https://www.opennet.ru/openforum/vsluhforumID6/2333.html Здравствуйте!<br><br>С древних времен VPN создан на cisco 2800, которая перенаправляла запросы на радиус сервер, где проходит авторизация. Т.е на nps сервере добавлена группа AD. Чисто случайно заметил, что человек не состоящий в доменной группе, настроил и подключился к VPN используя свои логин и пароль домена.<br><br>На радиус сервере циска как клиент присутствует.<br><br>В свойствах учетной записи пользователя, на вкладке Входящие звонки параметр Разрешить доступ стоит - Управление доступом на основе политики сети NPS<br><br>Вывод с циски <br><br>2811#sh run &#124; i radius<br>aaa authentication ppp default group radius local<br>radius-server host 10.3.0.34 auth-port 1645 acct-port 1646 - это радиус другого домена<br>radius-server host 10.3.0.23 auth-port 1645 acct-port 1646 - это мой радиус<br>radius-server key 7<br><br> <br><br>Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ разрешает.<br><br>Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру - BAA<br><br>Посмотрел логи до интересующей меня даты в https://www.opennet.ru/openforum/vsluhforumID6/2333.html#8 Tue, 17 Jul 2018 08:07:45 GMT &gt;&gt; Тяжелый у меня случай?<br>&gt; http://blog.skufel.net/2016/03/how-to-integrate-cisco-easy-vpn-authentication-with-microsoft-nps-radius-on-windows-server-2008-r2/ <br>&gt; Debug aaa authe <br>&gt; Debug aaa autho <br><br>Решил проблему удалением параметра - Удалённый доступ VPN-Dial up из политики VPN<br><br>А в политике wifi указал тип порта nps, теперь при подключении к VPN в логах запись о группе доступа VPN<br><br>А при подключении к wifi запись о группе доступа wifi<br>Спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID6/2333.html#7 Thu, 12 Jul 2018 19:34:50 GMT &gt; Тяжелый у меня случай?<br><br>http://blog.skufel.net/2016/03/how-to-integrate-cisco-easy-vpn-authentication-with-microsoft-nps-radius-on-windows-server-2008-r2/<br><br>Debug aaa authe<br>Debug aaa autho<br> https://www.opennet.ru/openforum/vsluhforumID6/2333.html#6 Thu, 12 Jul 2018 12:26:48 GMT &gt; Тяжелый у меня случай?<br><br>Если вы не видите в логах RADIUS вообще никаких сообщений про VPN, то это значит что политика для Wifi срабатывает раньше политики VPN. <br>Разбирайтесь с NPS. Делайте более строгие политики для wifi и vpn.<br> https://www.opennet.ru/openforum/vsluhforumID6/2333.html#5 Thu, 12 Jul 2018 10:53:55 GMT Тяжелый у меня случай?<br> https://www.opennet.ru/openforum/vsluhforumID6/2333.html#4 Wed, 11 Jul 2018 14:27:52 GMT &gt; конфиг покажите <br><br>vtz-2811#sh run<br>Building configuration...<br><br>Current configuration : 8683 bytes<br>!<br>version 12.4<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname vtz-2811<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>!card type command needed for slot 1<br>logging message-counter syslog<br>no logging buffered<br>enable secret 5 <br>enable password 7 <br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication ppp default group radius local<br>aaa authorization exec default local<br>aaa authorization network default if-authenticated<br>!<br>!<br>aaa session-id common<br>clock timezone MSK 4<br>clock summer-time Moscow date Mar 30 2003 3:00 Oct 26 2003 4:00<br>!<br>dot11 syslog<br>ip source-route<br>!<br>!<br>ip cef<br>!<br>!<br>!<br>multilink bundle-name authenticated<br>!<br>vpdn enable<br>!<br>vpdn-group 1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br>!<br>!<br>!<br>!<br>!<br>!<br>u https://www.opennet.ru/openforum/vsluhforumID6/2333.html#3 Wed, 11 Jul 2018 13:39:22 GMT конфиг покажите<br> https://www.opennet.ru/openforum/vsluhforumID6/2333.html#2 Wed, 11 Jul 2018 13:31:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ <br>&gt;&gt; разрешает.<br>&gt;&gt; Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру <br>&gt;&gt; - BAA <br>&gt;&gt; Посмотрел логи до интересующей меня даты в них нет строки с "NPS" <br>&gt;&gt; и с названием группы "VPN Allow" <br>&gt;&gt; Можете подсказать в решении проблемы?<br>&gt;&gt; Как мне правильно debug посмотреть на cisco?<br>&gt; А причем здесь циска? Ей радиус сказал - "Можно", она и пускает. <br>&gt; Смотрите логи на радусах (всех).<br><br>В том то и дело, что на моем радиусе вообще нет записей в логах о VPN<br>В логах только записи о подключении к WiFi<br> https://www.opennet.ru/openforum/vsluhforumID6/2333.html#1 Wed, 11 Jul 2018 12:54:37 GMT &gt;[оверквотинг удален]<br>&gt; радиус <br>&gt; radius-server key 7 <br>&gt; Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ <br>&gt; разрешает.<br>&gt; Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру <br>&gt; - BAA <br>&gt; Посмотрел логи до интересующей меня даты в них нет строки с "NPS" <br>&gt; и с названием группы "VPN Allow" <br>&gt; Можете подсказать в решении проблемы?<br>&gt; Как мне правильно debug посмотреть на cisco?<br><br>А причем здесь циска? Ей радиус сказал - "Можно", она и пускает. Смотрите логи на радусах (всех).<br><br>