The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]




Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! D.Weider, 20-Мрт-11, 15:00  [смотреть все]
Коллеги, здравствуйте!

Проблема следующая. Вот такая простая схема:

Клиент (Windows XP,7) -------> Cisco Router (7206, IOS Adv.ip serv. 12.4) ------> Сервер Cisco ACS (v.4.0)

Подскажите пожалуйста, у кого-нить получалось реализовать такую связку? Может есть какие-то ограничения по версиям софта, мне во всяком случае их найти не удалось, просто не работает и всё тут.

Клиент устанавливает PPTP-соединения, используя при этом MS-CHAP-V2 (вторая версия выбрана потому, как в Win 7, отсутствует поддержка первой версии). Проверка пользователей происходит на ACS. При использовании локальной базы пользователей на маршрутизаторе аутентификация клиента происходит успешно. Когда в качестве базы настраиваю ACS, клиент получает сообщение об ошибке 691. Настраивал снифер на канале между роутером и ACS.
Результат очень интересный: при установке pptp связи никаких пакетов на ACS не шлется, в то время как при использовании обычного telnet на роутер, на ACS посылаются сообщения. В качестве протокола использую TACACS+.

Вот настройка роутера:

Router#sh run
Building configuration...

Current configuration : 1316 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa authentication login default group tacacs+ local
aaa authentication ppp default group tacacs+ local
aaa authorization network default if-authenticated
!
aaa session-id common
!
resource policy
!
ip cef
!
vpdn enable
!
vpdn-group new
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
username cisco password 0 cisco
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 10.0.2.101 255.255.255.0
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered FastEthernet1/0
peer default ip address pool mypool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
ip local pool mypool 193.168.1.1 193.168.1.10
no ip http server
no ip http secure-server
!
logging alarm informational
!
tacacs-server host 10.0.2.1
tacacs-server key cisco
!
control-plane
!
gatekeeper
shutdown
!
line con 0
stopbits 1
line aux 0
line vty 0 4
!
end      

Клиент подключается к Fa 1/0

В настройках ACS для пользователя настроены расширения протокола TACACS+:
PPP IP, PPP VPDN, PPP LCP, Shell (exec), PIX Shell (pixshell), SLIP.

На клиенте настроено: шифрование данных - необязательно, протокол проверки пароля MS-CHAP-V2.

Проверял на PAP - работает. На MS-CHAP-V2 - нет.

Помогите. Спасибо!

  • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! eek, 07:36 , 21-Мрт-11 (1)
    Попробуйте без шифрования, на 4.21 заработало именно так.
    • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! D.Weider, 00:08 , 22-Мрт-11 (2)
      > Попробуйте без шифрования, на 4.21 заработало именно так.

      Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt mppe ..., а на клиенте выставил "Шифрование данных - не разрешено". Не помогло.

      Вот лог:

      Router#
      *Mar 21 23:58:36.595: AAA/BIND(0000000A): Bind i/f  
      *Mar 21 23:58:36.603: AAA/BIND(0000000A): Bind i/f Virtual-Template1
      *Mar 21 23:58:36.627: ppp6 PPP: Send Message[Dynamic Bind Response]
      *Mar 21 23:58:36.631: ppp6 PPP: Using vpn set call direction
      *Mar 21 23:58:36.631: ppp6 PPP: Treating connection as a callin
      *Mar 21 23:58:36.631: ppp6 PPP: Session handle[D9000008] Session id[6]
      *Mar 21 23:58:36.631: ppp6 PPP: Phase is ESTABLISHING, Passive Open
      *Mar 21 23:58:36.631: ppp6 LCP: State is Listen
      *Mar 21 23:58:38.615: ppp6 LCP: Timeout: State Listen
      *Mar 21 23:58:38.615: ppp6 PPP: Authorization required
      *Mar 21 23:58:38.619: ppp6 LCP: O CONFREQ [Listen] id 1 len 15
      *Mar 21 23:58:38.619: ppp6 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
      *Mar 21 23:58:38.619: ppp6 LCP:    MagicNumber 0x00269ACD (0x050600269ACD)
      *Mar 21 23:58:38.631: ppp6 LCP: I CONFACK [REQsent] id 1 len 15
      *Mar 21 23:58:38.631: ppp6 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
      *Mar 21 23:58:38.631: ppp6 LCP:    MagicNumber 0x00269ACD (0x050600269ACD)
      *Mar 21 23:58:38.811: ppp6 LCP: I CONFREQ [ACKrcvd] id 1 len 21
      *Mar 21 23:58:38.811: ppp6 LCP:    MRU 1400 (0x01040578)
      *Mar 21 23:58:38.811: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
      *Mar 21 23:58:38.811: ppp6 LCP:    PFC (0x0702)
      *Mar 21 23:58:38.811: ppp6 LCP:    ACFC (0x0802)
      *Mar 21 23:58:38.811: ppp6 LCP:    Callback 6  (0x0D0306)
      *Mar 21 23:58:38.811: ppp6 LCP: O CONFREJ [ACKrcvd] id 1 len 7
      *Mar 21 23:58:38.811: ppp6 LCP:    Callback 6  (0x0D0306)
      *Mar 21 23:58:38.815: ppp6 LCP: I CONFREQ [ACKrcvd] id 2 len 18
      *Mar 21 23:58:38.815: ppp6 LCP:    MRU 1400 (0x01040578)
      *Mar 21 23:58:38.815: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
      *Mar 21 23:58:38.819: ppp6 LCP:    PFC (0x0702)
      *Mar 21 23:58:38.819: ppp6 LCP:    ACFC (0x0802)
      *Mar 21 23:58:38.819: ppp6 LCP: O CONFNAK [ACKrcvd] id 2 len 8
      *Mar 21 23:58:38.819: ppp6 LCP:    MRU 1500 (0x010405DC)
      *Mar 21 23:58:38.827: ppp6 LCP: I CONFREQ [ACKrcvd] id 3 len 18
      *Mar 21 23:58:38.827: ppp6 LCP:    MRU 1400 (0x01040578)
      *Mar 21 23:58:38.827: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
      *Mar 21 23:58:38.827: ppp6 LCP:    PFC (0x0702)
      *Mar 21 23:58:38.831: ppp6 LCP:    ACFC (0x0802)
      *Mar 21 23:58:38.831: ppp6 LCP: O CONFNAK [ACKrcvd] id 3 len 8
      *Mar 21 23:58:38.831: ppp6 LCP:    MRU 1500 (0x010405DC)
      *Mar 21 23:58:38.835: ppp6 LCP: I CONFREQ [ACKrcvd] id 4 len 18
      *Mar 21 23:58:38.839: ppp6 LCP:    MRU 1500 (0x010405DC)
      *Mar 21 23:58:38.839: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
      *Mar 21 23:58:38.839: ppp6 LCP:    PFC (0x0702)
      *Mar 21 23:58:38.839: ppp6 LCP:    ACFC (0x0802)
      *Mar 21 23:58:38.843: ppp6 LCP: O CONFACK [ACKrcvd] id 4 len 18
      *Mar 21 23:58:38.843: ppp6 LCP:    MRU 1500 (0x010405DC)
      *Mar 21 23:58:38.843: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
      *Mar 21 23:58:38.843: ppp6 LCP:    PFC (0x0702)
      *Mar 21 23:58:38.843: ppp6 LCP:    ACFC (0x0802)
      *Mar 21 23:58:38.847: ppp6 LCP: State is Open
      *Mar 21 23:58:38.847: ppp6 PPP: Phase is AUTHENTICATING, by this end
      *Mar 21 23:58:38.859: ppp6 MS-CHAP-V2: O CHALLENGE id 1 len 27 from "Router"
      *Mar 21 23:58:38.859: ppp6 LCP: I IDENTIFY [Open] id 5 len 18 magic 0x2C532D1C MSRASV5.10
      *Mar 21 23:58:38.863: ppp6 LCP: I IDENTIFY [Open] id 6 len 25 magic 0x2C532D1C MSRAS-0-WINCLIENT
      *Mar 21 23:58:38.863: ppp6 MS-CHAP-V2: I RESPONSE id 1 len 59 from "admin"
      *Mar 21 23:58:38.867: ppp6 PPP: Phase is FORWARDING, Attempting Forward
      *Mar 21 23:58:38.871: ppp6 PPP: Phase is AUTHENTICATING, Unauthenticated User
      *Mar 21 23:58:38.871: AAA/AUTHEN/PPP (0000000A): Pick method list 'default'
      *Mar 21 23:58:38.875: ppp6 PPP: Sent MSCHAP_V2 LOGIN Request
      *Mar 21 23:58:38.875: TPLUS: Queuing AAA Authentication request 10 for processing
      *Mar 21 23:58:38.879: TPLUS: processing authentication start request id 10
      *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
      *Mar 21 23:58:38.887: ppp6 MS-CHAP-V2: O FAILURE id 1 len 13 msg is "E=691 R=0"
      *Mar 21 23:58:38.895: ppp6 PPP: Sending Acct Event[Down] id[A]
      *Mar 21 23:58:38.903: ppp6 PPP: Phase is TERMINATING
      *Mar 21 23:58:38.903: ppp6 LCP: O TERMREQ [Open] id 2 len 4
      *Mar 21 23:58:38.915: ppp6 LCP: I TERMACK [TERMsent] id 2 len 4
      *Mar 21 23:58:38.915: ppp6 LCP: State is Closed
      *Mar 21 23:58:38.915: ppp6 PPP: Phase is DOWN
      *Mar 21 23:58:38.919: ppp6 PPP: Send Message[Disconnect]

      Вот захожу на маршрутизатор по Telnet - в снифере WireShark наблюдаю запрос к ACS
      9    21.180000    10.0.2.254    10.0.2.1    TACACS+    Q: Authentication

      При установлении PPTP-соединения никаких следов в снифере. Очень странно почему.

      • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! eek, 10:26 , 22-Мрт-11 (3)
        В моем случае вариант без шифрования не подходил совсем. Потому я перешел на easy vpn. Чего и вам советую.
      • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! AlexDv, 13:26 , 22-Мрт-11 (4)
        >> Попробуйте без шифрования, на 4.21 заработало именно так.
        > Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt
        > mppe ..., а на клиенте выставил "Шифрование данных - не разрешено".
        > Не помогло.
        > Вот лог:

        [skipped]

        *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
        ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
        Так вот оно. Смотрите в сторону ACS.

        • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! D.Weider, 22:35 , 22-Мрт-11 (5)
          >>> Попробуйте без шифрования, на 4.21 заработало именно так.
          >> Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt
          >> mppe ..., а на клиенте выставил "Шифрование данных - не разрешено".
          >> Не помогло.
          >> Вот лог:
          > [skipped]
          > *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
          > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
          > Так вот оно. Смотрите в сторону ACS.

          Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до максимального. В журналах тишина. Ни одного следа о происходящих процессах. И опять же пустой лог снифера.
          Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.

          Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?

          • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! D.Weider, 22:52 , 22-Мрт-11 (6)
            >[оверквотинг удален]
            >>> Вот лог:
            >> [skipped]
            >> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
            >> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
            >> Так вот оно. Смотрите в сторону ACS.
            > Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до
            > максимального. В журналах тишина. Ни одного следа о происходящих процессах. И
            > опять же пустой лог снифера.
            > Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.
            > Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?

            Есть какой-нить способ получения более детальной информации о происходящих событиях, в частности трафике проходящем через маршрутизатор?

            • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! Myxa, 08:39 , 23-Мрт-11 (7)
              > Есть какой-нить способ получения более детальной информации о происходящих событиях, в
              > частности трафике проходящем через маршрутизатор?

              счетчики show tacacs + debug tacacs events вам в помощь.


            • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! fantom, 09:28 , 23-Мрт-11 (8)
              >[оверквотинг удален]
              >>> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
              >>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
              >>> Так вот оно. Смотрите в сторону ACS.
              >> Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до
              >> максимального. В журналах тишина. Ни одного следа о происходящих процессах. И
              >> опять же пустой лог снифера.
              >> Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.
              >> Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?
              > Есть какой-нить способ получения более детальной информации о происходящих событиях, в
              > частности трафике проходящем через маршрутизатор?

              debug на кошке

          • Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, !*! AlexDv, 15:46 , 23-Мрт-11 (9)
            >[оверквотинг удален]
            >>> Вот лог:
            >> [skipped]
            >> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
            >> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
            >> Так вот оно. Смотрите в сторону ACS.
            > Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до
            > максимального. В журналах тишина. Ни одного следа о происходящих процессах. И
            > опять же пустой лог снифера.
            > Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.
            > Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?

            Смотрите как выглядит с Радиусом

            ppp660 MS-CHAP-V2: O CHALLENGE id 1 len 28 from "cs2811"
            ppp660 MS-CHAP-V2: I RESPONSE id 1 len 64 from "user"
            ppp660 PPP: Sent MSCHAP_V2 LOGIN Request
            ppp660 PPP: Received LOGIN Response PASS

            А у вас приходит FAIL.
            Насколько помню, O и I означают out и in, т.е. ответы все-таки на роутер приходят.





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру