Anticisco https://anticisco.ru/forum/ |
|
IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS) https://anticisco.ru/forum/viewtopic.php?f=8&t=711 |
Страница 1 из 1 |
Автор: | j_vw [ 22 апр 2010, 19:55 ] |
Заголовок сообщения: | IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS) |
В данный момент есть стенд на GNS+VMWare. На VM крутится Cisco ACS 4.2 (4.2(0) Build 124) Задача: настроить VPN Client с per-user (в данном варианте, per-group) ACL. Есть, вроде, две “примитивные” статьи, как ОНО должно быть: 1. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication” http://www.cisco.com/en/US/tech/tk583/t ... 46b7.shtml 2. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS” http://www.cisco.com/en/US/tech/tk583/t ... 49ba.shtml OK, ставим ACS, прописываем клиентом нужную кошку….. Делаем 1. – все работает….. Пытаемся сделать 2. – засада. a) Ну, во первых, прописывается несколько паролей: 1. В USER (3000client) –cisco 2. В Группе - IETF RADIUS Attributes - [069] Tunnel-Password – cisco123 Какой “правильный”? В книжке говориться: “Attribute 69: Tunnel-Password=cisco123 (this is your group password on the VPN Client)”…. А первый, тогда, к чему? Кроме того, изначально, 069 опции нет…(Включил через Interface-Radius(IETF)) b) Прописываем cisco-av-pair ipsec:key-exchange=ike ipsec:key-exchange=preshared-key (какой?!!) ipsec:addr-pool=IPPOLL ipsec:inacl=AC Фик с ним, ставим одинаковые пароли в user и group Пытаемся “сцепиться”: Клиент не цепляется… 1. В логе ACS - “ACS password invalid” (группу правильно определяет) 2. На кошке - %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from “CLIENT IP” was not encrypted and it should've been. Последнее, вроде, говорит о том, что IKE не срабатывает…Т.е., кошке не передается приемлемого профайла. Повторюсь… Если группу прописывать “руками”, то все работает… В чем не прав и что упустил? |
Автор: | Fedia [ 22 апр 2010, 23:16 ] |
Заголовок сообщения: | Re: IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS) |
Смутно вспоминаю: по-моему был такой колхоз: 1. Для радиуса на циске прописывается radius-common-password или что-то такое. 2. На РАДИУС-сервере прописывается пользователь с именем группы и паролем - тем же, что и в radius-common-password 3. К нему привязывается обычный подгружаемый ACL ВОт только кажется этот колхоз был нужен для certificate-only аутентифкации... Но может поможет. Надо ещё подумать, но не в час ночи |
Автор: | j_vw [ 24 апр 2010, 09:30 ] |
Заголовок сообщения: | Re: IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS) |
Все разобрался.... Сам придурок Черным, по английски написано: Specify the password cisco for this user. This password is a special keyword for Cisco IOS, which indicates a group profile must be referenced. You can map the user to a Cisco Secure group if you prefer А я, по наивности, свои пароли бил |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |