Добрый день!
Имеется cisco 1841, хочется поднять на ней VPN с аутентификацией в виндовом домене. Клиент цепляется к роутеру с помощью cisco vpn client. В настройках клиента указано "Group Authentication: name - VPN-CLIENT, password - zzzzzzzzzz". Проблема в том, что цисковский клиент не запрашивает пользователя/пароль, судя по дебагу он пытается использовать то, что указано ему в group authentication. Естественно, получает отлуп от радиус-сервера (IAS): "Пользователю VPN-CLIENT отказано в доступе".
При заходе на циску по ssh аутентификация в домене отрабатывает нормально.Извиняюсь, несколько сумбурно все, просто я в этой теме не силен.
вот конфиг:
version 12.4
aaa new-model
aaa authentication login default group radius local
aaa authentication login VPN-AUTHEN group radius
aaa authorization network VPN-AUTHOR group radius!
aaa session-id common
!
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN-CLIENT
key zzzzzzzzzzzzz
dns 192.168.2.1 192.168.1.2
domain domain.local
pool POOL-VPNcrypto isakmp profile VPN-PROFILE
match identity group VPN-CLIENT
client authentication list VPN-AUTHEN
isakmp authorization list VPN-AUTHOR
client configuration address respond
!
!
crypto ipsec transform-set CRYPTOSET-VPN esp-3des esp-md5-hmac
!
crypto dynamic-map CRYPTOMAP-DYNAMIC 10
set transform-set CRYPTOSET-VPN
set isakmp-profile VPN-PROFILE
!
!
crypto map CRYPTOMAP-VPN 10 ipsec-isakmp dynamic CRYPTOMAP-DYNAMIC
!
!
!
interface FastEthernet0/0
ip address 11.22.33.44 255.255.255.192
ip access-group FW in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed 10
no cdp enable
no mop enabled
crypto map CRYPTOMAP-VPN
!radius-server host 192.168.2.1 auth-port 1645 acct-port 1646
radius-server key 7 yyyyyyyyyyyyyyy
!кусок дебага:
...
Jul 30 08:20:39.647: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Jul 30 08:20:39.703: ISAKMP:(0:1:SW:1): processing KE payload. message ID = 0
Jul 30 08:20:39.771: ISAKMP:(0:1:SW:1): processing NONCE payload. message ID = 0
Jul 30 08:20:39.775: AAA/AUTHOR (0x46): Pick method list 'VPN-AUTHOR'
Jul 30 08:20:39.775: ISAKMP:(0:1:SW:1):Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH
Jul 30 08:20:39.775: ISAKMP:(0:1:SW:1):Old State = IKE_READY New State = IKE_R_AM_AAA_AWAITJul 30 08:20:39.775: RADIUS/ENCODE(00000046):Orig. component type = VPN_IPSEC
...
Jul 30 08:20:39.779: RADIUS: User-Name [1] 12 "VPN-CLIENT"
Jul 30 08:20:39.779: RADIUS: User-Password [2] 18 *
Jul 30 08:20:39.779: RADIUS: Calling-Station-Id [31] 13 "192.168.1.7"
Jul 30 08:20:39.779: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Jul 30 08:20:39.779: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Jul 30 08:20:39.779: RADIUS: Service-Type [6] 6 Outbound [5]
Jul 30 08:20:39.779: RADIUS: NAS-IP-Address [4] 6 192.168.2.251
Jul 30 08:20:39.779: RADIUS: Received from id 1645/43 192.168.2.1:1645, Access-Reject, len 20
...
>Проблема в том, что цисковский клиент не запрашивает пользователя/пароль, судя по
>дебагу он пытается использовать то, что указано ему в group authentication.
>Естественно, получает отлуп от радиус-сервера (IAS): "Пользователю VPN-CLIENT отказано в доступе".Это правильно.
А на радиусе прописан group authentication?
>А на радиусе прописан group authentication?Видимо нет. Битый час искал, где это можно сделать, ничего похожего не нашел.
Ну сделайте тогда этого пользователя локально.