URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22378
[ Назад ]

Исходное сообщение
"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"

Отправлено D.Weider , 20-Мрт-11 15:00 
Коллеги, здравствуйте!

Проблема следующая. Вот такая простая схема:

Клиент (Windows XP,7) -------> Cisco Router (7206, IOS Adv.ip serv. 12.4) ------> Сервер Cisco ACS (v.4.0)

Подскажите пожалуйста, у кого-нить получалось реализовать такую связку? Может есть какие-то ограничения по версиям софта, мне во всяком случае их найти не удалось, просто не работает и всё тут.

Клиент устанавливает PPTP-соединения, используя при этом MS-CHAP-V2 (вторая версия выбрана потому, как в Win 7, отсутствует поддержка первой версии). Проверка пользователей происходит на ACS. При использовании локальной базы пользователей на маршрутизаторе аутентификация клиента происходит успешно. Когда в качестве базы настраиваю ACS, клиент получает сообщение об ошибке 691. Настраивал снифер на канале между роутером и ACS.
Результат очень интересный: при установке pptp связи никаких пакетов на ACS не шлется, в то время как при использовании обычного telnet на роутер, на ACS посылаются сообщения. В качестве протокола использую TACACS+.

Вот настройка роутера:

Router#sh run
Building configuration...

Current configuration : 1316 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa authentication login default group tacacs+ local
aaa authentication ppp default group tacacs+ local
aaa authorization network default if-authenticated
!
aaa session-id common
!
resource policy
!
ip cef
!
vpdn enable
!
vpdn-group new
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
username cisco password 0 cisco
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 10.0.2.101 255.255.255.0
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered FastEthernet1/0
peer default ip address pool mypool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
ip local pool mypool 193.168.1.1 193.168.1.10
no ip http server
no ip http secure-server
!
logging alarm informational
!
tacacs-server host 10.0.2.1
tacacs-server key cisco
!
control-plane
!
gatekeeper
shutdown
!
line con 0
stopbits 1
line aux 0
line vty 0 4
!
end      

Клиент подключается к Fa 1/0

В настройках ACS для пользователя настроены расширения протокола TACACS+:
PPP IP, PPP VPDN, PPP LCP, Shell (exec), PIX Shell (pixshell), SLIP.

На клиенте настроено: шифрование данных - необязательно, протокол проверки пароля MS-CHAP-V2.

Проверял на PAP - работает. На MS-CHAP-V2 - нет.

Помогите. Спасибо!


Содержание

Сообщения в этом обсуждении
"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено eek , 21-Мрт-11 07:36 
Попробуйте без шифрования, на 4.21 заработало именно так.

"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено D.Weider , 22-Мрт-11 00:08 
> Попробуйте без шифрования, на 4.21 заработало именно так.

Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt mppe ..., а на клиенте выставил "Шифрование данных - не разрешено". Не помогло.

Вот лог:

Router#
*Mar 21 23:58:36.595: AAA/BIND(0000000A): Bind i/f  
*Mar 21 23:58:36.603: AAA/BIND(0000000A): Bind i/f Virtual-Template1
*Mar 21 23:58:36.627: ppp6 PPP: Send Message[Dynamic Bind Response]
*Mar 21 23:58:36.631: ppp6 PPP: Using vpn set call direction
*Mar 21 23:58:36.631: ppp6 PPP: Treating connection as a callin
*Mar 21 23:58:36.631: ppp6 PPP: Session handle[D9000008] Session id[6]
*Mar 21 23:58:36.631: ppp6 PPP: Phase is ESTABLISHING, Passive Open
*Mar 21 23:58:36.631: ppp6 LCP: State is Listen
*Mar 21 23:58:38.615: ppp6 LCP: Timeout: State Listen
*Mar 21 23:58:38.615: ppp6 PPP: Authorization required
*Mar 21 23:58:38.619: ppp6 LCP: O CONFREQ [Listen] id 1 len 15
*Mar 21 23:58:38.619: ppp6 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Mar 21 23:58:38.619: ppp6 LCP:    MagicNumber 0x00269ACD (0x050600269ACD)
*Mar 21 23:58:38.631: ppp6 LCP: I CONFACK [REQsent] id 1 len 15
*Mar 21 23:58:38.631: ppp6 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Mar 21 23:58:38.631: ppp6 LCP:    MagicNumber 0x00269ACD (0x050600269ACD)
*Mar 21 23:58:38.811: ppp6 LCP: I CONFREQ [ACKrcvd] id 1 len 21
*Mar 21 23:58:38.811: ppp6 LCP:    MRU 1400 (0x01040578)
*Mar 21 23:58:38.811: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
*Mar 21 23:58:38.811: ppp6 LCP:    PFC (0x0702)
*Mar 21 23:58:38.811: ppp6 LCP:    ACFC (0x0802)
*Mar 21 23:58:38.811: ppp6 LCP:    Callback 6  (0x0D0306)
*Mar 21 23:58:38.811: ppp6 LCP: O CONFREJ [ACKrcvd] id 1 len 7
*Mar 21 23:58:38.811: ppp6 LCP:    Callback 6  (0x0D0306)
*Mar 21 23:58:38.815: ppp6 LCP: I CONFREQ [ACKrcvd] id 2 len 18
*Mar 21 23:58:38.815: ppp6 LCP:    MRU 1400 (0x01040578)
*Mar 21 23:58:38.815: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
*Mar 21 23:58:38.819: ppp6 LCP:    PFC (0x0702)
*Mar 21 23:58:38.819: ppp6 LCP:    ACFC (0x0802)
*Mar 21 23:58:38.819: ppp6 LCP: O CONFNAK [ACKrcvd] id 2 len 8
*Mar 21 23:58:38.819: ppp6 LCP:    MRU 1500 (0x010405DC)
*Mar 21 23:58:38.827: ppp6 LCP: I CONFREQ [ACKrcvd] id 3 len 18
*Mar 21 23:58:38.827: ppp6 LCP:    MRU 1400 (0x01040578)
*Mar 21 23:58:38.827: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
*Mar 21 23:58:38.827: ppp6 LCP:    PFC (0x0702)
*Mar 21 23:58:38.831: ppp6 LCP:    ACFC (0x0802)
*Mar 21 23:58:38.831: ppp6 LCP: O CONFNAK [ACKrcvd] id 3 len 8
*Mar 21 23:58:38.831: ppp6 LCP:    MRU 1500 (0x010405DC)
*Mar 21 23:58:38.835: ppp6 LCP: I CONFREQ [ACKrcvd] id 4 len 18
*Mar 21 23:58:38.839: ppp6 LCP:    MRU 1500 (0x010405DC)
*Mar 21 23:58:38.839: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
*Mar 21 23:58:38.839: ppp6 LCP:    PFC (0x0702)
*Mar 21 23:58:38.839: ppp6 LCP:    ACFC (0x0802)
*Mar 21 23:58:38.843: ppp6 LCP: O CONFACK [ACKrcvd] id 4 len 18
*Mar 21 23:58:38.843: ppp6 LCP:    MRU 1500 (0x010405DC)
*Mar 21 23:58:38.843: ppp6 LCP:    MagicNumber 0x2C532D1C (0x05062C532D1C)
*Mar 21 23:58:38.843: ppp6 LCP:    PFC (0x0702)
*Mar 21 23:58:38.843: ppp6 LCP:    ACFC (0x0802)
*Mar 21 23:58:38.847: ppp6 LCP: State is Open
*Mar 21 23:58:38.847: ppp6 PPP: Phase is AUTHENTICATING, by this end
*Mar 21 23:58:38.859: ppp6 MS-CHAP-V2: O CHALLENGE id 1 len 27 from "Router"
*Mar 21 23:58:38.859: ppp6 LCP: I IDENTIFY [Open] id 5 len 18 magic 0x2C532D1C MSRASV5.10
*Mar 21 23:58:38.863: ppp6 LCP: I IDENTIFY [Open] id 6 len 25 magic 0x2C532D1C MSRAS-0-WINCLIENT
*Mar 21 23:58:38.863: ppp6 MS-CHAP-V2: I RESPONSE id 1 len 59 from "admin"
*Mar 21 23:58:38.867: ppp6 PPP: Phase is FORWARDING, Attempting Forward
*Mar 21 23:58:38.871: ppp6 PPP: Phase is AUTHENTICATING, Unauthenticated User
*Mar 21 23:58:38.871: AAA/AUTHEN/PPP (0000000A): Pick method list 'default'
*Mar 21 23:58:38.875: ppp6 PPP: Sent MSCHAP_V2 LOGIN Request
*Mar 21 23:58:38.875: TPLUS: Queuing AAA Authentication request 10 for processing
*Mar 21 23:58:38.879: TPLUS: processing authentication start request id 10
*Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
*Mar 21 23:58:38.887: ppp6 MS-CHAP-V2: O FAILURE id 1 len 13 msg is "E=691 R=0"
*Mar 21 23:58:38.895: ppp6 PPP: Sending Acct Event[Down] id[A]
*Mar 21 23:58:38.903: ppp6 PPP: Phase is TERMINATING
*Mar 21 23:58:38.903: ppp6 LCP: O TERMREQ [Open] id 2 len 4
*Mar 21 23:58:38.915: ppp6 LCP: I TERMACK [TERMsent] id 2 len 4
*Mar 21 23:58:38.915: ppp6 LCP: State is Closed
*Mar 21 23:58:38.915: ppp6 PPP: Phase is DOWN
*Mar 21 23:58:38.919: ppp6 PPP: Send Message[Disconnect]

Вот захожу на маршрутизатор по Telnet - в снифере WireShark наблюдаю запрос к ACS
9    21.180000    10.0.2.254    10.0.2.1    TACACS+    Q: Authentication

При установлении PPTP-соединения никаких следов в снифере. Очень странно почему.


"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено eek , 22-Мрт-11 10:26 
В моем случае вариант без шифрования не подходил совсем. Потому я перешел на easy vpn. Чего и вам советую.

"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено AlexDv , 22-Мрт-11 13:26 
>> Попробуйте без шифрования, на 4.21 заработало именно так.
> Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt
> mppe ..., а на клиенте выставил "Шифрование данных - не разрешено".
> Не помогло.
> Вот лог:

[skipped]

*Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Так вот оно. Смотрите в сторону ACS.


"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено D.Weider , 22-Мрт-11 22:35 
>>> Попробуйте без шифрования, на 4.21 заработало именно так.
>> Попробовал отключить шифрование. Для этого в настройках роутера убрал строку, ppp encrypt
>> mppe ..., а на клиенте выставил "Шифрование данных - не разрешено".
>> Не помогло.
>> Вот лог:
> [skipped]
> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Так вот оно. Смотрите в сторону ACS.

Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до максимального. В журналах тишина. Ни одного следа о происходящих процессах. И опять же пустой лог снифера.
Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.

Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?


"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено D.Weider , 22-Мрт-11 22:52 
>[оверквотинг удален]
>>> Вот лог:
>> [skipped]
>> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> Так вот оно. Смотрите в сторону ACS.
> Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до
> максимального. В журналах тишина. Ни одного следа о происходящих процессах. И
> опять же пустой лог снифера.
> Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.
> Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?

Есть какой-нить способ получения более детальной информации о происходящих событиях, в частности трафике проходящем через маршрутизатор?


"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено Myxa , 23-Мрт-11 08:39 
> Есть какой-нить способ получения более детальной информации о происходящих событиях, в
> частности трафике проходящем через маршрутизатор?

счетчики show tacacs + debug tacacs events вам в помощь.



"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено fantom , 23-Мрт-11 09:28 
>[оверквотинг удален]
>>> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
>>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>> Так вот оно. Смотрите в сторону ACS.
>> Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до
>> максимального. В журналах тишина. Ни одного следа о происходящих процессах. И
>> опять же пустой лог снифера.
>> Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.
>> Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?
> Есть какой-нить способ получения более детальной информации о происходящих событиях, в
> частности трафике проходящем через маршрутизатор?

debug на кошке


"Аутентификация, PPP, MS-CHAP-V2 и Cisco ACS"
Отправлено AlexDv , 23-Мрт-11 15:46 
>[оверквотинг удален]
>>> Вот лог:
>> [skipped]
>> *Mar 21 23:58:38.883: ppp6 PPP: Received LOGIN Response FAIL
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> Так вот оно. Смотрите в сторону ACS.
> Знать бы ку да смотреть. Поднял в логах ACS уровень протоколирования до
> максимального. В журналах тишина. Ни одного следа о происходящих процессах. И
> опять же пустой лог снифера.
> Такое чувство, что все-таки маршрутизатор не знает как и куда пересылать запрос.
> Может с маршрутами какая-то беда? В данном методе нет никаких особенностей?

Смотрите как выглядит с Радиусом

ppp660 MS-CHAP-V2: O CHALLENGE id 1 len 28 from "cs2811"
ppp660 MS-CHAP-V2: I RESPONSE id 1 len 64 from "user"
ppp660 PPP: Sent MSCHAP_V2 LOGIN Request
ppp660 PPP: Received LOGIN Response PASS

А у вас приходит FAIL.
Насколько помню, O и I означают out и in, т.е. ответы все-таки на роутер приходят.