Jump to content
Калькуляторы

Cisco ASA IPSec/L2TP ASA не авторизует пользователей

Доброго времени суток, коллеги!

Был у нас PIX, раз настроил и забыл, но со временем решили переехать на ASA.

И тут начался цирк. Долгое ковыряние(ASDM sucks!) привело к тому, что IPSec поднимается, все ок.

А вот когда дело доходит до L2TP , все обламывается на авторизации пользователя. Пароль перебивал уже Н-ное

кол-во раз и пробовал как CHAP, так и MS-CHAP, результат один и тот же - неверный пароль.

 

AAA user authentication Rejected : reason = Invalid password : local database : user = sphinx

 

Привожу выдержку из конфига, поможите чем можете!

ASA Version 8.4(7)15

aaa authentication enable console LOCAL 
aaa authentication http console LOCAL 
aaa authentication serial console LOCAL 
aaa authentication ssh console LOCAL 
aaa authentication telnet console LOCAL 
aaa local authentication attempts max-fail 5
aaa authorization exec LOCAL

group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value X.X.176.2 X.X.179.2
vpn-tunnel-protocol l2tp-ipsec 
default-domain value domain.com

username sphinx password SDJHSJDHJHSD encrypted
username sphinx attributes
vpn-tunnel-protocol l2tp-ipsec 
password-storage enable
service-type remote-access

tunnel-group DefaultRAGroup general-attributes
address-pool VPN-POOL
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key *****


Share this post


Link to post
Share on other sites

Один раз приходилось настраивать подобное, только с доменной авторизацией, а не локальной.

Взлетело только в варианте с PAP, даже помнится находил где-то в документации про такое ограничение.

Подробностей к сожалению не помню, в том числе относится это только к доменным учёткам или к l2tp-psk вообще.

Share this post


Link to post
Share on other sites

Один раз приходилось настраивать подобное, только с доменной авторизацией, а не локальной.

Взлетело только в варианте с PAP, даже помнится находил где-то в документации про такое ограничение.

Подробностей к сожалению не помню, в том числе относится это только к доменным учёткам или к l2tp-psk вообще.

 

Спасибо! PAP не пробовал, как-то в голову не приходило, что этот тип авторизации еще используется где-то.

 

UPDATE: Да, с PAP все работает. Огромное спасибо!

Edited by StSphinx

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.