RN3DCX Опубликовано 22 октября, 2021 · Жалоба Ищутся эксперты телепаты/медиумы по циске, для решения вопроса противодействия мистификации. Суть проблемы: циска не хочет редиректить запросы на внешний радиус, ссылая на то, что он не доступен, хотя по закону жанра с других устройств других вендоров оК (huawey, eltex). Скрытый текст aaa new-model ! ! aaa authentication login default local group radius aaa authorization exec default local group radius ! ! ! ! ! aaa session-id common ! clock timezone MSK 3 0 clock calendar-valid ! dot11 syslog no ip source-route no ip gratuitous-arps ! ! ip cef ! ip vrf Inet rd 15:2 route-target export 12345:2 route-target import 12345:2 ! ip vrf MGMT rd 15:1 route-target export 12345:1 route-target import 12345:1 ! ! multilink bundle-name authenticated ! ! ! ! mpls label protocol ldp ! ! voice-card 0 ! crypto pki token default removal timeout 0 ! ! ip tcp selective-ack ip ssh version 2 ! ! ! ! ! ! ! ! interface Loopback0 ip address 10.10.0.15 255.255.255.255 ! interface FastEthernet0/0.1015 encapsulation dot1Q 1015 ip address 10.10.1.54 255.255.255.252 ip ospf network point-to-point mpls ip no cdp enable ! interface FastEthernet0/0.1016 encapsulation dot1Q 1016 ip address 10.10.1.58 255.255.255.252 ip ospf network point-to-point mpls ip no cdp enable ! interface FastEthernet0/0.1017 encapsulation dot1Q 1017 ip address 10.10.1.62 255.255.255.252 ip ospf network point-to-point mpls ip no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.128 no cdp enable ! router ospf 10 router-id 10.10.0.15 network 10.10.0.15 0.0.0.0 area 0 network 10.10.1.0 0.0.0.255 area 0 ! router bgp 12345 bgp router-id 10.10.0.15 bgp log-neighbor-changes neighbor 10.10.0.5 remote-as 12345 neighbor 10.10.0.5 update-source Loopback0 neighbor 10.10.0.6 remote-as 12345 neighbor 10.10.0.6 update-source Loopback0 neighbor 10.10.0.9 remote-as 12345 neighbor 10.10.0.9 update-source Loopback0 ! address-family ipv4 neighbor 10.10.0.5 activate neighbor 10.10.0.6 activate neighbor 10.10.0.9 activate exit-address-family ! address-family vpnv4 neighbor 10.10.0.5 activate neighbor 10.10.0.5 send-community both neighbor 10.10.0.6 activate neighbor 10.10.0.6 send-community both neighbor 10.10.0.9 activate neighbor 10.10.0.9 send-community both exit-address-family ! address-family ipv4 vrf Inet redistribute connected exit-address-family ! address-family ipv4 vrf MGMT redistribute connected exit-address-family ! ! ip radius source-interface FastEthernet0/1.333 vrf Inet - (добавлено согласно рекомендации VolanD666) no cdp run ! ! ! ! ! mpls ldp router-id Loopback0 ! ! radius server rad1 address ipv4 188.66.111.30 auth-port 1812 acct-port 1813 key 7 1242342323524f ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! ! line con 0 exec-timeout 60 0 logging synchronous line aux 0 no exec transport output none line vty 0 4 privilege level 15 logging synchronous transport input ssh ! scheduler allocate 20000 1000 ntp server 188.66.111.30 prefer end ping c циски до радиуса: R1_Primary# ping vrf Inet 188.66.111.30 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 188.66.111.30, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms DEBUG: Скрытый текст Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): ask "Password: " Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): send packet; GET_PASSWORD R1_Primary# Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): ask "Password: " Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): send packet; GET_PASSWORD Oct 22 10:13:29.631: RADIUS/ENCODE(0000002B):Orig. component type = Exec Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IP: 185.202.155.1 Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IPv6: :: Oct 22 10:13:29.631: RADIUS(0000002B): Sending a IPv4 Radius Packet Oct 22 10:13:29.631: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:34.471: RADIUS(0000002B): Request timed out Oct 22 10:13:34.471: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30 Oct 22 10:13:34.471: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:39.247: RADIUS(0000002B): Request timed out Oct 22 10:13:39.247: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30 Oct 22 10:13:39.247: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:43.763: RADIUS/ENCODE(0000002A):Orig. component type = Exec Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IP: 185.202.155.1 Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IPv6: :: Oct 22 10:13:43.763: RADIUS(0000002A): Sending a IPv4 Radius Packet Oct 22 10:13:43.763: RADIUS(0000002A): Started 5 sec timeout Oct 22 10:13:44.051: RADIUS(0000002B): Request timed out Oct 22 10:13:44.051: RADIUS: Retransmit to (188.66.111.30.30:1812,1813) for id 1645/30 Oct 22 10:13:44.051: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:48.339: RADIUS(0000002B): Request timed out Oct 22 10:13:48.339: %RADIUS-4-RADIUS_DEAD: RADIUS server 188.66.111.30:1812,1813 is not responding. Oct 22 10:13:48.339: %RADIUS-4-RADIUS_ALIVE: RADIUS server 188.66.111.30:1812,1813 is being marked