URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16255
[ Назад ]

Исходное сообщение
"PPTP Server on Cisco 851"
Отправлено Gudy , 13-Май-08 17:54

День добрый, коллеги.

Имеется следующая трабла.

Есть маленькая локалка 10.15.0.0/24
В ней имеется Cisco 851 она же есть шлюз, она же несёт на себе роль DHCP.


Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(4)T8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Sat 11-Aug-07 03:29 by khuieROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

Но вот возникла необходимость поднять на нём PPTP сервер, нашёл мануал поднял так:


aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp vpn local
aaa authorization console
aaa authorization exec default local
aaa authorization network vpn local
!ip subnet-zero
ip dhcp excluded-address 10.15.0.1
ip dhcp excluded-address 10.15.0.2
!
ip dhcp pool DHCPPOOL
   import all
   network 10.15.0.0 255.255.255.0
   default-router 10.15.0.1
   dns-server 10.15.0.2 10.15.0.1 195.112.*.*
   domain-name wr
   lease 2
!
ip cef
ip domain name NAMETHERE
ip name-server 195.112.*.*
ip name-server 195.112.*.*
vpdn enable
username vpn password 0 test
username vpn aaa attribute list vpn
interface FastEthernet4
 ip address *.*.*.* 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip unnumbered Vlan1
 peer default ip address dhcp-pool DHCPPOOL
 ppp authentication ms-chap
!
interface Vlan1
 ip address 10.15.0.1 255.255.255.0
 ip broadcast-address 10.15.0.255
 ip nat inside
 ip virtual-reassembly
!
ip default-gateway *.*.*.*
ip classless
ip route 0.0.0.0 0.0.0.0 *.*.*.*

Впн подключается, но имеется такая проблема:


testpptp - PPP адаптер:        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-53-45-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 10.15.0.19
        Маска подсети . . . . . . . . . . : 255.255.255.255
        Основной шлюз . . . . . . . . . . :
        DNS-серверы . . . . . . . . . . . : 195.112.*.*
                                                     195.112.*.*

Тоесть АДРЕС назначается из правильного пула, а вот остальное (DNS, GW, MASK) назначается не пойми как.
Почему? В чём не прав? куда копать?

Содержание

PPTP Server on Cisco 851,fantom, 18:04 , 13-Май-08
- PPTP Server on Cisco 851,Gudy, 22:21 , 13-Май-08
  - PPTP Server on Cisco 851,Gudy, 16:09 , 17-Май-08
    - PPTP Server on Cisco 851,stitch636, 17:00 , 28-Май-08
      - PPTP Server on Cisco 851,Gudy, 00:11 , 07-Июн-08
        
        PPTP Server on Cisco 851,AlexDv, 09:38 , 07-Июн-08
        
        PPTP Server on Cisco 851,Gudy, 13:08 , 07-Июн-08
        
        PPTP Server on Cisco 851,AlexDv, 13:26 , 07-Июн-08
        
        PPTP Server on Cisco 851,Gudy, 13:29 , 07-Июн-08
        
        PPTP Server on Cisco 851,AlexDv, 14:06 , 07-Июн-08

Сообщения в этом обсуждении

"PPTP Server on Cisco 851"
Отправлено fantom , 13-Май-08 18:04

>[оверквотинг удален]
>
>
>
>
>        195.112.*.*
>
>
>Тоесть АДРЕС назначается из правильного пула, а вот остальное (DNS, GW, MASK)
>назначается не пойми как.
>Почему? В чём не прав? куда копать?
Все какраз правильно назначается.
Хотите назначить другой ДНС?
на Virtual-Template1
ppp ipcp dns
маска такая т.к. интерфейс-то ppp а не широковещательный.

"PPTP Server on Cisco 851"
Отправлено Gudy , 13-Май-08 22:21

>[оверквотинг удален]
>>Тоесть АДРЕС назначается из правильного пула, а вот остальное (DNS, GW, MASK)
>>назначается не пойми как.
>>Почему? В чём не прав? куда копать?
>
>Все какраз правильно назначается.
>Хотите назначить другой ДНС?
>на Virtual-Template1
>ppp ipcp dns
>
>маска такая т.к. интерфейс-то ppp а не широковещательный.
Для меня важны ДНС сервера.

"PPTP Server on Cisco 851"
Отправлено Gudy , 17-Май-08 16:09

>[оверквотинг удален]
>>>Почему? В чём не прав? куда копать?
>>
>>Все какраз правильно назначается.
>>Хотите назначить другой ДНС?
>>на Virtual-Template1
>>ppp ipcp dns
>>
>>маска такая т.к. интерфейс-то ppp а не широковещательный.
>
>Для меня важны ДНС сервера.
Спасибо, за внимание, проблема разрешилась.
Но назрел другой вопрос:
Очень не хочется заводить каждого удалённого пользователя на Cisco. Можно как вариант поднять Radius, но интересует может ли Cisco аутентифицировать пользователей через AD. Ибо AD всё равно стоит и работает.
Спасибо.

"PPTP Server on Cisco 851"
Отправлено stitch636 , 28-Май-08 17:00

Поднимите IAS (Radius) на Windows-сервере
и привяжите его к AD.
Займёт 5 минут :)

"PPTP Server on Cisco 851"
Отправлено Gudy , 07-Июн-08 00:11

>Поднимите IAS (Radius) на Windows-сервере
>и привяжите его к AD.
>Займёт 5 минут :)
Не дружится.
718 ошибка.
IAS запросы принимает, пишет логи, но формат их жесток и не читаем.

"PPTP Server on Cisco 851"
Отправлено AlexDv , 07-Июн-08 09:38

>>Поднимите IAS (Radius) на Windows-сервере
>>и привяжите его к AD.
>>Займёт 5 минут :)
>
>Не дружится.
>718 ошибка.
>IAS запросы принимает, пишет логи, но формат их жесток и не читаем.
>
1. Записи дублируются в стандартном Event Log-е в читаемом формате.
2. Есть парсеры, переводящие лог IAS в более читаемый формат.

"PPTP Server on Cisco 851"
Отправлено Gudy , 07-Июн-08 13:08

>[оверквотинг удален]
>>>и привяжите его к AD.
>>>Займёт 5 минут :)
>>
>>Не дружится.
>>718 ошибка.
>>IAS запросы принимает, пишет логи, но формат их жесток и не читаем.
>>
>
>1. Записи дублируются в стандартном Event Log-е в читаемом формате.
>2. Есть парсеры, переводящие лог IAS в более читаемый формат.
Да, с логами разобрался. eventvwr гласит следующее:
Пользователю "administrator" отказано в доступе.
Полное-имя-пользователя = <не определено>
NAS-IP-адрес = 10.15.0.1
NAS-идентификатор = <нет данных>
Идентификатор-вызываемой-станции = <нет данных>
Идентификатор-вызывающей-станции = <нет данных>
Понятное-имя-клиента = NAME
IP-адрес-клиента = 10.15.0.1
Тип-NAS-порта = Virtual
NAS-порт = 59
Имя-политики-прокси = <отсутствует>
Поставщик-проверки-подлинности = <не определено>
Сервер-проверки-подлинности = <не определено>
Имя-политики = <не определено>
Тип-проверки-подлинности = <не определено>
Тип-EAP = <не определено>
Код-причины = 49
Причина = Попытка подключения не соответствует политике запросов на подключение.
на Cisco така картинка:
*Apr 16 20:26:14.457: RADIUS/ENCODE(00000171):Orig. component type = VPDN
*Apr 16 20:26:14.461: RADIUS:  AAA Unsupported Attr: interface         [158] 14
*Apr 16 20:26:14.461: RADIUS:   55 6E 69 71 2D 53 65 73 73 2D 49 44              [Uniq-Sess-ID]
*Apr 16 20:26:14.461: RADIUS(00000171): Config NAS IP: 0.0.0.0
*Apr 16 20:26:14.461: RADIUS/ENCODE(00000171): acct_session_id: 369
*Apr 16 20:26:14.461: RADIUS(00000171): sending
*Apr 16 20:26:14.461: RADIUS/ENCODE: Best Local IP-Address 10.15.0.1 for Radius-Server 10.15.0.2
*Apr 16 20:26:14.461: RADIUS(00000171): Send Access-Request to 10.15.0.2:1812 id 1645/56, len 155
*Apr 16 20:26:14.461: RADIUS:  authenticator 5F 83 97 81 28 22 9E 65 - 00 00 00 00 00 00 00 00
*Apr 16 20:26:14.461: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Apr 16 20:26:14.461: RADIUS:  User-Name           [1]   15  "administrator"
*Apr 16 20:26:14.461: RADIUS:  Vendor, Microsoft   [26]  16
*Apr 16 20:26:14.461: RADIUS:   MSCHAP_Challenge   [11]  10
*Apr 16 20:26:14.461: RADIUS:   5F 83 97 81 28 22 9E 65                          [_???("?e]
*Apr 16 20:26:14.461: RADIUS:  Vendor, Microsoft   [26]  58
*Apr 16 20:26:14.461: RADIUS:   MS-CHAP-Response   [1]   52  *
*Apr 16 20:26:14.461: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Apr 16 20:26:14.461: RADIUS:  NAS-Port            [5]   6   61
*Apr 16 20:26:14.461: RADIUS:  NAS-Port-Id         [87]  16  "Uniq-Sess-ID61"
*Apr 16 20:26:14.461: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Apr 16 20:26:14.461: RADIUS:  NAS-IP-Address      [4]   6   10.15.0.1
*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len 42
*Apr 16 20:26:14.465: RADIUS:  authenticator 90 A1 98 70 4C A5 35 A3 - C0 3E 67 18 9F 57 CE 30
*Apr 16 20:26:14.465: RADIUS:  Vendor, Microsoft   [26]  22
*Apr 16 20:26:14.465: RADIUS:   MS-CHAP-ERROR      [2]   16
*Apr 16 20:26:14.465: RADIUS:   01 45 3D 36 39 31 20 52 3D 30 20 56 3D 33        [?E=691 R=0 V=3]
*Apr 16 20:26:14.465: RADIUS(00000171): Received from id 1645/56
С политиками в IASе что уже только не пробовал.
Про *Apr 16 20:26:14.465: RADIUS:   MS-CHAP-ERROR      [2]   16 вообще не ясно.

"PPTP Server on Cisco 851"
Отправлено AlexDv , 07-Июн-08 13:26

>[оверквотинг удален]
>>>718 ошибка.
>>>IAS запросы принимает, пишет логи, но формат их жесток и не читаем.
>>>
>>
>>1. Записи дублируются в стандартном Event Log-е в читаемом формате.
>>2. Есть парсеры, переводящие лог IAS в более читаемый формат.
>
>Да, с логами разобрался. eventvwr гласит следующее:
>Пользователю "administrator" отказано в доступе.
>*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len
Создать политику в IAS, которая разрешает доступ.

"PPTP Server on Cisco 851"
Отправлено Gudy , 07-Июн-08 13:29

>[оверквотинг удален]
>>>>
>>>
>>>1. Записи дублируются в стандартном Event Log-е в читаемом формате.
>>>2. Есть парсеры, переводящие лог IAS в более читаемый формат.
>>
>>Да, с логами разобрался. eventvwr гласит следующее:
>>Пользователю "administrator" отказано в доступе.
>>*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len
>
>Создать политику в IAS, которая разрешает доступ.
политика уже есть. В каком виде я уже только её не создавал.
И что это за ошибка в цисковском дебаге ms-chap-error

"PPTP Server on Cisco 851"
Отправлено AlexDv , 07-Июн-08 14:06

>[оверквотинг удален]
>>>
>>>Да, с логами разобрался. eventvwr гласит следующее:
>>>Пользователю "administrator" отказано в доступе.
>>>*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len
>>
>>Создать политику в IAS, которая разрешает доступ.
>
>политика уже есть. В каком виде я уже только её не создавал.
>
>И что это за ошибка в цисковском дебаге ms-chap-error
Ну ведь ясно написано:
>>Пользователю "administrator" отказано в доступе.
>>*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len
Радиус отказал в доступе. Надо разрешать.
Вот сообщение, если доступ разрешен.
User XXXXX was granted access.
Fully-Qualified-User-Name = aaaaaaaa
NAS-IP-Address = 10.0.0.5
NAS-Identifier = <not present>
Client-Friendly-Name = CS1721C
Client-IP-Address = 10.0.0.5
NAS-Port-Type = Virtual
NAS-Port = 3
Policy-Name = PPTP_DIAL_IN
Authentication-Type = MS-CHAPv2
EAP-Type = <undetermined>