mac change при авторизации по маку

IPoE related questions
Post Reply
NiTr0
Posts: 28
Joined: 18 Apr 2015, 11:11

mac change при авторизации по маку

Post by NiTr0 »

продублирую с нага пост, там никто не ответил.

заметил какую-то интересную загогулину в акселе из транка. логином служит мак-адрес, но случаются mac change:

Code: Select all

Feb  7 13:43:44 firewall accel-pppd: ipoe613:30:b5:c2:xx:xx:67: recv [DHCPv4 Discover xid=65c89e80 chaddr=70:4f:57:xx:xx:d5 <Message-Type Discover> <Max-Message-Size 1024> <Client-ID 01704f57ae25d5> <Host-Name TL-WR840N> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Router,DNS,Domain-Name,Vendor-Specific,44,46,47,Route,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Feb  7 13:43:44 firewall accel-pppd: ipoe613:30:b5:c2:xx:xx:67: mac change detected
Feb  7 13:43:44 firewall accel-pppd: ipoe613:30:b5:c2:xx:xx:67: terminate
Feb  7 13:43:44 firewall accel-pppd: vlan34:: recv [DHCPv4 Discover xid=65c89e80 chaddr=70:4f:57:xx:xx:d5 <Message-Type Discover> <Max-Message-Size 1024> <Client-ID 01704f57ae25d5> <Host-Name TL-WR840N> <Vendor-Class 4d53465420352e30> <Request-List Subnet,Router,DNS,Domain-Name,Vendor-Specific,44,46,47,Route,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Feb  7 13:43:44 firewall accel-pppd: ipoe392:: create interface ipoe392 parent vlan34
Feb  7 13:43:44 firewall accel-pppd: ipoe392:70:4f:57:xx:xx:d5: 70:4f:57:xx:xx:d5: authentication failed
Feb  7 13:43:44 firewall accel-pppd: ipoe392:70:4f:57:xx:xx:d5: 70:4f:57:xx:xx:d5: start temporary session (l4-redirect)
Feb  7 13:43:44 firewall accel-pppd: ipoe392:70:4f:57:xx:xx:d5: send [DHCPv4 Offer xid=65c89e80 yiaddr=172.16.192.210 chaddr=70:4f:57:xx:xx:d5 <Message-Type Offer> <Server-ID 172.16.192.1> <Lease-Time 180> <T1 90> <Router 172.16.192.1> <Subnet 255.255.240.0> <DNS 193.151.12.8,1.1.1.1>]
Feb  7 13:43:44 firewall accel-pppd: ipoe613:30:b5:c2:xx:xx:67: pppd_compat: ip-down started (pid 5098)
Feb  7 13:43:44 firewall accel-pppd: ipoe613:30:b5:c2:xx:xx:67: pppd_compat: ip-down finished (1)
Feb  7 13:43:44 firewall accel-pppd: ipoe613:30:b5:c2:xx:xx:67: ipoe: session finished
Feb  7 13:43:44 firewall accel-pppd: libnetlink: RTNETLINK answers: Cannot assign requested address
tcpdump:

Code: Select all

13:43:40.087899 70:4f:57:xx:xx:d5 > 90:e2:ba:xx:xx:37, ethertype IPv4 (0x0800), length 353: (tos 0x0, ttl 64, id 3206, offset 0, flags [DF], proto UDP (17), length 339)
    172.16.192.207.68 > 172.16.192.1.67: BOOTP/DHCP, Request from 70:4f:57:xx:xx:d5, length 311, xid 0x51615952, Flags [none]
	  Client-IP 172.16.192.207
	  Client-Ethernet-Address 70:4f:57:xx:xx:d5
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Request
	    MSZ Option 57, length 2: 1024
	    Client-ID Option 61, length 7: ether 70:4f:57:xx:xx:d5
	    Hostname Option 12, length 9: "TL-WR840N"
	    Vendor-Class Option 60, length 8: "MSFT 5.0"
	    Parameter-Request Option 55, length 11: 
	      Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
	      Vendor-Option, Netbios-Name-Server, Netbios-Node, Netbios-Scope
	      Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft
	    Agent-Information Option 82, length 18: 
	      Circuit-ID SubOption 1, length 6: ^@^D^@"^A^A
	      Remote-ID SubOption 2, length 8: ^@^FprM-O^L^^p
13:43:40.088088 90:e2:ba:xx:xx:37 > 70:4f:57:xx:xx:d5, ethertype IPv4 (0x0800), length 286: (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 272)
    0.0.0.0.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 244, xid 0x51615952, Flags [none]
	  Client-Ethernet-Address 70:4f:57:xx:xx:d5
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: NACK
13:43:44.087683 70:4f:57:xx:xx:d5 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 353: (tos 0x0, ttl 64, id 62417, offset 0, flags [none], proto UDP (17), length 339)
    0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 70:4f:57:xx:xx:d5, length 311, xid 0x809ec865, Flags [none]
	  Client-Ethernet-Address 70:4f:57:xx:xx:d5
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Discover
	    MSZ Option 57, length 2: 1024
	    Client-ID Option 61, length 7: ether 70:4f:57:xx:xx:d5
	    Hostname Option 12, length 9: "TL-WR840N"
	    Vendor-Class Option 60, length 8: "MSFT 5.0"
	    Parameter-Request Option 55, length 11: 
	      Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
	      Vendor-Option, Netbios-Name-Server, Netbios-Node, Netbios-Scope
	      Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft
	    Agent-Information Option 82, length 18: 
	      Circuit-ID SubOption 1, length 6: ^@^D^@"^A^A
	      Remote-ID SubOption 2, length 8: ^@^FprM-O^L^^p
13:43:44.088411 90:e2:ba:xx:xx:37 > 70:4f:57:xx:xx:d5, ethertype IPv4 (0x0800), length 326: (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 312)
    172.16.192.1.67 > 172.16.192.210.68: BOOTP/DHCP, Reply, length 284, xid 0x809ec865, Flags [none]
	  Your-IP 172.16.192.210
	  Client-Ethernet-Address 70:4f:57:xx:xx:d5
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Offer
	    Server-ID Option 54, length 4: 172.16.192.1
	    Lease-Time Option 51, length 4: 180
	    RN Option 58, length 4: 90
	    Default-Gateway Option 3, length 4: 172.16.192.1
	    Subnet-Mask Option 1, length 4: 255.255.240.0
	    Domain-Name-Server Option 6, length 8: 193.151.12.8,1.1.1.1
13:43:45.087518 70:4f:57:xx:xx:d5 > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 365: (tos 0x0, ttl 64, id 64126, offset 0, flags [none], proto UDP (17), length 351)
    0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 70:4f:57:xx:xx:d5, length 323, xid 0x809ec865, Flags [none]
	  Client-Ethernet-Address 70:4f:57:xx:xx:d5
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Request
	    MSZ Option 57, length 2: 1024
	    Client-ID Option 61, length 7: ether 70:4f:57:xx:xx:d5
	    Hostname Option 12, length 9: "TL-WR840N"
	    Vendor-Class Option 60, length 8: "MSFT 5.0"
	    Requested-IP Option 50, length 4: 172.16.192.210
	    Server-ID Option 54, length 4: 172.16.192.1
	    Parameter-Request Option 55, length 11: 
	      Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
	      Vendor-Option, Netbios-Name-Server, Netbios-Node, Netbios-Scope
	      Static-Route, Classless-Static-Route, Classless-Static-Route-Microsoft
	    Agent-Information Option 82, length 18: 
	      Circuit-ID SubOption 1, length 6: ^@^D^@"^A^A
	      Remote-ID SubOption 2, length 8: ^@^FprM-O^L^^p
13:43:45.090428 90:e2:ba:xx:xx:37 > 70:4f:57:xx:xx:d5, ethertype IPv4 (0x0800), length 326: (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 312)
    172.16.192.1.67 > 172.16.192.210.68: BOOTP/DHCP, Reply, length 284, xid 0x809ec865, Flags [none]
	  Your-IP 172.16.192.210
	  Client-Ethernet-Address 70:4f:57:xx:xx:d5
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: ACK
	    Server-ID Option 54, length 4: 172.16.192.1
	    Lease-Time Option 51, length 4: 180
	    RN Option 58, length 4: 90
	    Default-Gateway Option 3, length 4: 172.16.192.1
	    Subnet-Mask Option 1, length 4: 255.255.240.0
	    Domain-Name-Server Option 6, length 8: 193.151.12.8,1.1.1.1
эта грабля случается на абонах, висящих на эджкорах со включенным снупингом.

Code: Select all

[ipoe]
verbose=1
username=lua:mac

Code: Select all

--Make login from abonent MAC
function mac(pkt)
  return pkt:hdr('chaddr')
end
непонятно 2 момента:

1. каким образом случается mac change

2. почему нет радиус-запроса при этом


кто-то сталкивался с подобным?
dimka88
Posts: 872
Joined: 13 Oct 2014, 05:51
Contact:

Re: mac change при авторизации по маку

Post by dimka88 »

Нет случайно лога, когда сессия поднялась эта "ipoe613:30:b5:c2:xx:xx:67"?
NiTr0
Posts: 28
Joined: 18 Apr 2015, 11:11

Re: mac change при авторизации по маку

Post by NiTr0 »

чего нет того нет - но там по-моему никаких отличий кроме мака (ну и возможно опции 82 - не сравнивал) не было. могу попробовать воспроизвести на днях.
dimka88
Posts: 872
Joined: 13 Oct 2014, 05:51
Contact:

Re: mac change при авторизации по маку

Post by dimka88 »

Было бы отлично, я думаю это не сложно решить, главное логи уровня 5 собрать.
NiTr0
Posts: 28
Joined: 18 Apr 2015, 11:11

Re: mac change при авторизации по маку

Post by NiTr0 »

в общем дошли руки поэкспериментировать, вышло как-то так:

Code: Select all

Mar 15 09:43:14 firewall accel-pppd: vlan34:: recv [DHCPv4 Discover xid=80ff6cf8 chaddr=04:95:e6:xx:xx:80 <Message-Type Discover> <Vendor-Class 4d53465420352e3000> <Req
uest-IP 172.16.xxx.xxx> <Client-ID 010495e6170f80> <Host-Name Tenda> <Request-List Subnet,Router,DNS,Domain-Name,Route,Classless-Route,249> <Relay-Agent {Agent-Circuit-
ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Mar 15 09:43:14 firewall accel-pppd: ipoe253:: create interface ipoe253 parent vlan34
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: 04:95:e6:xx:xx:80: authentication failed
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: 04:95:e6:xx:xx:80: start temporary session (l4-redirect)
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: send [DHCPv4 Offer xid=80ff6cf8 yiaddr=172.16.xxx.xxx chaddr=04:95:e6:xx:xx:80 <Message-Type Offer> <Ser
ver-ID 172.16.xxx.xxx> <Lease-Time 180> <T1 90> <Router 172.16.xxx.xxx> <Subnet 255.255.240.0> <DNS xxx.xxx.12.8,1.1.1.1>]
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: recv [DHCPv4 Request xid=80ffabf7 chaddr=04:95:e6:xx:xx:80 <Message-Type Request> <Vendor-Class 4d534654
20352e3000> <Request-IP 172.16.xxx.xxx> <Server-ID 172.16.xxx.xxx> <Client-ID 010495e6170f80> <Host-Name Tenda> <Request-List Subnet,Router,DNS,Domain-Name,Route,Classles
s-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: ipoe: activate session
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: ipoe: session started
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: pppd_compat: ip-up started (pid 4429)
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: send [DHCPv4 Ack xid=80ffabf7 yiaddr=172.16.xxx.xxx chaddr=04:95:e6:xx:xx:80 <Message-Type Ack> <Server-
ID 172.16.xxx.xxx> <Lease-Time 180> <T1 90> <Router 172.16.xxx.xxx> <Subnet 255.255.240.0> <DNS xxx.xxx.12.8,1.1.1.1>]
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: pppd_compat: ip-up finished (1)
Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:хх:хх:80: recv [DHCPv4 Discover xid=afc850e chaddr=18:a6:f7:хх:хх:35 <Message-Type Discover> <Max-Message-Size 102
4> <Client-ID 0118a6f7aed735> <Host-Name TL-WR740N> <Vendor-Class 4d53465420352e30> <Request-IP 172.16.ххх.ххх> <Request-List Subnet,Router,DNS,Domain-Name,Route,Vendor
-Specific,44,46,47,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Mar 15 09:46:01 firewall accel-pppd: vlan34:: recv [DHCPv4 Discover xid=afc850e chaddr=18:a6:f7:xx:xx:35 <Message-Type Discover> <Max-Message-Size 1024> <Client-ID 0118
a6f7aed735> <Host-Name TL-WR740N> <Vendor-Class 4d53465420352e30> <Request-IP 172.16.xxx.xxx> <Request-List Subnet,Router,DNS,Domain-Name,Route,Vendor-Specific,44,46,47
,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: mac change detected
Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: terminate
Mar 15 09:46:01 firewall accel-pppd: ipoe398:: create interface ipoe398 parent vlan34
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: 18:a6:f7:xx:xx:35: authentication failed
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: 18:a6:f7:xx:xx:35: start temporary session (l4-redirect)
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: send [DHCPv4 Offer xid=afc850e yiaddr=172.16.xxx.xxx chaddr=18:a6:f7:xx:xx:35 <Message-Type Offer> <Serv
er-ID 172.16.xxx.xxx> <Lease-Time 180> <T1 90> <Router 172.16.xxx.xxx> <Subnet 255.255.240.0> <DNS xxx.xxx.12.8,1.1.1.1>]
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: recv [DHCPv4 Request xid=afc850e chaddr=18:a6:f7:xx:xx:35 <Message-Type Request> <Max-Message-Size 1024>
 <Client-ID 0118a6f7aed735> <Host-Name TL-WR740N> <Vendor-Class 4d53465420352e30> <Request-IP 172.16.xxx.xxx> <Server-ID 172.16.xxx.xxx> <Request-List Subnet,Router,DNS,D
omain-Name,Route,Vendor-Specific,44,46,47,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: ipoe: activate session
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: ipoe: session started
Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: pppd_compat: ip-down started (pid 4982)
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: pppd_compat: ip-up started (pid 4983)
Mar 15 09:46:01 firewall accel-pppd: ipoe398:18:a6:f7:xx:xx:35: send [DHCPv4 Ack xid=afc850e yiaddr=172.16.xxx.xxx chaddr=18:a6:f7:xx:xx:35 <Message-Type Ack> <Server-I
D 172.16.xxx.xxx> <Lease-Time 180> <T1 90> <Router 172.16.xxx.xxx> <Subnet 255.255.240.0> <DNS xxx.xxx.12.8,1.1.1.1>]
Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: pppd_compat: ip-down finished (1)
Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: ipoe: session finished
подопытный - эджкор 3510. из того что заметил - одинаковые agent-circuit-id (что в теории может объяснить mac change, хоть и странно это - по логике сессия должна определяться по логину а не опции 82), и полное отсутствие запросов на радиус.
dimka88
Posts: 872
Joined: 13 Oct 2014, 05:51
Contact:

Re: mac change при авторизации по маку

Post by dimka88 »

Покажите полную секцию [ipoe] и [log], в логе вообще есть записи Radius Access-Accept или Access-Reject. При [log]copy=1 их не будет.

Code: Select all

Mar 15 09:43:14 firewall accel-pppd: ipoe253:: create interface ipoe253 parent vlan34
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: 04:95:e6:xx:xx:80: authentication failed
Mar 15 09:43:14 firewall accel-pppd: ipoe253:04:95:e6:xx:xx:80: 04:95:e6:xx:xx:80: start temporary session (l4-redirect)
Клиент не проходит авторизацию и ему выдается временная сессия.

Сравниваем Discover, и тут запрос приходит в разных интерфейсах, и скорее всего не хватает проверки.

Code: Select all

Mar 15 09:43:14 firewall accel-pppd: vlan34:: recv [DHCPv4 Discover xid=80ff6cf8 chaddr=04:95:e6:xx:xx:80 <Message-Type Discover> <Vendor-Class 4d53465420352e3000> <Request-IP 172.16.xxx.xxx> <Client-ID 010495e6170f80> <Host-Name Tenda> <Request-List Subnet,Router,DNS,Domain-Name,Route,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]

Mar 15 09:46:01 firewall accel-pppd: ipoe253:04:95:e6:хх:хх:80: recv [DHCPv4 Discover xid=afc850e chaddr=18:a6:f7:хх:хх:35 <Message-Type Discover> <Max-Message-Size 1024> <Client-ID 0118a6f7aed735> <Host-Name TL-WR740N> <Vendor-Class 4d53465420352e30> <Request-IP 172.16.ххх.ххх> <Request-List Subnet,Router,DNS,Domain-Name,Route,Vendor-Specific,44,46,47,Classless-Route,249> <Relay-Agent {Agent-Circuit-ID _000400220101} {Agent-Remote-ID _00067072cf0c1e70}>]
NiTr0
Posts: 28
Joined: 18 Apr 2015, 11:11

Re: mac change при авторизации по маку

Post by NiTr0 »

радиус записи есть, для других клиентов.

Code: Select all

Mar 15 09:46:01 firewall accel-pppd: vlan16:: recv [DHCPv4 Discover xid=16700000 chaddr=00:25:9c:xx:xx:a2 <Message-Type Discover> <Client-ID 0100259c9554a2> <Request-IP
 172.16.xxx.xxx> <Request-List Router,Subnet,DNS,Domain-Name>]
Mar 15 09:46:01 firewall accel-pppd: ipoe404:: create interface ipoe404 parent vlan16
Mar 15 09:46:01 firewall accel-pppd: ipoe404:: radius(1): req_enter 2
Mar 15 09:46:01 firewall accel-pppd: ipoe404:: send [RADIUS(1) Access-Request id=1 <User-Name "00:25:9c:xx:xx:a2"> <NAS-Identifier "accel-ppp"> <NAS-IP-Address 10.10.10
.100> <NAS-Port 12453> <NAS-Port-Id "ipoe404"> <NAS-Port-Type Ethernet> <Calling-Station-Id "00:25:9c:xx:xx:a2"> <Called-Station-Id "vlan16"> <User-Password 0xefeda57f4
d7eaed7631252aa6ec700fa8a652705894420e829590d6647a57d4b>]
Mar 15 09:46:01 firewall accel-pppd: ipoe404:: radius(1): req_exit 1
Mar 15 09:46:01 firewall accel-pppd: ipoe404:: recv [RADIUS(1) Access-Accept id=1 <Filter-Id "30720/30720"> <L4-Redirect-ipset "active"> <DHCP-Mask 20> <Acct-Interim-In
terval 90> <Idle-Timeout 600> <Framed-IP-Address 172.16.xxx.xxx> <DHCP-Router-IP-Address 172.16.xxx.xxx> <Class 0x444b4d>]
Mar 15 09:46:01 firewall accel-pppd: ipoe404:00:25:9c:xx:xx:a2: 00:25:9c:xx:xx:a2: authentication succeeded
Mar 15 09:46:01 firewall accel-pppd: ipoe404:00:25:9c:xx:xx:a2: send [DHCPv4 Offer xid=16700000 yiaddr=172.16.xxx.xxx chaddr=00:25:9c:xx:xx:a2 <Message-Type Offer> <Server-ID 172.16.xxx.xxx> <Lease-Time 180> <T1 90> <Router 172.16.xxx.xxx> <Subnet 255.255.240.0> <DNS xxx.xxx.12.8,1.1.1.1>]
как только появляется опция 82 - пропадают радиус запросы.

конфиг:

Code: Select all

[ipoe]
verbose=1
username=lua:mac
lease-time=180
renew-time=90
max-lease-time=400
unit-cache=40
l4-redirect-ipset=unknown
l4-redirect-on-reject=300
l4-redirect-ip-pool=rejected
shared=1
ifcfg=1
mode=L2
start=dhcpv4
ip-unnumbered=1
attr-dhcp-client-ip=Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-dhcp-opt82=DHCP-Option82
attr-dhcp-opt82-remote-id=DHCP-Agent-Remote-Id
attr-dhcp-opt82-circuit-id=DHCP-Agent-Circuit-Id
attr-l4-redirect=L4-Redirect
attr-l4-redirect-ipset=L4-Redirect-ipset
lua-file=/etc/accel-ppp.lua
vlan-mon=bond0,10-13,15-31,33-50,52-598,601-4095
vlan-timeout=120
vlan-name=vlan%N
gw-ip-address=172.16.х.х/20
soft-terminate=1
check-mac-change=1
interface=re:vlan(?!(1|2|14|32)$)([0-9]+)$

[log]
log-file=/var/log/accel-ppp/accel-ppp.log
log-emerg=/var/log/accel-ppp/emerg.log
log-fail-file=/var/log/accel-ppp/auth-fail.log
syslog=accel-pppd,daemon
copy=1
level=5
dimka88
Posts: 872
Joined: 13 Oct 2014, 05:51
Contact:

Re: mac change при авторизации по маку

Post by dimka88 »

Старт сессии был Mar 15 09:43:14, именно тогда, радиус должен был ответить reject и временная сессия стартовала на 300 секунд (l4-redirect-on-reject=300). Это было так? Я просто не совсем могу понять когда вы срезаете логи.
Далее в Mar 15 09:46:01 приходит DHCP Discover но уже в shared интерфейсе ppp253 и так как временная сессия активна, accel-ppp ее завершает, но не отправляет запрос на radius, так как не пришло еще 300 секунд. Вроде бы как accel со временем поступает верно, но скорее всего правильно он должен ответить offer параметрами уже существующей сессии или проигнорировать Discover.
NiTr0
Posts: 28
Joined: 18 Apr 2015, 11:11

Re: mac change при авторизации по маку

Post by NiTr0 »

да, судя по логам - сессия изначально стартовала Mar 15 09:43:14, но на деле запроса к радиусу не было, вообще.

абоненты до включения опции 82 на свиче работали нормально, радиус режекты не слал (более того - радиус вообще на неизвестных абонов режекты не должен слать). после завершения активной сессии - абоны попадают в пул неавторизованных.

почему дискавер идет в ipoe253 - таки странно, похоже интерфейс матчится по опции 82, но по-хорошему же должна быть проверка по сформированному логину.

в принципе проблема должна воспроизводиться на стенде легко: просто сконфигурить авторизацию по маку, поставить свич с опцией 82, и на один порт повешать два дхцп клиента через мыльничку.
Post Reply