Долго разбирался, делал все как написано в доках у циски, но видимо где-то натыкаюсь на засаду. Необходимо настроить коммутируемый доступ на cisco 3745 с ААА на Радиусе. Циска включена в сеть по MPLS. Не шлет, окаянная, пакеты на радиус сервер. Вернее пишет, что шлет, но пакетов этих не видно ни на радиусе, ни на пиксе, который стоит перед радиусом! :(
Ниже выдержки из конфига, которые, на мой чайницкий взгляд, относятся к настройкам диалапа, радиуса и посылки пакетов на сервер ("дырка" для циски проковырена в пиксе, за адрес циски принимается адрес, глобальный, на Loopback10):version 12.3
! ...
modem country microcom_hdms new-zealand
aaa new-model
!
!
aaa group server radius DIAL
server-private X.X.X.X auth-port 1645 acct-port 1646 timeout 60 retransmit 3 key 7 050UYEUYEUY1C081E190A1E
!
aaa authentication ppp radius-list group DIAL
aaa authorization network radius-list group DIAL
aaa accounting send stop-record authentication failure vrf Inet
aaa accounting delay-start vrf Inet
aaa accounting network radius-list start-stop group DIAL
aaa session-id commonip vrf Inet
rd 21879:100
route-target export 21879:100
route-target import 21879:100
interface Loopback10
ip vrf forwarding Inet
ip address Y.Y.Y.Y 255.255.255.255
!
interface Group-Async1
ip unnumbered Loopback10
encapsulation ppp
async mode interactive
peer default ip address pool DIALPOOL
ppp authentication ms-chap chap pap radius-list
ppp authorization radius-list
ppp accounting radius-list
group-range 97 112
!
ip local pool DIALPOOL 192.168.10.1 192.168.10.32
no ip http server
ip classless
!
ip radius source-interface Loopback10 vrf Inetradius-server attribute 44 include-in-access-req vrf Inet
radius-server host X.X.X.X auth-port 1645 acct-port 1646 retransmit 3 key 7 050UYEUYEUY1C081E190A1E
radius-server timeout 60
radius-server vsa send accounting
radius-server vsa send authenticationline 97 112
session-timeout 30
location Semikar
exec-timeout 30 0
absolute-timeout 240
login authentication radius-list
modem InOut
transport preferred none
transport input all
autoselect during-login
autoselect ppp
flowcontrol hardwareЗдесь адрес РАДИУС сервера заменен на Х.Х.Х.Х, а адрес циски на У.У.У.У
А вот "что мы умеем":
1.
Router#ping vrf Inet X.X.X.XType escape sequence to abort.
Sending 5, 100-byte ICMP Echos to X.X.X.X, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms
Router#2.
Router#debug radius verbose
Radius protocol debugging is on
Radius protocol brief debugging is off
Radius protocol verbose debugging is on
Radius packet hex dump debugging is off
Radius packet protocol debugging is on
Radius packet retransmission debugging is on
Radius server fail-over debugging is off
Router#terminal monitor
Router#
11w5d: %LINK-3-UPDOWN: Interface Async97, changed state to up
11w5d: RADIUS(0000AE7C): Storing nasport 97 in rad_db
11w5d: RADIUS(0000AE7C): Config NAS IP: 0.0.0.0
11w5d: RADIUS/ENCODE(0000AE7C): acct_session_id: 440
11w5d: RADIUS(0000AE7C): sending
11w5d: RADIUS/ENCODE: Best Local IP-Address 10.10.0.150 for Radius-Server X.X.X.X
11w5d: RADIUS(0000AE7C): Send Access-Request to X.X.X.X:1645 id 21645/40
, len 182
11w5d: RADIUS: authenticator 9D C5 1E B4 B7 56 FE AE - B8 BC 9E D1 2E 9A BB 60
11w5d: RADIUS: Framed-Protocol [7] 6 PPP [1]
11w5d: RADIUS: User-Name [1] 7 "ktest"
11w5d: RADIUS: Vendor, Microsoft [26] 16
11w5d: RADIUS: MSCHAP_Challenge [11] 10
11w5d: RADIUS: 9D C5 1E B4 B7 56 FE AE [?????V??]
