Добрый день!
Имеется cisco 1841, хочется поднять на ней VPN с аутентификацией в виндовом домене. Клиент цепляется к роутеру с помощью cisco vpn client. В настройках клиента указано "Group Authentication: name - VPN-CLIENT, password - zzzzzzzzzz". Проблема в том, что цисковский клиент не запрашивает пользователя/пароль, судя по дебагу он пытается использовать то, что указано ему в group authentication. Естественно, получает отлуп от радиус-сервера (IAS): "Пользователю VPN-CLIENT отказано в доступе".
При заходе на циску по ssh аутентификация в домене отрабатывает нормально.

Извиняюсь, несколько сумбурно все, просто я в этой теме не силен.

вот конфиг:

version 12.4

aaa new-model
aaa authentication login default group radius local      
aaa authentication login VPN-AUTHEN group radius
aaa authorization network VPN-AUTHOR group radius

!
aaa session-id common
!
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN-CLIENT
key zzzzzzzzzzzzz
dns 192.168.2.1 192.168.1.2
domain domain.local
pool POOL-VPN

crypto isakmp profile VPN-PROFILE
   match identity group VPN-CLIENT
   client authentication list VPN-AUTHEN
   isakmp authorization list VPN-AUTHOR
   client configuration address respond
!
!
crypto ipsec transform-set CRYPTOSET-VPN esp-3des esp-md5-hmac
!
crypto dynamic-map CRYPTOMAP-DYNAMIC 10
set transform-set CRYPTOSET-VPN
set isakmp-profile VPN-PROFILE
!
!
crypto map CRYPTOMAP-VPN 10 ipsec-isakmp dynamic CRYPTOMAP-DYNAMIC
!
!
!
interface FastEthernet0/0
ip address 11.22.33.44 255.255.255.192
ip access-group FW in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed 10
no cdp enable
no mop enabled
crypto map CRYPTOMAP-VPN
!

radius-server host 192.168.2.1 auth-port 1645 acct-port 1646
radius-server key 7 yyyyyyyyyyyyyyy
!

кусок дебага:
...
Jul 30 08:20:39.647: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Jul 30 08:20:39.703: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0
Jul 30 08:20:39.771: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0
Jul 30 08:20:39.775: AAA/AUTHOR (0x46): Pick method list 'VPN-AUTHOR'
Jul 30 08:20:39.775: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH
Jul 30 08:20:39.775: ISAKMP:(0:1:SW:1):Old State = IKE_READY  New State = IKE_R_AM_AAA_AWAIT

Jul 30 08:20:39.775: RADIUS/ENCODE(00000046):Orig. component type = VPN_IPSEC
...
Jul 30 08:20:39.779: RADIUS:  User-Name           [1]   12  "VPN-CLIENT"
Jul 30 08:20:39.779: RADIUS:  User-Password       [2]   18  *
Jul 30 08:20:39.779: RADIUS:  Calling-Station-Id  [31]  13  "192.168.1.7"
Jul 30 08:20:39.779: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 30 08:20:39.779: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Jul 30 08:20:39.779: RADIUS:  Service-Type        [6]   6   Outbound                  [5]
Jul 30 08:20:39.779: RADIUS:  NAS-IP-Address      [4]   6   192.168.2.251
Jul 30 08:20:39.779: RADIUS: Received from id 1645/43 192.168.2.1:1645, Access-Reject, len 20
...