Anticisco
https://anticisco.ru/forum/

IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS)
https://anticisco.ru/forum/viewtopic.php?f=8&t=711
Страница 1 из 1

Автор:  j_vw [ 22 апр 2010, 19:55 ]
Заголовок сообщения:  IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS)

В данный момент есть стенд на GNS+VMWare.
На VM крутится Cisco ACS 4.2 (4.2(0) Build 124)

Задача: настроить VPN Client с per-user (в данном варианте, per-group) ACL.

Есть, вроде, две “примитивные” статьи, как ОНО должно быть:

1. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication”
http://www.cisco.com/en/US/tech/tk583/t ... 46b7.shtml
2. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS”
http://www.cisco.com/en/US/tech/tk583/t ... 49ba.shtml

OK, ставим ACS, прописываем клиентом нужную кошку…..

Делаем 1. – все работает…..
Пытаемся сделать 2. – засада.
a) Ну, во первых, прописывается несколько паролей:
1. В USER (3000client) –cisco
2. В Группе - IETF RADIUS Attributes - [069] Tunnel-Password – cisco123
Какой “правильный”?
В книжке говориться: “Attribute 69: Tunnel-Password=cisco123 (this is your group password on the VPN Client)”…. А первый, тогда, к чему?
Кроме того, изначально, 069 опции нет…(Включил через Interface-Radius(IETF))

b) Прописываем cisco-av-pair
ipsec:key-exchange=ike
ipsec:key-exchange=preshared-key (какой?!!)
ipsec:addr-pool=IPPOLL
ipsec:inacl=AC

Фик с ним, ставим одинаковые пароли в user и group

Пытаемся “сцепиться”:
Клиент не цепляется…
1. В логе ACS - “ACS password invalid” (группу правильно определяет)
2. На кошке - %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from “CLIENT IP” was not encrypted and it should've been.
Последнее, вроде, говорит о том, что IKE не срабатывает…Т.е., кошке не передается приемлемого профайла.
Повторюсь…
Если группу прописывать “руками”, то все работает…

В чем не прав и что упустил?

Автор:  Fedia [ 22 апр 2010, 23:16 ]
Заголовок сообщения:  Re: IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS)

Смутно вспоминаю: по-моему был такой колхоз:

1. Для радиуса на циске прописывается
radius-common-password или что-то такое.

2. На РАДИУС-сервере прописывается пользователь с именем группы и паролем - тем же, что и в radius-common-password
3. К нему привязывается обычный подгружаемый ACL

ВОт только кажется этот колхоз был нужен для certificate-only аутентифкации... Но может поможет. Надо ещё подумать, но не в час ночи :)

Автор:  j_vw [ 24 апр 2010, 09:30 ]
Заголовок сообщения:  Re: IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS)

Все разобрался....
Сам придурок ;)
Черным, по английски написано:


Specify the password cisco for this user.

This password is a special keyword for Cisco IOS, which indicates a group profile must be referenced.
You can map the user to a Cisco Secure group if you prefer

А я, по наивности, свои пароли бил ;)

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/