Циска не лезет к радиусу.

From

Vassily Kiryanov (2:5054/36)

To

Andrew Lutov

Date

2009-10-20T11:29:44Z

Area

RU.CISCO

Hi Andrew!

20 Oct 09 09:25, Andrew Lutov wrote to Vassily Kiryanov:

VK>> Вот выдержка из конфига циски-3745, касательно "INC rad".
VK>> =========================================
VK>> aaa authentication login default local group radius
VK>> aaa authentication ppp default local group radius
VK>> aaa authorization exec default local group radius
VK>> aaa authorization network default group radius
VK>> aaa accounting exec default start-stop group radius
VK>> aaa accounting network default start-stop group radius
VK>> aaa accounting connection default start-stop group radius
VK>> radius-server host x.y.z.4 auth-port 1812 acct-port 1813 key 7
VK>> xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
VK>> =========================================

VK>> Циска раньше нормально впускала пользователей, дозванивающихся по
VK>> модему, авторизуя их через радиус. Вдруг перестала даже отсылать
VK>> запросы к серверу (глядел на ipfw show на сервере радиус). Где и
VK>> как искать где грабли?

AL> Есть такая фигня на 5350. Если она перезагружается и не видит
AL> радиус-сервер, то перестает делать аккаунтинг (файлы не образуются).
AL> Аутентификацию проводит нормально.
AL> Глубоко не искал, ибо редко и нагружено, но перезагрузка всегда
AL> помогает.

Всё банальнее в моём случае было, tcpdump доказал, что пакеты всё=таки приходят, но ipfw их таки грохает. После этого осталось только догадаться, что открывая 1812 и 1813 порты не на UDP а на TCP я был не прав.
Всё-таки radius это не tacacs, и AAA выполняет соединения не устанавливая.

Всего хорошего.              "За верную и прибыльную дружбу!" (c) Яго.
                Vassily
---
 * Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
SEEN-BY: 5020/545 5054/1 4 8 9 28 30 36 37 67 75 81 89

PATH: 5054/36 1 37