forum.opennet.ru - "Настроится сisco AAA и постоянный IP без использования RADIU..." (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Настроится сisco AAA и постоянный IP без использования RADIU..."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настроится сisco AAA и постоянный IP без использования RADIU..."
Сообщение от igmikor (ok) on 01-Авг-08, 19:12
Здравствуйте. Подскажите, пожалуйста. Настраиваю с877 для подключения удалённых клиентов с помощью Cisco software VPN клиента. Подключение происходит. Удалённый клиент, пройдя аутентификацию по локальному пользователю и авторизацию в сети по назначенной группе, получает IP адрес из определённого пула. При каждом новом подключении IP адрес определённого удалённого клиента меняется. Вопрос такой: можно ли, не прибегая к использованию внешнего RADIUS/TACACS сервера, настроить aaa на с877 таким образом, что бы каждому пользователю из одной группы был назначен строго определённый IP адрес? Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх десятков. Можно, конечно, попробовать завести три десятка групп, три дестяка IP пулов и подготовить три десятка конфигов для клиентов, но, желательно, использовать один конфиг для всех софтварных VPN клиентов, да и конфиг на cisco не хочется "раздувать" без необходимости. Может по MAC можно привязать? куски конфига ... aaa new-model ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common .... username extuser1 password 7 testpassword ! crypto isakmp client configuration group mygroup1 key mygroup1key1 pool ippool89 acl 109 crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto ipsec transform-set myset1 esp-3des esp-sha-hmac ! crypto dynamic-map mydynmap 10 set transform-set myset1 ! ! crypto map mycryptmap1 client authentication list userauthen crypto map mycryptmap1 isakmp authorization list groupauthor crypto map mycryptmap1 client configuration address respond crypto map mycryptmap1 10 ipsec-isakmp dynamic mydynmap1 .... ip local pool ippool89 192.168.89.1 192.168.89.254 .... access-list 109 permit ip 192.168.83.0 0.0.0.255 192.168.89.0 0.0.0.255 .... interface Dialer0 .... crypto map mycryptmap1 Спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Настроится сisco AAA и постоянный IP без использования RADIU..., Ночной админ, 17:42 , 02-Авг-08, (1)

Настроится сisco AAA и постоянный IP без использования RADIU..., igmikor, 21:53 , 07-Авг-08, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настроится сisco AAA и постоянный IP без использования RADIU..."

Сообщение от Ночной админ (ok) on 02-Авг-08, 17:42

>Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх
>десятков.
Неужели RADIUS настолько сложен в администрировании что проще что то городить?
Настройте RADIUS и не надо будет мучатся независимо от того сколько у вас клиентов 30 или 300.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Настроится сisco AAA и постоянный IP без использования RADIU..."

Сообщение от igmikor (ok) on 07-Авг-08, 21:53

Дело в том, что RADIUS я не настраивал, пока еще.
Думал, есть решение проще. Я посмотрел-почитал о настройке Радиуса - тут сложностей хватает.
1. В RFС описана только концепция. Реализация - на совести разработчика. Толкового описания я не нашел, к сожалению.
2. Примеры настройки касаются случая подключения dial-up пользователей. У меня другая ситуация. В моем случае - software VPN client. Это уже другой тип сервиса - не ppp.
Примера на этот случай не нашел.
Пришлось настроить cisco на работу с локальной аутоидетификацией и авторизацией.
Несколько пользователей. Каждому пользователю назначена своя собственная группа и свой собственный пул адресов. В результате, при подключении через cisco software VPN client, пользователь всегда получает только выделенный для него IP адрес.
Есть проблема при VPN подключении - SA достаточно долго хранится (3600с по умолчанию). Но это можно настройкой security-association idle-time подрегулировать, если нужно. Я проверял с одного хоста (один постоянный внешний IP) - так в этом случае если я заходил одним пользователем, дисконнектился и пытался подключиться другим пользователем - VPN канал не поднимался, пока не удалишь старые SA.
В итоге: у меня не получилось сделать одну группы для всех пользователей так, что бы пользователи всегда получали чётко назначенные им IP адреса. Может быть кто-то занает как это без Радиуса сделать на cisco, используя только aaa local? На форуме видел упоминание про
aaa attribute list xxx / attribute type ... / username USER attribute list xxx
но я не смог настроить ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настроится сisco AAA и постоянный IP без использования RADIU..."
Сообщение от Ночной админ (ok) on 02-Авг-08, 17:42
>Почему без RADIUS/TACACS сервера? Так пока нет надобности. Клиентов не больше трёх >десятков. Неужели RADIUS настолько сложен в администрировании что проще что то городить? Настройте RADIUS и не надо будет мучатся независимо от того сколько у вас клиентов 30 или 300.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Настроится сisco AAA и постоянный IP без использования RADIU..."
	Сообщение от igmikor (ok) on 07-Авг-08, 21:53
	Дело в том, что RADIUS я не настраивал, пока еще. Думал, есть решение проще. Я посмотрел-почитал о настройке Радиуса - тут сложностей хватает. 1. В RFС описана только концепция. Реализация - на совести разработчика. Толкового описания я не нашел, к сожалению. 2. Примеры настройки касаются случая подключения dial-up пользователей. У меня другая ситуация. В моем случае - software VPN client. Это уже другой тип сервиса - не ppp. Примера на этот случай не нашел. Пришлось настроить cisco на работу с локальной аутоидетификацией и авторизацией. Несколько пользователей. Каждому пользователю назначена своя собственная группа и свой собственный пул адресов. В результате, при подключении через cisco software VPN client, пользователь всегда получает только выделенный для него IP адрес. Есть проблема при VPN подключении - SA достаточно долго хранится (3600с по умолчанию). Но это можно настройкой security-association idle-time подрегулировать, если нужно. Я проверял с одного хоста (один постоянный внешний IP) - так в этом случае если я заходил одним пользователем, дисконнектился и пытался подключиться другим пользователем - VPN канал не поднимался, пока не удалишь старые SA. В итоге: у меня не получилось сделать одну группы для всех пользователей так, что бы пользователи всегда получали чётко назначенные им IP адреса. Может быть кто-то занает как это без Радиуса сделать на cisco, используя только aaa local? На форуме видел упоминание про aaa attribute list xxx / attribute type ... / username USER attribute list xxx но я не смог настроить ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]