alive. R1_Primary# Oct 22 10:13:48.339: RADIUS: No response from (188.66.111.30:1812,1813) for id 1645/30 Oct 22 10:13:48.339: RADIUS/DECODE: No response from radius-server; parse response; FAIL Oct 22 10:13:48.339: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL Oct 22 10:13:48.435: RADIUS(0000002A): Request timed out Oct 22 10:13:48.435: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/31 Oct 22 10:13:48.435: RADIUS(0000002A): Started 5 sec timeout R1_Primary# Oct 22 10:13:53.184: RADIUS(0000002A): Request timed out Oct 22 10:13:53.184: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/31 Oct 22 10:13:53.184: RADIUS(0000002A): Started 5 sec timeout R1_Primary# Oct 22 10:13:57.632: RADIUS(0000002A): Request timed out Oct 22 10:13:57.632: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/31 Oct 22 10:13:57.632: RADIUS(0000002A): Started 5 sec timeout R1_Primary# Oct 22 10:14:02.656: RADIUS(0000002A): Request timed out Oct 22 10:14:02.656: RADIUS: No response from (188.66.111.30:1812,1813) for id 1645/31 Oct 22 10:14:02.656: RADIUS/DECODE: No response from radius-server; parse response; FAIL Oct 22 10:14:02.656: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL R1_Primary# Oct 22 10:14:04.660: RADIUS/ENCODE(0000002A): ask "Password: " Oct 22 10:14:04.660: RADIUS/ENCODE(0000002A): send packet; GET_PASSWORD С других железок радиус работает, но там не используется MPLS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
murano Опубликовано 22 октября, 2021 · Жалоба Может имеет смысл еще и со стороны радиуса дамп снять, посмотреть - он хотя бы получает пакеты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба V В 22.10.2021 в 13:34, RN3DCX сказал: Oct 22 10:14:02.656: RADIUS/DECODE: No response from radius-server; parse response; FAIL Oct 22 10:14:02.656: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL А ключ точно совпадает? Еще я бы жестко задал соурс адрес для общения с радиусом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:19, VolanD666 сказал: Еще я бы жестко задал соурс адрес для общения с радиусом. Это да, а то пинг с врф, а откуда реально к радиусу идет, непонятно, а уж там или маршрутизация или фаер на удп, ну и в логах самого радиуса посмотреть, откуда запросы идут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 14:19, VolanD666 сказал: Еще я бы жестко задал соурс адрес для общения с радиусом Не нашел такой команды, есть только интерфейс. В 22.10.2021 в 14:19, VolanD666 сказал: А ключ точно совпадает? ctrl+c => ctrl+v Сложно ошибиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 15:21, RN3DCX сказал: Не нашел такой команды, есть только интерфейс. Сорри, не увидел что у вас инт-с уже прописан. А пинг с этого инт-са до радиус сервера идет? И все же запустите дамп со стороны сервера, посмотрите что приходит. Можно запустить радиус сервер в режиме дебага (фрирадиус так точно можно) и посмотреть что прилетает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 15:20, YuryD сказал: Это да, а то пинг с врф, а откуда реально к радиусу идет, непонятно Конфиг по диагонали смотрели? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 17:21, RN3DCX сказал: ctrl+c => ctrl+v Сложно ошибиться. Пробелы в конце строки иногда попадают невидимые :( Но это бы в логах радиуса видно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 15:23, VolanD666 сказал: А пинг с этого инт-са до радиус сервера идет? да, его привел в первом посте: R1_Primary# ping vrf Inet 188.6X.X1X.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 188.6X.X1X.30, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 17:23, RN3DCX сказал: Конфиг по диагонали смотрели? Где ? Конфига тут не было, а было "ping vrf Inet 188.6X.X1X.30" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 15:24, RN3DCX сказал: да, его привел в первом посте: R1_Primary# ping vrf Inet 188.6X.X1X.30Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 188.6X.X1X.30, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Ну я говорил про задать соурс при пинге. Но у вас судя по всему один инт-с в этом врф так что пинг и так по идее с него должен пойти. Самый простой способ- дебажить со стороны сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 15:24, YuryD сказал: Но это бы в логах радиуса видно Ушел за логами на radius-сервере. В 22.10.2021 в 15:26, YuryD сказал: Конфига тут не было Нажмите на "Показать содержимое" в первом посте=) В 22.10.2021 в 15:26, VolanD666 сказал: Но у вас судя по всему один инт-с в этом врф так что пинг и так по идее с него должен пойти Да, всё верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 17:27, RN3DCX сказал: Ушел за логами на radius-сервере. Самое полезное. А то вдрюг радиус про новый нас ничего не знает, или конфиг не пережевал, или копипаст кривой был... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 17:23, RN3DCX сказал: Конфиг по диагонали смотрели? Прошу извинить, в новом дизайне форума хреново поглядел, да и зрение у меня плохое... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 15:23, VolanD666 сказал: Можно запустить радиус сервер в режиме дебага (фрирадиус так точно можно) и посмотреть что прилетает. Вот именно freeradius и выступает в этой роли. Запустил debug -X и мистификация проявилась в полном объеме. Как оказалось запросы на радиус сервер не прилетают от слова вообще, хотя L3 связность есть в обе стороны. Товарищи экстрасенсы выручайте! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:08, RN3DCX сказал: Вот именно freeradius и выступает в этой роли. Запустил debug -X и мистификация проявилась в полном объеме. Как оказалось запросы на радиус сервер не прилетают от слова вообще, хотя L3 связность есть в обе стороны. Товарищи экстрасенсы выручайте! tcpdump что говорит? Причем, запустите сначала tcpdump для icmp посмотрите что пакет прилетает с правильным сорсом. Тогда вы точно будете знать, что он не занатился где-нибудь, например. Потом уже можно смотреть tcpdump для этого сорса. А кажется понял, ему же надо не только source задать но и vrf в настройках радиуса. Если я ничего не путаю, как то так ip radius source-interface GigabitEthernet0/0 vrf Mgmt-vrf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AN111 Опубликовано 22 октября, 2021 · Жалоба !example ! aaa group server radius R1 server-private 10.10.10.10 auth-port 1812 acct-port 1813 key 7 xzxzxzxz ip vrf forwarding Inet ip radius source-interface <желательно> ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:16, VolanD666 сказал: tcpdump что говорит? Тишина от хоста указанного на интерфейсе циски. интерфейс циски: interface FastEthernet0/1.333encapsulation dot1Q 333ip vrf forwarding Inetip address 185.2XX.X5X.1 255.255.255.128 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:29, RN3DCX сказал: Тишина от хоста указанного на интерфейсе циски. интерфейс циски: interface FastEthernet0/1.333encapsulation dot1Q 333ip vrf forwarding Inetip address 185.2XX.X5X.1 255.255.255.128 См выше. В соурс инт-се радиуса дополнительно пропишите vrf и все заработает. Вот так: ip radius source-interface FastEthernet0/1.333 vrf Inet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:33, VolanD666 сказал: ip radius source-interface FastEthernet0/1.333 vrf Inet Это я первым делом пробовал, не-а, тишина.... Сейчас еще раз проверил через debug на радиусе - нет запросов от циски... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:45, RN3DCX сказал: Это я первым делом пробовал, не-а, тишина.... Сейчас еще раз проверил через debug на радиусе - нет запросов от циски... Ну у вас просто в конфиге этого нет, а должно быть. В 22.10.2021 в 16:45, RN3DCX сказал: Сейчас еще раз проверил через debug на радиусе - нет запросов от циски... Смотреть надо в первую очередь tcpdump на сервере. Если пакеты не прилетают на сервер, в дебаге их точно не будет. Точно нигде не фильтруется? Пинг в tcpdump видите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:49, VolanD666 сказал: Ну у вас просто в конфиге этого нет, а должно быть. Спорный момент. Т.к. в конфиге указывается интерфейс с которого нужно ходить радиусу. А уже внутри интерфейса указан VFR. Следовательно пакет с radius запросом оправляется на интерфейс, а интерфейс его дальше сам пихает в VFR. В 22.10.2021 в 16:49, VolanD666 сказал: Пинг в tcpdump видите? Да, вижу. Вот вывод tcpdump на сервере где развернут радиус. ICMP запрос от циски. 16:59:29.612604 IP 185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 0, length 80 16:59:29.612666 IP service.ru > 185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 0, length 80 16:59:29.615249 IP 185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 1, length 80 16:59:29.615270 IP service.ru > 185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 1, length 80 16:59:29.617704 IP 185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 2, length 80 16:59:29.617727 IP service.ru > 185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 2, length 80 16:59:29.620439 IP 185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 3, length 80 16:59:29.620466 IP service.ru > 185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 3, length 80 16:59:29.622941 IP 185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 4, length 80 16:59:29.622965 IP service.ru > 185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 4, length 80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 16:58, RN3DCX сказал: а интерфейс его дальше сам пихает в VFR. Эммм... нет, не пихает :) В 22.10.2021 в 16:58, RN3DCX сказал: Да, вижу. А есть возможность запустить tcpdump на портах радиуса или там трафик будет не только от этой железки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 · Жалоба В 22.10.2021 в 17:01, VolanD666 сказал: А есть возможность запустить tcpdump на портах радиуса или там трафик будет не только от этой железки? Запускал tcpdump именно на том интерфейсе radius сервера куда должен прилететь запрос от циски. - VolanD666 если я правильно понял вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 октября, 2021 · Жалоба Firewall на радиус-сервере? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...