Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 12:22



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 3 ] 
IOS Router and a Cisco VPN Client 4.x Using RADIUS(ACS) 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 164
В данный момент есть стенд на GNS+VMWare.
На VM крутится Cisco ACS 4.2 (4.2(0) Build 124)

Задача: настроить VPN Client с per-user (в данном варианте, per-group) ACL.

Есть, вроде, две “примитивные” статьи, как ОНО должно быть:

1. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication”
http://www.cisco.com/en/US/tech/tk583/t ... 46b7.shtml
2. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS”
http://www.cisco.com/en/US/tech/tk583/t ... 49ba.shtml

OK, ставим ACS, прописываем клиентом нужную кошку…..

Делаем 1. – все работает…..
Пытаемся сделать 2. – засада.
a) Ну, во первых, прописывается несколько паролей:
1. В USER (3000client) –cisco
2. В Группе - IETF RADIUS Attributes - [069] Tunnel-Password – cisco123
Какой “правильный”?
В книжке говориться: “Attribute 69: Tunnel-Password=cisco123 (this is your group password on the VPN Client)”…. А первый, тогда, к чему?
Кроме того, изначально, 069 опции нет…(Включил через Interface-Radius(IETF))

b) Прописываем cisco-av-pair
ipsec:key-exchange=ike
ipsec:key-exchange=preshared-key (какой?!!)
ipsec:addr-pool=IPPOLL
ipsec:inacl=AC

Фик с ним, ставим одинаковые пароли в user и group

Пытаемся “сцепиться”:
Клиент не цепляется…
1. В логе ACS - “ACS password invalid” (группу правильно определяет)
2. На кошке - %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from “CLIENT IP” was not encrypted and it should've been.
Последнее, вроде, говорит о том, что IKE не срабатывает…Т.е., кошке не передается приемлемого профайла.
Повторюсь…
Если группу прописывать “руками”, то все работает…

В чем не прав и что упустил?


22 апр 2010, 19:55
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Смутно вспоминаю: по-моему был такой колхоз:

1. Для радиуса на циске прописывается
radius-common-password или что-то такое.

2. На РАДИУС-сервере прописывается пользователь с именем группы и паролем - тем же, что и в radius-common-password
3. К нему привязывается обычный подгружаемый ACL

ВОт только кажется этот колхоз был нужен для certificate-only аутентифкации... Но может поможет. Надо ещё подумать, но не в час ночи :)


22 апр 2010, 23:16
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 164
Все разобрался....
Сам придурок ;)
Черным, по английски написано:


Specify the password cisco for this user.

This password is a special keyword for Cisco IOS, which indicates a group profile must be referenced.
You can map the user to a Cisco Secure group if you prefer

А я, по наивности, свои пароли бил ;)


24 апр 2010, 09:30
Профиль
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB