The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"cisco 2610 + Radius"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 11-Сен-08, 15:01 
Здравствуйте господа хорошие!
Прокоментируйте сложившуюся ситуацию: удаленный юзер цепляется к циске 2610 та в свою очередь отправляет запрос авторизации и аутентификации на радиус сервак, реализованный при помощи IAS Win2003, запрос уходит и в системных событиях сообщается что пользователю предоставлен доступ, причем четыре раза!!!! но у пользователя несмотря на это нет коннекта, вместо этого сообщение: удаленный пк не ответил вовремя... в какую сторону копать, на что грешить????
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco 2610 + Radius"  
Сообщение от CrAzOiD (ok) on 11-Сен-08, 15:11 
>Здравствуйте господа хорошие!
>Прокоментируйте сложившуюся ситуацию: удаленный юзер цепляется к циске 2610 та в свою
>очередь отправляет запрос авторизации и аутентификации на радиус сервак, реализованный при
>помощи IAS Win2003, запрос уходит и в системных событиях сообщается что
>пользователю предоставлен доступ, причем четыре раза!!!! но у пользователя несмотря на
>это нет коннекта, вместо этого сообщение: удаленный пк не ответил вовремя...
>в какую сторону копать, на что грешить????

deb radius

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 12-Сен-08, 14:08 
>
>deb radius

Radius protocol debugging is on
Radius protocol brief debugging is off
Radius protocol verbose debugging is off
Radius packet hex dump debugging is off
Radius packet protocol debugging is on
Radius packet retransmission debugging is off
Radius server fail-over debugging is off


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "cisco 2610 + Radius"  
Сообщение от Basil (??) on 12-Сен-08, 14:10 
>>
>>deb radius
>
>Radius protocol debugging is on
>Radius protocol brief debugging is off
>Radius protocol verbose debugging is off
>Radius packet hex dump debugging is off
>Radius packet protocol debugging is on
>Radius packet retransmission debugging is off
>Radius server fail-over debugging is off

А теперь
ter mon
и попробовать позвонить :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 12-Сен-08, 14:21 
прикольно че можно, оказывается я в цисках ламер )
вот что выдал:
*Mar  4 04:43:12.916: %LINK-3-UPDOWN: Interface Async38, changed state to up
*Mar  4 04:43:13.240: RADIUS/ENCODE(000000BD):Orig. component type = EXEC
*Mar  4 04:43:13.240: RADIUS:  AAA Unsupported     [152] 7
*Mar  4 04:43:13.244: RADIUS:  41 73 79 6E 63 [Async]
*Mar  4 04:43:13.244: RADIUS(000000BD): Storing nasport 38 in rad_db
*Mar  4 04:43:13.244: RADIUS(000000BD): Config NAS IP: 0.0.0.0
*Mar  4 04:43:13.244: RADIUS/ENCODE(000000BD): acct_session_id: 189
*Mar  4 04:43:13.244: RADIUS(000000BD): sending
*Mar  4 04:43:13.244: RADIUS/ENCODE: Best Local IP-Address 192.168.0.99 for Rad us-Server 192.168.0.1
*Mar  4 04:43:13.244: RADIUS(000000BD): Send Access-Request to 192.168.0.1:1645 id 1645/22, len 79
*Mar  4 04:43:13.244: RADIUS:  authenticator D0 DA 56 0C 42 B9 5C 0F - DB DF 11 23 2B F9 58 76
*Mar  4 04:43:13.248: RADIUS:  Framed-Protocol     [7]   6   PPP       [1]
*Mar  4 04:43:13.248: RADIUS:  User-Name           [1]   3   "1"
*Mar  4 04:43:13.248: RADIUS:  CHAP-Password       [3]   19  *
*Mar  4 04:43:13.248: RADIUS:  NAS-Port-Type       [61]  6   Async     [0]
*Mar  4 04:43:13.248: RADIUS:  Calling-Station-Id  [31]  7   "async"
*Mar  4 04:43:13.248: RADIUS:  NAS-Port            [5]   6   38
*Mar  4 04:43:13.248: RADIUS:  Service-Type        [6]   6   Framed    [2]
*Mar  4 04:43:13.248: RADIUS:  NAS-IP-Address      [4]   6   Х.Х.0.99
*Mar  4 04:43:13.256: RADIUS: Received from id 1645/22 Х.Х.0.1:1645, Access Accept, len 94
*Mar  4 04:43:13.256: RADIUS:  authenticator 1A 32 C3 AC B0 E4 DD 30 - 59 8A 5B C9 08 CE 79 70
*Mar  4 04:43:13.256: RADIUS:  Framed-IP-Address   [8]   6   255.255.255.254
*Mar  4 04:43:13.260: RADIUS:  Framed-Protocol     [7]   6   PPP       [1]
*Mar  4 04:43:13.260: RADIUS:  Service-Type        [6]   6   Framed    [2]
*Mar  4 04:43:13.260: RADIUS:  Class               [25]  32
*Mar  4 04:43:13.260: RADIUS:   4D 4A 05 67 00 00 01 37 00 01 C0 A8 00 01 01 C9  [MJ?g???7????????]
*Mar  4 04:43:13.260: RADIUS:   13 F9 AE 80 23 6C 00 00 00 00 00 00 00 31  [????#l???????1]
*Mar  4 04:43:13.260: RADIUS:  Vendor, Microsoft   [26]  12
*Mar  4 04:43:13.260: RADIUS:   MS-MPPE-Enc-Policy [7]   6
*Mar  4 04:43:13.264: RADIUS:   00 00 00 [???]
*Mar  4 04:43:13.264: RADIUS:  Vendor, Microsoft   [26]  12
*Mar  4 04:43:13.264: RADIUS:   MS-MPPE-Enc-Type   [8]   6
*Mar  4 04:43:13.264: RADIUS:   00 00 00 [???]
KIR_CS2610#
*Mar  4 04:43:13.264: RADIUS: response-authenticator decrypt fail, pak len 94
*Mar  4 04:43:13.264: RADIUS: packet dump: 0216005E1A32C3ACB0E4DD30598A5BC908CE
9700806FFFFFFFE07060000000106060000000219204D4A0567000001370001C0A8000101C913F9
E80236C00000000000000311A0C000001370706000000021A0C0000013708060000000E
*Mar  4 04:43:13.272: RADIUS: expected digest: EA4AAF15C32B7388337C5A5A2FD76A14
*Mar  4 04:43:13.272: RADIUS: response authen: 1A32C3ACB0E4DD30598A5BC908CE7970
*Mar  4 04:43:13.272: RADIUS: request  authen: D0DA560C42B95C0FDBDF11232BF95876
*Mar  4 04:43:13.272: RADIUS: Response (22) failed decrypt
KIR_CS2610#
*Mar  4 04:43:18.252: RADIUS: Retransmit to (Х.Х.0.1:1645,1646) for id 1645 22
*Mar  4 04:43:18.256: RADIUS: Received from id 1645/22 Х.Х.0.1:1645, Access Accept, len 94
*Mar  4 04:43:18.260: RADIUS:  authenticator CA 01 49 24 46 D6 9C 75 - 0E 20 23 D2 8C B4 59 45
*Mar  4 04:43:18.260: RADIUS:  Framed-IP-Address   [8]   6   255.255.255.254
*Mar  4 04:43:18.260: RADIUS:  Framed-Protocol     [7]   6   PPP       [1]
*Mar  4 04:43:18.260: RADIUS:  Service-Type        [6]   6   Framed    [2]
*Mar  4 04:43:18.260: RADIUS:  Class               [25]  32
*Mar  4 04:43:18.260: RADIUS:   4D 4B 05 68 00 00 01 37 00 01 C0 A8 00 01 01 C9
[MK?h???7????????]
*Mar  4 04:43:18.260: RADIUS:   13 F9 AE 80 23 6C 00 00 00 00 00 00 00 32
[????#l???????2]
*Mar  4 04:43:18.264: RADIUS:  Vendor, Microsoft   [26]  12
*Mar  4 04:43:18.264: RADIUS:   MS-MPPE-Enc-Policy [7]   6
*Mar  4 04:43:18.264: RADIUS:   00 00 00
[???]
*Mar  4 04:43:18.264: RADIUS:  Vendor, Microsoft   [26]  12
*Mar  4 04:43:18.264: RADIUS:   MS-MPPE-Enc-Type   [8]   6
*Mar  4 04:43:18.264: RADIUS:   00 00 00
[???]
KIR_CS2610#
*Mar  4 04:43:18.264: RADIUS: response-authenticator decrypt fail, pak len 94
*Mar  4 04:43:18.264: RADIUS: packet dump: 0216005ECA01492446D69C750E2023D28CB4
9450806FFFFFFFE07060000000106060000000219204D4B0568000001370001C0A8000101C913F9
E80236C00000000000000321A0C000001370706000000021A0C0000013708060000000E
*Mar  4 04:43:18.272: RADIUS: expected digest: 02395827DF2C1E00374B2BA07CDA7343
*Mar  4 04:43:18.272: RADIUS: response authen: CA01492446D69C750E2023D28CB45945
*Mar  4 04:43:18.272: RADIUS: request  authen: D0DA560C42B95C0FDBDF11232BF95876
*Mar  4 04:43:18.276: RADIUS: Response (22) failed decrypt

разве здесь можно разобраться )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "cisco 2610 + Radius"  
Сообщение от CrAzOiD (ok) on 12-Сен-08, 14:29 
>[оверквотинг удален]
>*Mar  4 04:43:18.264: RADIUS: response-authenticator decrypt fail, pak len 94
>*Mar  4 04:43:18.264: RADIUS: packet dump: 0216005ECA01492446D69C750E2023D28CB4
>9450806FFFFFFFE07060000000106060000000219204D4B0568000001370001C0A8000101C913F9
>E80236C00000000000000321A0C000001370706000000021A0C0000013708060000000E
>*Mar  4 04:43:18.272: RADIUS: expected digest: 02395827DF2C1E00374B2BA07CDA7343
>*Mar  4 04:43:18.272: RADIUS: response authen: CA01492446D69C750E2023D28CB45945
>*Mar  4 04:43:18.272: RADIUS: request  authen: D0DA560C42B95C0FDBDF11232BF95876
>*Mar  4 04:43:18.276: RADIUS: Response (22) failed decrypt
>
>разве здесь можно разобраться )

если не ошибаюсь, у вас не совпадают ключи авторизаци на циске и на виндовом радиусе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 12-Сен-08, 14:49 
>если не ошибаюсь, у вас не совпадают ключи авторизаци на циске и
>на виндовом радиусе.

ключи совпадают, я на них же думал, несколь раз перепроверял, к тому же на радиус-сервере он пишет что доступ предоставлен, ответ на циску не приходит с радиуса надо пологать, только как это исправить

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "cisco 2610 + Radius"  
Сообщение от CrAzOiD (ok) on 12-Сен-08, 15:00 
>>если не ошибаюсь, у вас не совпадают ключи авторизаци на циске и
>>на виндовом радиусе.
>
>ключи совпадают, я на них же думал, несколь раз перепроверял, к тому
>же на радиус-сервере он пишет что доступ предоставлен, ответ на циску
>не приходит с радиуса надо пологать, только как это исправить

если авторизовать локально, работает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 12-Сен-08, 15:08 
>если авторизовать локально, работает?

да, локальная авторизация на ура проходит!!!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 12-Сен-08, 15:09 
>>если авторизовать локально, работает?
>
>да, локальная авторизация на ура проходит!!!

пока сейчас на локальной авторизации и сидим, но нужно чтобы через радиус...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "cisco 2610 + Radius"  
Сообщение от CrAzOiD (ok) on 12-Сен-08, 15:21 
>>>если авторизовать локально, работает?
>>
>>да, локальная авторизация на ура проходит!!!
>
>пока сейчас на локальной авторизации и сидим, но нужно чтобы через радиус...

показывайте конфиги


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 12-Сен-08, 15:47 

>показывайте конфиги

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname CS2610
!
boot-start-marker
boot-end-marker
!
username cisco privilege 15 password 7 1511021F0725
username 1 password 7 12265445031C0D173033
username 2 password 7 05000F1D6B595C

no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
aaa authentication ppp default local
aaa authorization network default local
aaa session-id common
ip subnet-zero
ip cef
!
no ip domain lookup
no ftp-server write-enable
!
interface Loopback0
no ip address
shutdown
!
interface FastEthernet0/0
ip address Х.Х.0.99 255.255.255.0
duplex auto
speed auto
!
interface Group-Async0
ip unnumbered FastEthernet0/0
encapsulation ppp
async mode interactive
peer default ip address pool dpool
ppp authentication chap pap
group-range 33 48
!
ip local pool dpool Y.Y.2.10 Y.Y.2.15
ip classless
ip route 0.0.0.0 0.0.0.0 X.X.0.1
no ip http server
!
radius-server host X.X.0.1 auth-port 1645 acct-port 1646
radius-server key 7 1029384756
!
line con 0
line 33 48
session-timeout 10
exec-timeout 0 0
modem Dialin
transport input all
transport output none
autoselect during-login
autoselect ppp
stopbits 1
speed 38400
flowcontrol hardware
line aux 0
line vty 0 4
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 5 48
!
end

в данном конфиге реализована локальная авторизация и аутентификация!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "cisco 2610 + Radius"  
Сообщение от CrAzOiD (ok) on 12-Сен-08, 17:29 
>[оверквотинг удален]
>line aux 0
>line vty 0 4
> exec-timeout 0 0
> privilege level 15
> logging synchronous
>line vty 5 48
>!
>end
>
>в данном конфиге реализована локальная авторизация и аутентификация!

Если вы на 100% уверены что ключи совпадают, тогда попробуйте:
1. использовать CHAP
2. явно отключить MPPE и посмотрите что на радиусе про MPPE сказано


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 17-Сен-08, 11:36 
>
>Если вы на 100% уверены что ключи совпадают, тогда попробуйте:
>1. использовать CHAP
>2. явно отключить MPPE и посмотрите что на радиусе про MPPE сказано

Вообщем ситуация следующая:
секретный ключ совпадает на 100% уверен;
пробовал различные методы проверки подлинности;
шифрование отключал;

ни чего не помогает...

пользуясь локальным списком на циске соединение проходит;
без проверки подлинности коннект само собой тоже есть;

что то с этим ключами не то, а что не знаю!!! HELP ME

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "cisco 2610 + Radius"  
Сообщение от nikl (ok) on 17-Сен-08, 12:17 
>секретный ключ совпадает на 100% уверен;

из разряда фантастики, но у меня такое было несколько раз:
ключи совпадают, но ничего не срабатывает.
поменяйте на циске и радиусе ключи на любые другие, покороче
или подлинее, и все заведется. похоже какая-то бага в циске на
конкретной последовательности символов в ключах радиуса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "cisco 2610 + Radius"  
Сообщение от trianon (??) on 17-Сен-08, 12:29 
>[оверквотинг удален]
>пробовал различные методы проверки подлинности;
>шифрование отключал;
>
>ни чего не помогает...
>
>пользуясь локальным списком на циске соединение проходит;
>без проверки подлинности коннект само собой тоже есть;
>
>что то с этим ключами не то, а что не знаю!!! HELP
>ME

Кстати у меня почему-то не получается расшифровать ваш пароль в radius-server key 7 1029384756 .... Точнее получается какой-то бред.... Сделайте пароль 123 и выложите sh run | i radius-server key


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "cisco 2610 + Radius"  
Сообщение от trianon (??) on 17-Сен-08, 12:56 
>[оверквотинг удален]
>>
>>пользуясь локальным списком на циске соединение проходит;
>>без проверки подлинности коннект само собой тоже есть;
>>
>>что то с этим ключами не то, а что не знаю!!! HELP
>>ME
>
>Кстати у меня почему-то не получается расшифровать ваш пароль в radius-server key
>7 1029384756 .... Точнее получается какой-то бред.... Сделайте пароль 123 и
>выложите sh run | i radius-server key

И еще как вариант включите service password-encryption и заново задайте ключ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "cisco 2610 + Radius"  
Сообщение от Ivan email(??) on 17-Сен-08, 13:49 
>
>И еще как вариант включите service password-encryption и заново задайте ключ.

все заработало как надо!!! нижайший поклон всем кто принял участие в обсуждение данного вопроса )
проблема и в самом деле была в общем секрете!
пароль задавал следующим образом:
CS2610(config)#radius-server key ?
  0     Specifies an UNENCRYPTED key will follow
  7     Specifies HIDDEN key will follow
  LINE  The UNENCRYPTED (cleartext) shared key
CS2610(config)#radius-server key 7 <мой password>

сделал radius-server key <мой password> и все заработало!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "cisco 2610 + Radius"  
Сообщение от CrAzOiD (ok) on 17-Сен-08, 13:52 

>сделал radius-server key <мой password> и все заработало!

:) через тернии к звездам
удачи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру