Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, D.Weider, 20-Мрт-11, 15:00 [смотреть все]Коллеги, здравствуйте!Проблема следующая. Вот такая простая схема: Клиент (Windows XP,7) -------> Cisco Router (7206, IOS Adv.ip serv. 12.4) ------> Сервер Cisco ACS (v.4.0) Подскажите пожалуйста, у кого-нить получалось реализовать такую связку? Может есть какие-то ограничения по версиям софта, мне во всяком случае их найти не удалось, просто не работает и всё тут. Клиент устанавливает PPTP-соединения, используя при этом MS-CHAP-V2 (вторая версия выбрана потому, как в Win 7, отсутствует поддержка первой версии). Проверка пользователей происходит на ACS. При использовании локальной базы пользователей на маршрутизаторе аутентификация клиента происходит успешно. Когда в качестве базы настраиваю ACS, клиент получает сообщение об ошибке 691. Настраивал снифер на канале между роутером и ACS. Результат очень интересный: при установке pptp связи никаких пакетов на ACS не шлется, в то время как при использовании обычного telnet на роутер, на ACS посылаются сообщения. В качестве протокола использую TACACS+. Вот настройка роутера: Router#sh run Building configuration... Current configuration : 1316 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! aaa new-model ! aaa authentication login default group tacacs+ local aaa authentication ppp default group tacacs+ local aaa authorization network default if-authenticated ! aaa session-id common ! resource policy ! ip cef ! vpdn enable ! vpdn-group new ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! username cisco password 0 cisco ! interface FastEthernet0/0 no ip address shutdown duplex half ! interface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/1 ip address 10.0.2.101 255.255.255.0 duplex auto speed auto ! interface Virtual-Template1 ip unnumbered FastEthernet1/0 peer default ip address pool mypool no keepalive ppp encrypt mppe auto ppp authentication ms-chap-v2 ! ip local pool mypool 193.168.1.1 193.168.1.10 no ip http server no ip http secure-server ! logging alarm informational ! tacacs-server host 10.0.2.1 tacacs-server key cisco ! control-plane ! gatekeeper shutdown ! line con 0 stopbits 1 line aux 0 line vty 0 4 ! end Клиент подключается к Fa 1/0 В настройках ACS для пользователя настроены расширения протокола TACACS+: PPP IP, PPP VPDN, PPP LCP, Shell (exec), PIX Shell (pixshell), SLIP. На клиенте настроено: шифрование данных - необязательно, протокол проверки пароля MS-CHAP-V2. Проверял на PAP - работает. На MS-CHAP-V2 - нет. Помогите. Спасибо!
|
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, eek, 07:36 , 21-Мрт-11 (1)
Попробуйте без шифрования, на 4.21 заработало именно так.
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, D.Weider, 00:08 , 22-Мрт-11 (2)
> Попробуйте без шифрования, на 4.21 заработало именно так.Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt mppe ..., а на клиенте выставил "Шифрование данных - не разрешено". Не помогло. Вот лог: Router# *Mar 21 23:58:36.595: AAA/BIND(0000000A): Bind i/f *Mar 21 23:58:36.603: AAA/BIND(0000000A): Bind i/f Virtual-Template1 *Mar 21 23:58:36.627: ppp6 PPP: Send Message[Dynamic Bind Response] *Mar 21 23:58:36.631: ppp6 PPP: Using vpn set call direction *Mar 21 23:58:36.631: ppp6 PPP: Treating connection as a callin *Mar 21 23:58:36.631: ppp6 PPP: Session handle[D9000008] Session id[6] *Mar 21 23:58:36.631: ppp6 PPP: Phase is ESTABLISHING, Passive Open *Mar 21 23:58:36.631: ppp6 LCP: State is Listen *Mar 21 23:58:38.615: ppp6 LCP: Timeout: State Listen *Mar 21 23:58:38.615: ppp6 PPP: Authorization required *Mar 21 23:58:38.619: ppp6 LCP: O CONFREQ [Listen] id 1 len 15 *Mar 21 23:58:38.619: ppp6 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Mar 21 23:58:38.619: ppp6 LCP: MagicNumber 0x00269ACD (0x050600269ACD) *Mar 21 23:58:38.631: ppp6 LCP: I CONFACK [REQsent] id 1 len 15 *Mar 21 23:58:38.631: ppp6 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Mar 21 23:58:38.631: ppp6 LCP: MagicNumber 0x00269ACD (0x050600269ACD) *Mar 21 23:58:38.811: ppp6 LCP: I CONFREQ [ACKrcvd] id 1 len 21 *Mar 21 23:58:38.811: ppp6 LCP: MRU 1400 (0x01040578) *Mar 21 23:58:38.811: ppp6 LCP: MagicNumber 0x2C532D1C (0x05062C532D1C) *Mar 21 23:58:38.811: ppp6 LCP: PFC (0x0702) *Mar 21 23:58:38.811: ppp6 LCP: ACFC (0x0802) *Mar 21 23:58:38.811: ppp6 LCP: Callback 6 (0x0D0306) *Mar 21 23:58:38.811: ppp6 LCP: O CONFREJ [ACKrcvd] id 1 len 7 *Mar 21 23:58:38.811: ppp6 LCP: Callback 6 (0x0D0306) *Mar 21 23:58:38.815: ppp6 LCP: I CONFREQ [ACKrcvd] id 2 len 18 *Mar 21 23:58:38.815: ppp6 LCP: MRU 1400 (0x01040578) *Mar 21 23:58:38.815: ppp6 LCP: MagicNumber 0x2C532D1C (0x05062C532D1C) *Mar 21 23:58:38.819: ppp6 LCP: PFC (0x0702) *Mar 21 23:58:38.819: ppp6 LCP: ACFC (0x0802) *Mar 21 23:58:38.819: ppp6 LCP: O CONFNAK [ACKrcvd] id 2 len 8 *Mar 21 23:58:38.819: ppp6 LCP: MRU 1500 (0x010405DC) *Mar 21 23:58:38.827: ppp6 LCP: I CONFREQ [ACKrcvd] id 3 len 18 *Mar 21 23:58:38.827: ppp6 LCP: MRU 1400 (0x01040578) *Mar 21 23:58:38.827: ppp6 LCP: MagicNumber 0x2C532D1C (0x05062C532D1C) *Mar 21 23:58:38.827: ppp6 LCP: PFC (0x0702) *Mar 21 23:58:38.831: ppp6 LCP: ACFC (0x0802) *Mar 21 23:58:38.831: ppp6 LCP: O CONFNAK [ACKrcvd] id 3 len 8 *Mar 21 23:58:38.831: ppp6 LCP: MRU 1500 (0x010405DC) *Mar 21 23:58:38.835: ppp6 LCP: I CONFREQ [ACKrcvd] id 4 len 18 *Mar 21 23:58:38.839: ppp6 LCP: MRU 1500 (0x010405DC) *Mar 21 23:58:38.839: ppp6 LCP: MagicNumber 0x2C532D1C (0x05062C532D1C) *Mar 21 23:58:38.839: ppp6 LCP: PFC (0x0702) *Mar 21 23:58:38.839: ppp6 LCP: ACFC (0x0802) *Mar 21 23:58:38.843: ppp6 LCP: O CONFACK [ACKrcvd] id 4 len 18 *Mar 21 23:58:38.843: ppp6 LCP: MRU 1500 (0x010405DC) *Mar 21 23:58:38.843: ppp6 LCP: MagicNumber 0x2C532D1C (0x05062C532D1C) *Mar 21 23:58:38.843: ppp6 LCP: PFC (0x0702) *Mar 21 23:58:38.843: ppp6 LCP: ACFC (0x0802) *Mar 21 23:58:38.847: ppp6 LCP: State is Open *Mar 21 23:58:38.847: ppp6 PPP: Phase is AUTHENTICATING, by this end *Mar 21 23:58:38.859: ppp6 MS-CHAP-V2: O CHALLENGE id 1 len 27 from "Router" *Mar 21 23:58:38.859: ppp6 LCP: I IDENTIFY [Open] id 5 len 18 magic 0x2C532D1C MSRASV5.10 *Mar 21 23:58:38.863: ppp6 LCP: I IDENTIFY [Open] id 6 len 25 magic 0x2C532D1C MSRAS-0-WINCLIENT *Mar 21 23:58:38.863: ppp6 MS-CHAP-V2: I RESPONSE id 1 len 59 from "admin" *Mar 21 23:58:38.867: ppp6 PPP: Phase is FORWARDING, Attempting Forward *Mar 21 23:58:38.871: ppp6 PPP: Phase is AUTHENTICATING, Unauthenticated User *Mar 21 23:58:38.871: AAA/AUTHEN/PPP (0000000A): Pick method list 'default' *Mar 21 23:58:38.875: ppp6 PPP: Sent MSCHAP_V2 LOGIN Request *Mar 21 23:58:38.875: TPLUS: Queuing AAA Authentication request 10 for processing *Mar 21 23:58:38.879: TPLUS: processing authentication start request id 10 *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL *Mar 21 23:58:38.887: ppp6 MS-CHAP-V2: O FAILURE id 1 len 13 msg is "E=691 R=0" *Mar 21 23:58:38.895: ppp6 PPP: Sending Acct Event[Down] id[A] *Mar 21 23:58:38.903: ppp6 PPP: Phase is TERMINATING *Mar 21 23:58:38.903: ppp6 LCP: O TERMREQ [Open] id 2 len 4 *Mar 21 23:58:38.915: ppp6 LCP: I TERMACK [TERMsent] id 2 len 4 *Mar 21 23:58:38.915: ppp6 LCP: State is Closed *Mar 21 23:58:38.915: ppp6 PPP: Phase is DOWN *Mar 21 23:58:38.919: ppp6 PPP: Send Message[Disconnect] Вот захожу на маршрутизатор по Telnet - в снифере WireShark наблюдаю запрос к ACS 9 21.180000 10.0.2.254 10.0.2.1 TACACS+ Q: Authentication При установлении PPTP-соединения никаких следов в снифере. Очень странно почему.
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, eek, 10:26 , 22-Мрт-11 (3)
