The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"RADIUS и cisco-av-pair"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"RADIUS и cisco-av-pair"  
Сообщение от Serg_IV email(ok) on 09-Июл-07, 14:33 
Имеется сетка, к ней извне подключаются при помощи CISCO VPN Client, маршрутизатор cisco 2821. Настроил аутентификацию VPN пользователей на радиусе, все работает. Теперь пытаюсь прикрутить к пользователям скачиваемые ACL. На радиусе в политике доступа прописываю cisco-av-pair к примеру ip:inacl#1=permit tcp any any eq telnet. Но ничего не работает. В чем может быть причина?

вот дебаг

cis2821#show debug
General OS:
    AAA Authentication debugging is on
    AAA Authorization debugging is on

Radius protocol debugging is on
Radius packet protocol debugging is on

*Jul 9 10:29:02.231: AAA/BIND(0000000B): Bind i/f
*Jul 9 10:29:02.287: AAA/AUTHOR (0xB): Pick method list 'VPNcli'
*Jul 9 10:29:02.287: RADIUS/ENCODE(0000000B):Orig. component type = VPN_IPSEC
*Jul 9 10:29:02.287: RADIUS(0000000B): Config NAS IP: 0.0.0.0
*Jul 9 10:29:02.287: RADIUS/ENCODE(0000000B): acct_session_id: 8
*Jul 9 10:29:02.287: RADIUS(0000000B): sending
*Jul 9 10:29:02.287: RADIUS/ENCODE: Best Local IP-Address 192.168.20.35 for Radius-Server 192.168.20.4
*Jul 9 10:29:02.287: RADIUS(0000000B): Send Access-Request to 192.168.20.4:1645 id 1645/8, len 86
*Jul 9 10:29:02.287: RADIUS: authenticator 42 78 22 F7 B5 E7 43 E1 - C9 35 68 16 50 12 93 B5
*Jul 9 10:29:02.287: RADIUS: User-Name [1] 7 "cisIT"
*Jul 9 10:29:02.287: RADIUS: User-Password [2] 18 *
*Jul 9 10:29:02.287: RADIUS: Calling-Station-Id [31] 17 "192.168.110.112"
*Jul 9 10:29:02.287: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
*Jul 9 10:29:02.287: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
*Jul 9 10:29:02.287: RADIUS: Service-Type [6] 6 Outbound [5]
*Jul 9 10:29:02.287: RADIUS: NAS-IP-Address [4] 6 192.168.20.35
*Jul 9 10:29:02.291: RADIUS: Received from id 1645/8 192.168.20.4:1645, Access-Accept, len 109
*Jul 9 10:29:02.291: RADIUS: authenticator 06 A8 BD 75 35 42 45 87 - C8 57 6E 87 1A 21 C5 D2
*Jul 9 10:29:02.291: RADIUS: Service-Type [6] 6 Outbound [5]
*Jul 9 10:29:02.291: RADIUS: Tunnel-Type [64] 6 00:ESP [9]
*Jul 9 10:29:02.291: RADIUS: Class [25] 32
*Jul 9 10:29:02.291: RADIUS: 5E E0 07 22 00 00 01 37 00 01 C0 A8 14 04 01 C7 [^??"???7????????]
*Jul 9 10:29:02.291: RADIUS: BF A6 BB 90 97 F7 00 00 00 00 00 00 00 62 [?????????????b]
*Jul 9 10:29:02.291: RADIUS: Vendor, Microsoft [26] 12
*Jul 9 10:29:02.291: RADIUS: MS-MPPE-Enc-Policy [7] 6
*Jul 9 10:29:02.291: RADIUS: 00 00 00 01 [????]
*Jul 9 10:29:02.291: RADIUS: Vendor, Microsoft [26] 12
*Jul 9 10:29:02.291: RADIUS: MS-MPPE-Enc-Type [8] 6
*Jul 9 10:29:02.291: RADIUS: 00 00 00 00 [????]
*Jul 9 10:29:02.291: RADIUS: Tunnel-Password [69] 21 00:*
