StSphinx Posted August 2, 2016 · Report post Доброго времени суток, коллеги! Был у нас PIX, раз настроил и забыл, но со временем решили переехать на ASA. И тут начался цирк. Долгое ковыряние(ASDM sucks!) привело к тому, что IPSec поднимается, все ок. А вот когда дело доходит до L2TP , все обламывается на авторизации пользователя. Пароль перебивал уже Н-ное кол-во раз и пробовал как CHAP, так и MS-CHAP, результат один и тот же - неверный пароль. AAA user authentication Rejected : reason = Invalid password : local database : user = sphinx Привожу выдержку из конфига, поможите чем можете! ASA Version 8.4(7)15 aaa authentication enable console LOCAL aaa authentication http console LOCAL aaa authentication serial console LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL aaa local authentication attempts max-fail 5 aaa authorization exec LOCAL group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes dns-server value X.X.176.2 X.X.179.2 vpn-tunnel-protocol l2tp-ipsec default-domain value domain.com username sphinx password SDJHSJDHJHSD encrypted username sphinx attributes vpn-tunnel-protocol l2tp-ipsec password-storage enable service-type remote-access tunnel-group DefaultRAGroup general-attributes address-pool VPN-POOL default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes ikev1 pre-shared-key ***** Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
azhur Posted August 3, 2016 · Report post Один раз приходилось настраивать подобное, только с доменной авторизацией, а не локальной. Взлетело только в варианте с PAP, даже помнится находил где-то в документации про такое ограничение. Подробностей к сожалению не помню, в том числе относится это только к доменным учёткам или к l2tp-psk вообще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
StSphinx Posted August 3, 2016 (edited) · Report post Один раз приходилось настраивать подобное, только с доменной авторизацией, а не локальной. Взлетело только в варианте с PAP, даже помнится находил где-то в документации про такое ограничение. Подробностей к сожалению не помню, в том числе относится это только к доменным учёткам или к l2tp-psk вообще. Спасибо! PAP не пробовал, как-то в голову не приходило, что этот тип авторизации еще используется где-то. UPDATE: Да, с PAP все работает. Огромное спасибо! Edited August 3, 2016 by StSphinx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...