В моем случае вариант без шифрования не подходил совсем. Потому я перешел на easy vpn. Чего и вам советую.
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, AlexDv, 13:26 , 22-Мрт-11 (4)
>> Попробуйте без шифрования, на 4.21 заработало именно так. > Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt > mppe ..., а на клиенте выставил "Шифрование данных - не разрешено". > Не помогло. > Вот лог: [skipped] *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Так вот оно. Смотрите в сторону ACS.
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, D.Weider, 22:35 , 22-Мрт-11 (5)
>>> Попробуйте без шифрования, на 4.21 заработало именно так. >> Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt >> mppe ..., а на клиенте выставил "Шифрование данных - не разрешено". >> Не помогло. >> Вот лог: > [skipped] > *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ > Так вот оно. Смотрите в сторону ACS.Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до максимального. В журналах тишина. Ни одного следа о происходящих процессах. И опять же пустой лог снифера. Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос. Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, D.Weider, 22:52 , 22-Мрт-11 (6)
>[оверквотинг удален] >>> Вот лог: >> [skipped] >> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL >> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >> Так вот оно. Смотрите в сторону ACS. > Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до > максимального. В журналах тишина. Ни одного следа о происходящих процессах. И > опять же пустой лог снифера. > Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос. > Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?Есть какой-нить способ получения более детальной информации о происходящих событиях, в частности трафике проходящем через маршрутизатор?
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, Myxa, 08:39 , 23-Мрт-11 (7)
> Есть какой-нить способ получения более детальной информации о происходящих событиях, в > частности трафике проходящем через маршрутизатор?счетчики show tacacs + debug tacacs events вам в помощь.
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, fantom, 09:28 , 23-Мрт-11 (8)
>[оверквотинг удален] >>> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL >>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >>> Так вот оно. Смотрите в сторону ACS. >> Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до >> максимального. В журналах тишина. Ни одного следа о происходящих процессах. И >> опять же пустой лог снифера. >> Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос. >> Может с маршрутами какая-то беда? В данном методе нет никаких особенностей? > Есть какой-нить способ получения более детальной информации о происходящих событиях, в > частности трафике проходящем через маршрутизатор?debug на кошке
- Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS, AlexDv, 15:46 , 23-Мрт-11 (9)
>[оверквотинг удален] >>> Вот лог: >> [skipped] >> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL >> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ >> Так вот оно. Смотрите в сторону ACS. > Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до > максимального. В журналах тишина. Ни одного следа о происходящих процессах. И > опять же пустой лог снифера. > Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос. > Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?Смотрите как выглядит с Радиусом ppp660 MS-CHAP-V2: O CHALLENGE id 1 len 28 from "cs2811" ppp660 MS-CHAP-V2: I RESPONSE id 1 len 64 from "user" ppp660 PPP: Sent MSCHAP_V2 LOGIN Request ppp660 PPP: Received LOGIN Response PASS А у вас приходит FAIL. Насколько помню, O и I означают out и in, т.е. ответы все-таки на роутер приходят.
|