11w5d: RADIUS: Vendor, Microsoft [26] 58
11w5d: RADIUS: MS-CHAP-Response [1] 52 *
11w5d: RADIUS: NAS-Port-Type [61] 6 Async [0]
11w5d: RADIUS: Calling-Station-Id [31] 7 "async"
11w5d: RADIUS: Vendor, Cisco [26] 15
11w5d: RADIUS: cisco-nas-port [2] 9 "Async97"
11w5d: RADIUS: NAS-Port [5] 6 97
11w5d: RADIUS: Connect-Info [77] 29 "21600/16800 V34/V42bis/LAPM"
11w5d: RADIUS: Service-Type [6] 6 Framed [2]
11w5d: RADIUS: Vendor, Microsoft [26] 58
Router#10.10.0.150
Router#
11w5d: %LINK-5-CHANGED: Interface Async97, changed state to reset
Router#
11w5d: %LINK-3-UPDOWN: Interface Async97, changed state to down
Router#
11w5d: RADIUS: Retransmit to (X.X.X.X:1645,1646) for id 21645/40
11w5d: RADIUS: authenticator 9D C5 1E B4 B7 56 FE AE - B8 BC 9E D1 2E 9A BB 60
11w5d: RADIUS: Framed-Protocol [7] 6 PPP [1]
11w5d: RADIUS: User-Name [1] 7 "ktest"
11w5d: RADIUS: Vendor, Microsoft [26] 16
11w5d: RADIUS: MSCHAP_Challenge [11] 10
11w5d: RADIUS: 9D C5 1E B4 B7 56 FE AE [?????V??]
11w5d: RADIUS: Vendor, Microsoft [26] 58
11w5d: RADIUS: MS-CHAP-Response [1] 52 *
11w5d: RADIUS: NAS-Port-Type [61] 6 Async [0]
11w5d: RADIUS: Calling-Station-Id [31] 7 "async"
Router#
11w5d: RADIUS: NAS-Port-Type [61] 6 Async [0]
11w5d: RADIUS: cisco-nas-port [2] 9 "Async97"
11w5d: RADIUS: NAS-Port [5] 6 97
11w5d: RADIUS: Connect-Info [77] 29 "21600/16800 V34/V42bis/LAPM"
11w5d: RADIUS: Service-Type [6] 6 Framed [2]
11w5d: RADIUS: NAS-IP-Address [4] 6 10.10.0.150
Router#
11w5d: RADIUS: No response from (X.X.X.X:1645,1646) for id 21645/40
11w5d: RADIUS/DECODE: parse response no app start; FAIL
11w5d: RADIUS/DECODE: parse response; FAIL
Неужели никто не знает в чем может быть проблема? Или просто эта тема настолько банальна и неинтересна, что просто не интересно отвечать на такой вопрос? :(
а кеу указан правильно?
>а кеу указан правильно?Ключ указан, пока, неправильно. Но ведь пока проблема не в этом. Насколько я могу судить - ключ не влияет на факт отправки пакета. Т.е. если он будет неправильным, то все равно пакет должен пройти через PIX? И, вероятно, этот же пакет должен будет осесть в логах радиуса. А проблема в том, что NAS пишет, что пакет отправляет, однако получения этого пакета не видно даже на брэндмауэре. Вроде как он не может отправится из-за отсутсвия маршрута. Между тем пинги проходят! :(
>>а кеу указан правильно?
>
>Ключ указан, пока, неправильно. Но ведь пока проблема не в этом. Насколько
>я могу судить - ключ не влияет на факт отправки пакета.
>Т.е. если он будет неправильным, то все равно пакет должен пройти
>через PIX? И, вероятно, этот же пакет должен будет осесть в
>логах радиуса. А проблема в том, что NAS пишет, что пакет
>отправляет, однако получения этого пакета не видно даже на брэндмауэре. Вроде
>как он не может отправится из-за отсутсвия маршрута.
и где это видно?
>>>а кеу указан правильно?
>>Ключ указан, пока, неправильно. Но ведь пока проблема не в этом.
(skip)
>>я могу судить - ключ не влияет на факт отправки пакета.
(skip)
>>логах радиуса. А проблема в том, что NAS пишет, что пакет
>>отправляет, однако получения этого пакета не видно даже на брэндмауэре. >и где это видно?
Видно на PIX. Там задано правило на пропуск пакетов с адреса Y.Y.Y.Y на порты 1645 и 1646. Счетчик остается в нулях. :( PIX ведь не будет проверять кей радиус-сервера?
Проблема, вроде бы как решилась. Помогло дописывание
ip vrf forwarding Inet в описание группы радиус-серверов (aaa group server radius DIAL). Однако теперь проблема на другой циске... там почему-то циска стала ip для NAS брать с одного из сериалов... хотя все вроде бы правильно прописано - ищем. И еще странный баг обнаружился - при прописывании в ppp authentication chap pap radius-list ключа ms-chap - на радиус приходит пустое поле пароля и он отказывает в авторизации. Примечательно, что на других пулах ms-chap включен и все работает.
Теперь другая
проблема... не могу настроить НАТ! :((( Делаю так:в loopback10 добавляю - ip nat outside
в Group Async 1 - ip nat insideКроме того пишу:
ip nat inside source list 30 interface Loopback10 vrf Inet overload
access-list 30 permit 192.168.10.0 0.0.0.255Однако каменный цветок не выходит! :( С дозвонившегося на циску компьютера могу
пинговать лупбэк 10, с циски могу пинговать через vrf Inet выданный диалапшику
ай-пи. Однако на этом все - интернета на диалапщике я не вижу! :(
>в loopback10 добавляю - ip nat outside
не правильно....
это надо делать на интерфейсе, который смотрит к провайдеру...
>>в loopback10 добавляю - ip nat outside
>не правильно....
>это надо делать на интерфейсе, который смотрит к провайдеру...
Попробовал... не получилось, но ведь интерфейс, который смотрит к провайдеру без ай-пи, т.к. подключены по mpls
как пробовали... конфиг покажите...
>>в loopback10 добавляю - ip nat outside
>не правильно....
>это надо делать на интерфейсе, который смотрит к провайдеру...Все осложняется тем, что саму маршрутизацию писал не я. Насколько я понял - loopbacl10 и есть тот интерфейс, который представляет исходящий в Интернет интерфейс на уровне ip.
>>>в loopback10 добавляю - ip nat outside
>>не правильно....
>>это надо делать на интерфейсе, который смотрит к провайдеру...
>
>Все осложняется тем, что саму маршрутизацию писал не я. Насколько я понял
>- loopbacl10 и есть тот интерфейс, который представляет исходящий в Интернет
>интерфейс на уровне ip.Ну вот тогда полная конфигурация, она сейчас работает с пулом глобальных ай-пи адресов. Уже отчаялся дойти сам до решения... почти... не могу даже статический нат построить....
Конфиг:
Current configuration : 7339 bytes
!
version 12.3
service pad to-xot
service pad from-xot
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password 7 045802150C2E
!
username access password 7 045503001D2F4646
username pegas password 7 08204A57071F061910190A
modem country microcom_hdms new-zealand
aaa new-model
!
!
aaa group server radius DIAL
server-private X.X.X.X auth-port 1645 acct-port 1646 timeout 60 retransmit 3 key 7 05080F11111031A1C081E190A1E
ip vrf forwarding Inet
!
aaa authentication ppp radius-list group DIAL
aaa authorization network radius-list group DIAL
aaa accounting send stop-record authentication failure vrf Inet
aaa accounting delay-start vrf Inet
aaa accounting network radius-list start-stop group DIAL
aaa session-id common
ip subnet-zero
ip rcmd rsh-enable
ip rcmd remote-host ruser 1 root enable
ip tcp synwait-time 5
!
!
no ip domain lookup
ip host aux 2161 20.0.0.56
!
ip vrf Inet
rd 21479:100
route-target export 21479:100
route-target import 21479:100
!
ip vrf JSC
rd 21479:11
route-target export 21479:11
route-target import 21479:11
!
ip cef
ip accounting-threshold 10000
no tag-switching ip propagate-ttl forwarded
tag-switching advertise-tags for 20 to 20
tag-switching tdp router-id Loopback0 force
frame-relay switching
!
x25 profile v200 dte
x25 htc 32
x25 win 7
x25 wout 7
x25 ips 256
x25 ops 256
x25 default pad
x25 idle 5
lapb T4 4
lapb N2 10
x25 routing
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
!
!
controller E1 0/0
framing NO-CRC4
channel-group 0 timeslots 1-15
!
controller E1 0/1
framing NO-CRC4
channel-group 0 timeslots 1-15
!
!
!
interface Loopback0
ip address 20.0.0.56 255.255.255.255
!
interface Loopback10
ip vrf forwarding Inet
ip address 80.254.110.56 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.11
description ---# JSC VPN
encapsulation dot1Q 11
ip vrf forwarding JSC
ip address 10.161.156.1 255.255.255.0
!
interface FastEthernet0/0.21
description ---# Client
encapsulation dot1Q 21
ip vrf forwarding Inet
ip address 195.161.179.241 255.255.255.252
ip accounting output-packets
traffic-shape rate 128000 128000 0 1000
!
interface FastEthernet0/0.999
description ===== Cat Managment ========
encapsulation dot1Q 999
ip address Z.Z.Z.Z 255.255.255.0
!
interface Serial0/0:0
description =========== Rostov ch1 ==============
mtu 1508
bandwidth 2048
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type ansi
frame-relay intf-type nni
!
interface Serial0/0:0.646 point-to-point
ip address 10.10.0.150 255.255.255.252
mpls label protocol ldp
tag-switching ip
frame-relay class smkr_848000_ip
frame-relay interface-dlci 646
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/1:0
description =========== our FR ==============
bandwidth 2048
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type ansi
frame-relay intf-type nni
!
interface Serial0/1:0.16 point-to-point
ip vrf forwarding Inet
ip unnumbered Loopback10
frame-relay interface-dlci 16
!
interface Serial1/0
description ---# Client 2
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type ansi
frame-relay intf-type dce
!
interface Serial1/1
description ---# Client 3
no ip address
encapsulation frame-relay IETF
frame-relay interface-dlci 50
x25-profile v200
frame-relay lmi-type ansi
frame-relay intf-type dce
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Serial1/4
no ip address
shutdown
!
interface Serial1/5
no ip address
shutdown
!
interface Serial1/6
no ip address
shutdown
!
interface Serial1/7
no ip address
shutdown
!
interface Group-Async1
ip vrf forwarding Inet
ip unnumbered Loopback10
encapsulation ppp
async mode interactive
peer default ip address pool DIALPOOL
ppp authentication chap pap radius-list
ppp authorization radius-list
ppp accounting radius-list
ppp ipcp dns 195.161.172.254 195.161.0.135
group-range 97 112
!
router eigrp 12327
no auto-summary
!
address-family ipv4 vrf Inet
redistribute bgp 21479
network 80.254.110.56 0.0.0.0
default-metric 10000 100 255 1 1500
no auto-summary
autonomous-system 12327
exit-address-family
!
router ospf 21479
log-adjacency-changes
area 56 nssa
passive-interface Loopback0
network 10.10.0.150 0.0.0.0 area 56
network 10.30.56.0 0.0.0.255 area 56
network 20.0.0.56 0.0.0.0 area 56
!
router bgp 21479
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 20.0.0.1 remote-as 21479
neighbor 20.0.0.1 update-source Loopback0
!
address-family vpnv4
neighbor 20.0.0.1 activate
neighbor 20.0.0.1 send-community extended
exit-address-family
!
address-family ipv4 vrf JSC
redistribute connected
distribute-list 10 in
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf Inet
redistribute connected
redistribute eigrp 12327
no auto-summary
no synchronization
network 80.254.110.56 mask 255.255.255.255
network 80.254.120.240 mask 255.255.255.240
network 195.161.179.240 mask 255.255.255.240
exit-address-family
!
ip local pool DIALPOOL 80.254.120.241 80.254.120.245
no ip http server
ip classless
ip route vrf Inet 80.254.120.240 255.255.255.240 Null0 250
ip route vrf Inet 195.161.179.240 255.255.255.240 Null0 250
!
!
ip radius source-interface Loopback10 vrf Inet
!
map-class frame-relay smkr_848000_ip
frame-relay cir 848000
frame-relay bc 84800
frame-relay be 0
frame-relay mincir 848000
frame-relay adaptive-shaping becn
logging facility local4
logging source-interface Loopback0
logging 10.0.1.6
access-list 1 permit 10.0.0.0 0.255.255.255
access-list 10 permit 0.0.0.0
access-list 10 deny any
access-list 20 permit 20.0.0.0 0.0.0.255
access-list 30 permit 192.168.10.0 0.0.0.255
connect VR_4 Serial0/1:0 23 Serial0/0:0 23
!
!
connect SB_semik_ip Serial1/0 127 Serial0/0:0 127
!
!
connect CINV_smkr Serial1/1 456 Serial0/0:0 456
!
!
!
!
!
x25 route ^92568.$ interface Serial1/1 dlci 50
x25 route .* source ^92568 substitute-source 25017725106697 continue
x25 route .* xot 10.0.1.3 xot-source Loopback0
radius-server attribute 44 include-in-access-req vrf Inet
radius-server host 217.107.128.166 auth-port 1645 acct-port 1646 retransmit 3 key 7 05080F11111031A1C081E190A1E
radius-server timeout 60
radius-server vsa send accounting
radius-server vsa send authentication
!
!
!
!
dial-peer cor custom
!
!
!
alias exec c conf t
alias exec w wr
alias exec t wr t
alias exec i show ip route
alias exec o show ip ospf
alias exec b show ip bgp
alias exec cb clear ip bgp *
alias exec ib show ip int brief
alias exec cr clear ip route *
!
line con 0
exec-timeout 0 0
logging synchronous
Current configuration : 7339 bytes
line 97 112
session-timeout 30
location Region
exec-timeout 30 0
absolute-timeout 240
login authentication radius-list
modem InOut
transport preferred none
transport input all
autoselect during-login
autoselect ppp
flowcontrol hardware
line aux 0
transport input telnet
escape-character BREAK
line vty 0 4
access-class 1 in
exec-timeout 0 0
password 7 104D000A0618
logging synchronous
!
!
end