Приветствую дядьки.
Чото я заклинил - есть ASA, на ней настроен Anyconnect который смотрит на RADIUS. Если логинится локальный пользователь то все работает и ASA лезет в RADIUS, но ели локального пользователя нет ASA в RADIUS даже не пытается ломиться. Насколько я понимаю AAA там вообще не причем, в чем может быть засада?

В настройке профиля эниконнекта, есть метод аутентификации по сервер групп (выбираем радиус) и есть галка, что в случае фейла использовать локал. но в радиус она лезет всегда, если он выбран основным

Так в том то и дело что оно даже не пытается лезть в RADIUS при отсутствующем локальном аккаунте. Вот так это выглядит

а чего в aaa прописано?

я вот не помню зачем нужен accounting-server-group, у меня он не прописан совсем

В aaa прописано
Но это же не имеет значения для Anyconnect. Accounting для аккаунтинга и нужен, на авторизацию не влияет. Засада в том что у меня есть другие асы с рабочими эниконнектами, но принципиальных различий в конфиге в упор не вижу.

а настройки радиуса на asa?

Да нормально все с радиусом, когда захожу имеющимся локальным пользователем в дебаге вижу обращение к радиусу и положительный ответ от него.

Какой локальный пользователь имеется ввиду? и зачем тогда аса лезет на радиус ?

Локальный который в username прописан, а в RADIUS он лезет потому что в конфиге так прописано. Вопрос почему ASA не спрашивает RADIUS если локального пользователя нет.

А почему только LOCAL в ААА ?

У меня правда прикручено не к радиусу, а к такаксу и выглядит это так:

aaa authentication ssh console TCS LOCAL

Потому что для управления асой мне нужны только локальные аккаунты, а anyconnect в aaa вообще по идее не смотрит.

Все так. В tunnel-group прописываешь метод аутентификации и акаунтинга для пользунов эниконекта. Все остальные манипуляции с ААА в других разделах не влияют на эниконект
дай sh run | grep aaa и sh run tunnel-group

З.Ы. authentication-server-group (p2p) rad1
Странно выглядит это p2p, откуда такое? У меня просто:
authentication-server-group rad

p2p это интерфейс так называется, там все правильно и test aaa authentication проходит. Вот конфиг

и все взлетит)

Не помогло, тем более оно по умолчанию так. Команду прописываю, но в конфиге оно не показывается.

Я бы попробовал убрать p2p.

По крайней мере у меня так.

Можно еще во время конекта глянуть на "debug radius all"
Там много чего интересного есть

Благодарю, помогло, но в упор не пойму почему. RADIUS сервер доступен именно через интерфейс p2p, на других ASA такая конструкция работает, колдунство какое-то.

ACL?
отдебаж RADIUS, командой выше. Сбрось, глянем все

Да чо дебажить, заработало уже все. Дело не в ACL а в том что ASA и не пыталась у RADIUS ничего спрашивать если локальный аккаунт не прописан. Кстати если локальный аккаунт прописан, но в Anyconnect ломлюсь с неправильным паролем ASA у RADIUS тоже ничего не спрашивала.