BRAS

Описание продукта
1. Не работает авторизация
  • Проверьте, включена ли авторизация в настройках fastdpi.conf
  • Есть ли трафик по локальным абонентам? Напомним, что авторизация проводится только при получении пакета от локального абонента.
  • Если fastDPI и fastPCRF установлены на разных серверах, первым делом проверьте firewall: открыт ли на сервере fastPCRF доступ на TCP-порт связи fastDPI → fastPCRF (по умолчанию 29002) с сервера fastDPI. Аналогично, для обратной связи на сервере fastDPI должен быть разрешен доступ от fastPCRF на TCP-порт управления (по умолчанию 29000).
  • Проверьте, есть ли связь fastDPI → fastPCRF. Если связи внезапно оборвалась, то в лог fastpcrf_ap0.log пишется сообщение:
    [INFO    ][2018/06/09-19:46:58:603824] auth_server::close_socket: client socket fd=27 closed

    При установке связи логируется такое сообщение: 

    [INFO    ][2018/06/09-19:45:46:843710] auth_server::accept: accepted client connection from 127.0.0.1:53498, fd=27, slot=1
  • Проверьте, есть ли связь c Radius-сервером. О проблемах связи с Radius-сервером говорят следующие сообщения в fastpcrf_ap2.log:
    [ERROR   ][2018/06/09-19:57:44:168053] rad_auth[0]::on_conn_error: fd=24, port=54189: errno=111 'Connection refused'
[INFO    ][2018/06/09-19:57:44:168062] rad_auth[0]::close_connection: fd=24, port=54189, reqs=1

    Также о проблемах могут сигнализировать множество записей о перепосылке запросов на Radius-сервер.
    При установке связи с Радиус-сервером вы увидите в fastpcrf_ap2.log подобную запись: 

    [INFO    ][2018/06/09-20:01:44:190499] rad_auth[0]::init_connection: new connection to X.X.X.X%eth0:1812, fd=18, port=40510, connection count=1
  • Проверьте свой Radius-сервер: доходят ли до него запросы от fastPCRF (возможная причина - закрыт firewall на UDP-порты Radius), правильно ли указан Radius-секрет
  • radius_unknown_user (unknown_user) — строка, логин пользователя, если настоящий логин неизвестен fastDPI. Значение по умолчанию: VasExperts.FastDPI.unknownUser. Это значение атрибута User-Name запроса Access-Request, если radius_user_name_ip=0 и логин пользователя неизвестен. Предполагается, что Radius-сервер в ответе Access-Accept сообщит истинный логин пользователя, определенный по его IP-адресу, взятому из атрибута Framed-IP-Address и вышлет VasExperts.FastDPI.unknownUser, в Wiresharke вижу User-Name = ip, в логах:
    [TRACE   ][2018/07/04-15:10:34:011126] auth_server::process: auth request: user IP=10.12.0.146, login='<n/a>', vlan-count=0

Начиная со СКАТ 7.4 появился более свежий параметр: radius_user_name_auth, см. по ссылке Интеграция с Radius-сервером.
Отсюда и появляется IP в User-Name, если его задать как radius_user_name_auth=login, то при отсутствии логина будет браться VasExperts.FastDPI.unknownUser. Это параметр для fastpcrf.conf.

2. Не принимаются CoA-запросы

Проверьте firewall: открыт ли клиенту, посылающему CoA-запрос, доступ к серверу fastPCRF на CoA-порт (это UDP-порт)

3. Ручное управление статусом авторизации. Если вручную установить 'fdpi_ctrl load --auth=0 --ip=192.168.10.1', будет ли применятся 'default_reject_whitelist'?

Не будет. Нужно либо дать команду через Radius, либо напямую активировать 5 услугу на абоненте.