*Jul 9 10:29:02.295: RADIUS(0000000B): Received from id 1645/8
*Jul 9 10:29:02.303: AAA/BIND(0000000C): Bind i/f
*Jul 9 10:29:05.467: AAA/AUTHEN/LOGIN (0000000C): Pick method list 'VPNcli'
*Jul 9 10:29:05.471: RADIUS/ENCODE(0000000C):Orig. component type = VPN_IPSEC
*Jul 9 10:29:05.471: RADIUS/ENCODE(0000000C): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
*Jul 9 10:29:05.471: RADIUS(0000000C): Config NAS IP: 0.0.0.0
*Jul 9 10:29:05.471: RADIUS/ENCODE(0000000C): acct_session_id: 9
*Jul 9 10:29:05.471: RADIUS(0000000C): sending
*Jul 9 10:29:05.471: RADIUS/ENCODE: Best Local IP-Address 192.168.20.35 for Radius-Server 192.168.20.4
*Jul 9 10:29:05.471: RADIUS(0000000C): Send Access-Request to 192.168.20.4:1645 id 1645/9, len 66
*Jul 9 10:29:05.471: RADIUS: authenticator E0 58 27 67 94 DD E7 C8 - D8 7B 41 2A 47 B4 AE 85
*Jul 9 10:29:05.471: RADIUS: User-Name [1] 5 "isa"
*Jul 9 10:29:05.471: RADIUS: User-Password [2] 18 *
*Jul 9 10:29:05.471: RADIUS: Calling-Station-Id [31] 17 "192.168.110.112"
*Jul 9 10:29:05.471: RADIUS: NAS-IP-Address [4] 6 192.168.20.35
*Jul 9 10:29:05.475: RADIUS: Received from id 1645/9 192.168.20.4:1645, Access-Accept, len 303
*Jul 9 10:29:05.475: RADIUS: authenticator CD A7 97 FC 56 4E 29 8A - 33 A6 E1 99 3F CA E9 5E
*Jul 9 10:29:05.475: RADIUS: Framed-Protocol [7] 6 PPP [1]
*Jul 9 10:29:05.475: RADIUS: Service-Type [6] 6 Framed [2]
*Jul 9 10:29:05.475: RADIUS: Class [25] 32
*Jul 9 10:29:05.475: RADIUS: 5E E1 07 23 00 00 01 37 00 01 C0 A8 14 04 01 C7 [^??#???7????????]
*Jul 9 10:29:05.475: RADIUS: BF A6 BB 90 97 F7 00 00 00 00 00 00 00 63 [?????????????c]
*Jul 9 10:29:05.475: RADIUS: Vendor, Cisco [26] 30
*Jul 9 10:29:05.475: RADIUS: Cisco AVpair [1] 24 "ipsec:key-exchange=ike"
*Jul 9 10:29:05.475: RADIUS: Vendor, Cisco [26] 40
*Jul 9 10:29:05.475: RADIUS: Cisco AVpair [1] 34 "ipsec:key-exchange=preshared-key"
*Jul 9 10:29:05.475: RADIUS: Vendor, Cisco [26] 31
*Jul 9 10:29:05.475: RADIUS: Cisco AVpair [1] 25 "ipsec:addr-pool=KHEpool"
*Jul 9 10:29:05.479: RADIUS: Vendor, Cisco [26] 29
*Jul 9 10:29:05.479: RADIUS: Cisco AVpair [1] 23 "ipsec:inacl=AllintNet"
*Jul 9 10:29:05.479: RADIUS: Vendor, Cisco [26] 38
*Jul 9 10:29:05.479: RADIUS: Cisco AVpair [1] 32 "ipsec:dns-servers=192.168.20.4"
*Jul 9 10:29:05.479: RADIUS: Vendor, Cisco [26] 47
*Jul 9 10:29:05.479: RADIUS: Cisco AVpair [1] 41 "ip:inacl#1=permit tcp any any eq telnet"
*Jul 9 10:29:05.479: RADIUS: Vendor, Microsoft [26] 12
*Jul 9 10:29:05.479: RADIUS: MS-MPPE-Enc-Policy [7] 6
*Jul 9 10:29:05.479: RADIUS: 00 00 00 01 [????]
*Jul 9 10:29:05.479: RADIUS: Vendor, Microsoft [26] 12
*Jul 9 10:29:05.479: RADIUS: MS-MPPE-Enc-Type [8] 6
*Jul 9 10:29:05.479: RADIUS: 00 00 00 00 [????]
*Jul 9 10:29:05.479: RADIUS(0000000C): Rec

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "RADIUS и cisco-av-pair"  
Сообщение от Serg_IV email(ok) on 09-Июл-07, 16:02 
Натраиваю все тоже самое при подключении PPTP все работает.
Может, при подключении через CISCO VPN Client этот функционал не работает?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "RADIUS и cisco-av-pair"  
Сообщение от Pcom (ok) on 09-Июл-07, 18:09 
>Имеется сетка, к ней извне подключаются при помощи CISCO VPN Client, маршрутизатор
>cisco 2821. Настроил аутентификацию VPN пользователей на радиусе, все работает. Теперь
>пытаюсь прикрутить к пользователям скачиваемые ACL. На радиусе в политике доступа
>прописываю cisco-av-pair к примеру ip:inacl#1=permit tcp any any eq telnet. Но
>ничего не работает. В чем может быть причина?
>

Попробуйте так:

cisco-avpair += "ipsec:inacl=xxx"

где xxx - номер access листа заведенного на циске.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "RADIUS и cisco-av-pair"  
Сообщение от Pcom (ok) on 09-Июл-07, 18:13 
>>Имеется сетка, к ней извне подключаются при помощи CISCO VPN Client, маршрутизатор
>>cisco 2821. Настроил аутентификацию VPN пользователей на радиусе, все работает. Теперь
>>пытаюсь прикрутить к пользователям скачиваемые ACL. На радиусе в политике доступа
>>прописываю cisco-av-pair к примеру ip:inacl#1=permit tcp any any eq telnet. Но
>>ничего не работает. В чем может быть причина?
>>
>
>Попробуйте так:
>
>cisco-avpair += "ipsec:inacl=xxx"
>
>где xxx - номер access листа заведенного на циске.


В дебаге вижу, что access list уже такой командой подгружается..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "RADIUS и cisco-av-pair"  
Сообщение от Serg_IV email(ok) on 10-Июл-07, 12:12 

>
>В дебаге вижу, что access list уже такой командой подгружается..

ipsec:inacl= этот авпаир используется только для сплит туннелинга к сожалению

вот нашел пример с применяемым аклом, но этот ACL конфигурится локально, может кто подскажет как перенести ACL "per-group-acl" на радиус

aaa new-model
!
!
aaa authentication login default local
aaa authentication login noAAA none
aaa authorization network default local
!
aaa attribute list per-group
attribute type inacl "per-group-acl" service ike protocol ip mandatory
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
username example password 0 example
!
!
crypto isakmp policy 3
authentication pre-share
group 2
crypto isakmp xauth timeout 90
!
crypto isakmp client configuration group PerUserAAA
key cisco
pool dpool
crypto aaa attribute list per-group
!
crypto isakmp profile vi
match identity group PerUserAAA
isakmp authorization list default
client configuration address respond
client configuration group PerUserAAA
virtual-template 1
!
!
crypto ipsec transform-set set esp-3des esp-sha-hmac
!
crypto ipsec profile vi
set transform-set set
set isakmp-profile vi
!
!
interface GigabitEthernet0/0
description 'EzVPN Peer'
ip address 192.168.1.1 255.255.255.128
duplex full
speed 100
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
media-type rj45
no negotiation auto
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile vi
!
ip local pool dpool 10.5.0.1 10.5.0.10
ip classless
!
no ip http server
no ip http secure-server
!
!
ip access-list extended per-group-acl
permit tcp any any
deny icmp any any
logging alarm informational
logging trap debugging
!
control-plane
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "RADIUS и cisco-av-pair"  
Сообщение от nd4 on 19-Ноя-08, 09:28 
>
>>
>>В дебаге вижу, что access list уже такой командой подгружается..
>
>ipsec:inacl= этот авпаир используется только для сплит туннелинга к сожалению
>
>вот нашел пример с применяемым аклом, но этот ACL конфигурится локально, может
>кто подскажет как перенести ACL "per-group-acl" на радиус

если коннект через webvpn то в авпаир пишем что-то вроде "webvpn:inacl#XXX=permit ip any any", если коннект через цисковый впн клиент, то пишем что-нить вроде "ip:inacl#XXX= permit ip any any"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру