
> no ip proxy-arp
> ip flow egress
> no logging event link-status
> no peer default ip address
> ppp authentication ms-chap-v2 ms-chap chap
>end

no ppp authentication ms-chap-v2 ms-chap chap
ppp authentication chap

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "запрет приема ИП от клинта"  
Сообщение от Димыч (??) on 13-Ноя-08, 16:19 
>no ppp authentication ms-chap-v2 ms-chap chap
>ppp authentication chap

хм, но ведь нужен именно мс-чап-в.2
просто что удивило, в 2821 с иос 12.4.. что-то
нормально отрабатывает, то-есть если пользователь пытается подключится с уже выставленным ипом, то его отлупает.
конфиг точно такой-же.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "запрет приема ИП от клинта"  
Сообщение от Cyrill Malevanov email on 14-Ноя-08, 16:45 
>>no ppp authentication ms-chap-v2 ms-chap chap
>>ppp authentication chap
>
>хм, но ведь нужен именно мс-чап-в.2
>просто что удивило, в 2821 с иос 12.4.. что-то
>нормально отрабатывает, то-есть если пользователь пытается подключится с уже выставленным ипом, то
>его отлупает.
>конфиг точно такой-же.

ip verify unicast source reachable-via rx ?
отлупать не будет, но пакеты не пустит, по идее

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "запрет приема ИП от клинта"  
Сообщение от Димыч (??) on 15-Ноя-08, 02:11 
>ip verify unicast source reachable-via rx ?
>отлупать не будет, но пакеты не пустит, по идее

попрбовал, ничего не отлупает.
в общем поставил 12.4 и сия проблема решилась.. правда незнаю как она с надежностью/глюками..


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "запрет приема ИП от клинта"  
Сообщение от nitalaut (ok) on 15-Ноя-08, 21:50 
правильный вариант - указать в конфиге virtual-template
peer ip address forced

>.. а вот еще подскажите
>есть 72хх циска, есть на ней иос 122-31.sb6
>пптп сервер, авторизвция на радиус
>ип клиентам раздает радиус.
>но если клиент себе какой-то ип поставит на интерфейсе, то принимается он
>
>как запретить ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру