Jump to content
Калькуляторы

Ищутся эксперты телепаты/медиумы по циске, для решения вопроса противодействия мистификации.

Суть проблемы: циска не хочет редиректить запросы на внешний радиус, ссылая на то, что он не доступен, хотя по закону жанра с других устройств других вендоров оК (huawey, eltex).

 

Скрытый текст

aaa new-model
!
!          
aaa authentication login default local group radius
aaa authorization exec default local group radius  
!
!
!
!
!
aaa session-id common
!
clock timezone MSK 3 0
clock calendar-valid
!
dot11 syslog
no ip source-route
no ip gratuitous-arps
!
!
ip cef
!
ip vrf Inet
rd 15:2
route-target export
12345:2
route-target import
12345:2
!
ip vrf MGMT
rd 15:1
route-target export
12345:1
route-target import
12345:1
!

!
multilink bundle-name authenticated
!
!
!
!
mpls label protocol ldp
!
!
voice-card 0
!
crypto pki token default removal timeout 0
!

!
ip tcp selective-ack
ip ssh version 2
!  
!
!
!
!
!
!
!          
interface Loopback0
ip address 10.10.0.15 255.255.255.255
!

interface FastEthernet0/0.1015
encapsulation dot1Q 1015
ip address 10.10.1.54 255.255.255.252
ip ospf network point-to-point
mpls ip
no cdp enable
!
interface FastEthernet0/0.1016
encapsulation dot1Q 1016
ip address 10.10.1.58 255.255.255.252
ip ospf network point-to-point
mpls ip
no cdp enable
!
interface FastEthernet0/0.1017
encapsulation dot1Q 1017
ip address 10.10.1.62 255.255.255.252
ip ospf network point-to-point
mpls ip
no cdp enable
!

interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.128


no cdp enable
!
router ospf 10
router-id 10.10.0.15
network 10.10.0.15 0.0.0.0 area 0
network 10.10.1.0 0.0.0.255 area 0
!
router bgp 12345
bgp router-id 10.10.0.15
bgp log-neighbor-changes
neighbor 10.10.0.5 remote-as 12345
neighbor 10.10.0.5 update-source Loopback0
neighbor 10.10.0.6 remote-as 12345
neighbor 10.10.0.6 update-source Loopback0
neighbor 10.10.0.9 remote-as 12345
neighbor 10.10.0.9 update-source Loopback0
!
address-family ipv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.9 activate
exit-address-family
!
address-family vpnv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.5 send-community both
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.6 send-community both
 neighbor 10.10.0.9 activate
 neighbor 10.10.0.9 send-community both
exit-address-family
!
address-family ipv4 vrf Inet
 redistribute connected
exit-address-family
!
address-family ipv4 vrf MGMT
 redistribute connected
exit-address-family
!
!

ip radius source-interface FastEthernet0/1.333  vrf Inet   - (добавлено согласно рекомендации VolanD666)
no cdp run
!
!
!
!
!
mpls ldp router-id Loopback0
!
!
radius server rad1
address ipv4 188.66.111.30 auth-port 1812 acct-port 1813
key 7 1242342323524f
!
!
control-plane
!          
!
!
!
mgcp profile default
!
!
!
!
!
!
line con 0
exec-timeout 60 0
logging synchronous
line aux 0
no exec
transport output none
line vty 0 4
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
ntp server 188.66.111.30 prefer
end

 

ping c циски до радиуса:

 

R1_Primary# ping vrf Inet 188.66.111.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 188.66.111.30, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

 

DEBUG:

 

Скрытый текст

Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): ask "Password: "
Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): send packet; GET_PASSWORD
R1_Primary#
Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): ask "Password: "
Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): send packet; GET_PASSWORD
Oct 22 10:13:29.631: RADIUS/ENCODE(0000002B):Orig. component type = Exec
Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IP: 185.202.155.1
Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IPv6: ::
Oct 22 10:13:29.631: RADIUS(0000002B): Sending a IPv4 Radius Packet
Oct 22 10:13:29.631: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:34.471: RADIUS(0000002B): Request timed out  
Oct 22 10:13:34.471: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30
Oct 22 10:13:34.471: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:39.247: RADIUS(0000002B): Request timed out  
Oct 22 10:13:39.247: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30
Oct 22 10:13:39.247: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:43.763: RADIUS/ENCODE(0000002A):Orig. component type = Exec
Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IP: 185.202.155.1
Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IPv6: ::
Oct 22 10:13:43.763: RADIUS(0000002A): Sending a IPv4 Radius Packet
Oct 22 10:13:43.763: RADIUS(0000002A): Started 5 sec timeout
Oct 22 10:13:44.051: RADIUS(0000002B): Request timed out  
Oct 22 10:13:44.051: RADIUS: Retransmit to (188.66.111.30.30:1812,1813) for id 1645/30
Oct 22 10:13:44.051: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:48.339: RADIUS(0000002B): Request timed out  
Oct 22 10:13:48.339: %RADIUS-4-RADIUS_DEAD: RADIUS server 188.66.111.30:1812,1813 is not responding.
Oct 22 10:13:48.339: %RADIUS-4-RADIUS_ALIVE: RADIUS server 188.66.111.30:1812,1813 is being marked alive.
R1_Primary#
Oct 22 10:13:48.339: RADIUS: No response from (188.66.111.30:1812,1813) for id 1645/30
Oct 22 10:13:48.339: RADIUS/DECODE: No response from radius-server; parse response; FAIL
Oct 22 10:13:48.339: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
Oct 22 10:13:48.435: RADIUS(0000002A): Request timed out  
Oct 22 10:13:48.435: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/31
Oct 22 10:13:48.435: RADIUS(0000002A): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:53.184: RADIUS(0000002A): Request timed out  
Oct 22 10:13:53.184: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/31
Oct 22 10:13:53.184: RADIUS(0000002A): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:57.632: RADIUS(0000002A): Request timed out  
Oct 22 10:13:57.632: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/31
Oct 22 10:13:57.632: RADIUS(0000002A): Started 5 sec timeout
R1_Primary#
Oct 22 10:14:02.656: RADIUS(0000002A): Request timed out  
Oct 22 10:14:02.656: RADIUS: No response from (188.66.111.30:1812,1813) for id 1645/31
Oct 22 10:14:02.656: RADIUS/DECODE: No response from radius-server; parse response; FAIL
Oct 22 10:14:02.656: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL
R1_Primary#
Oct 22 10:14:04.660: RADIUS/ENCODE(0000002A): ask "Password: "
Oct 22 10:14:04.660: RADIUS/ENCODE(0000002A): send packet; GET_PASSWORD

 

С других железок радиус работает, но там не используется MPLS.

 

 

Share this post


Link to post
Share on other sites

Может имеет смысл еще и со стороны радиуса дамп снять, посмотреть - он хотя бы получает пакеты?

Share this post


Link to post
Share on other sites

V

В 22.10.2021 в 13:34, RN3DCX сказал:

Oct 22 10:14:02.656: RADIUS/DECODE: No response from radius-server; parse response; FAIL
Oct 22 10:14:02.656: RADIUS/DECODE: Case error(no response/ bad packet/ op decode);parse response; FAIL

А ключ точно совпадает?

 

Еще я бы жестко задал соурс адрес для общения с радиусом.

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:19, VolanD666 сказал:

Еще я бы жестко задал соурс адрес для общения с радиусом.

 Это да, а то пинг с врф, а откуда реально к радиусу идет, непонятно, а уж там или маршрутизация или фаер на удп, ну и в логах самого радиуса посмотреть, откуда запросы идут...

Share this post


Link to post
Share on other sites

В 22.10.2021 в 14:19, VolanD666 сказал:

Еще я бы жестко задал соурс адрес для общения с радиусом

Не нашел такой команды, есть только интерфейс.

 

В 22.10.2021 в 14:19, VolanD666 сказал:

А ключ точно совпадает?

ctrl+c => ctrl+v

Сложно ошибиться.

Share this post


Link to post
Share on other sites

В 22.10.2021 в 15:21, RN3DCX сказал:

Не нашел такой команды, есть только интерфейс.

Сорри, не увидел что у вас инт-с уже прописан. А пинг с этого инт-са до радиус сервера идет? И все же запустите дамп со стороны сервера, посмотрите что приходит. Можно запустить радиус сервер в режиме дебага (фрирадиус так точно можно) и посмотреть что прилетает.

Share this post


Link to post
Share on other sites

В 22.10.2021 в 17:21, RN3DCX сказал:

ctrl+c => ctrl+v

Сложно ошибиться.

 Пробелы в конце строки иногда попадают невидимые :( Но это бы в логах радиуса видно

Share this post


Link to post
Share on other sites

В 22.10.2021 в 15:23, VolanD666 сказал:

А пинг с этого инт-са до радиус сервера идет?

да, его привел в первом посте:

R1_Primary# ping vrf Inet 188.6X.X1X.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 188.6X.X1X.30, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Share this post


Link to post
Share on other sites

В 22.10.2021 в 17:23, RN3DCX сказал:

Конфиг по диагонали смотрели?

 Где ? Конфига тут не было, а было "ping vrf Inet 188.6X.X1X.30"

Share this post


Link to post
Share on other sites

В 22.10.2021 в 15:24, RN3DCX сказал:

да, его привел в первом посте:

R1_Primary# ping vrf Inet 188.6X.X1X.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 188.6X.X1X.30, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Ну я говорил про задать соурс при пинге. Но у вас судя по всему один инт-с в этом врф так что пинг и так по идее с него должен пойти. Самый простой способ- дебажить со стороны сервера.

Share this post


Link to post
Share on other sites

В 22.10.2021 в 15:24, YuryD сказал:

Но это бы в логах радиуса видно

Ушел за логами на radius-сервере.

 

В 22.10.2021 в 15:26, YuryD сказал:

Конфига тут не было

Нажмите на "Показать содержимое"  в первом посте=)

 

В 22.10.2021 в 15:26, VolanD666 сказал:

Но у вас судя по всему один инт-с в этом врф так что пинг и так по идее с него должен пойти

Да, всё верно.

Share this post


Link to post
Share on other sites

В 22.10.2021 в 17:27, RN3DCX сказал:

Ушел за логами на radius-сервере.

 Самое полезное. А то вдрюг радиус про новый нас ничего не знает, или конфиг не пережевал, или копипаст кривой был...

Share this post


Link to post
Share on other sites

В 22.10.2021 в 17:23, RN3DCX сказал:

Конфиг по диагонали смотрели?

 Прошу извинить, в новом дизайне форума хреново поглядел, да и зрение у меня плохое...

Share this post


Link to post
Share on other sites

В 22.10.2021 в 15:23, VolanD666 сказал:

Можно запустить радиус сервер в режиме дебага (фрирадиус так точно можно) и посмотреть что прилетает.

Вот именно freeradius и выступает в этой роли.

Запустил debug -X и мистификация проявилась в полном объеме. Как оказалось запросы на радиус сервер не прилетают от слова вообще, хотя L3 связность есть в обе стороны.

 

Товарищи экстрасенсы выручайте!

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:08, RN3DCX сказал:

Вот именно freeradius и выступает в этой роли.

Запустил debug -X и мистификация проявилась в полном объеме. Как оказалось запросы на  радиус сервер не прилетают от слова вообще, хотя L3 связность есть в обе стороны.

 

Товарищи экстрасенсы выручайте!

tcpdump что говорит?

 

Причем, запустите сначала tcpdump для icmp посмотрите что пакет прилетает с правильным сорсом. Тогда вы точно будете знать, что он не занатился где-нибудь, например.

 

Потом уже можно смотреть tcpdump для этого сорса.

 

А кажется понял, ему же надо не только source задать но и vrf в настройках радиуса. Если я ничего не путаю, как то так 

ip radius source-interface GigabitEthernet0/0 vrf Mgmt-vrf

Share this post


Link to post
Share on other sites

!example

!

aaa group server radius R1
 server-private 10.10.10.10 auth-port 1812 acct-port 1813 key 7 xzxzxzxz
 ip vrf forwarding Inet
 ip radius source-interface <желательно>

!

 

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:16, VolanD666 сказал:

tcpdump что говорит?

Тишина от хоста указанного на интерфейсе циски.

 

интерфейс циски:

interface FastEthernet0/1.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.2XX.X5X.1 255.255.255.128

 

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:29, RN3DCX сказал:

Тишина от хоста указанного на интерфейсе циски.

 

интерфейс циски:

interface FastEthernet0/1.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.2XX.X5X.1 255.255.255.128

 

См выше. В соурс инт-се радиуса дополнительно пропишите vrf и все заработает. Вот так:

 

ip radius source-interface FastEthernet0/1.333  vrf Inet

 

 

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:33, VolanD666 сказал:

ip radius source-interface FastEthernet0/1.333  vrf Inet

Это я первым делом пробовал, не-а, тишина....

Сейчас еще раз проверил через debug на радиусе - нет запросов от циски...

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:45, RN3DCX сказал:

Это я первым делом пробовал, не-а, тишина....

Сейчас еще раз проверил через debug на радиусе - нет запросов от циски...

Ну у вас просто в конфиге этого нет, а должно быть.

 

В 22.10.2021 в 16:45, RN3DCX сказал:

Сейчас еще раз проверил через debug на радиусе - нет запросов от циски...

Смотреть надо в первую очередь tcpdump на сервере. Если пакеты не прилетают на сервер, в дебаге их точно не будет.

 

Точно нигде не фильтруется? Пинг в tcpdump видите?

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:49, VolanD666 сказал:

Ну у вас просто в конфиге этого нет, а должно быть.

Спорный момент. Т.к. в конфиге указывается интерфейс с которого нужно ходить радиусу. А уже внутри интерфейса указан VFR.

Следовательно пакет с radius запросом оправляется на интерфейс, а интерфейс его дальше сам пихает в VFR.

 

 

В 22.10.2021 в 16:49, VolanD666 сказал:

Пинг в tcpdump видите?

Да, вижу.

 

Вот вывод tcpdump на сервере где развернут радиус. ICMP запрос от циски.

 

16:59:29.612604 IP 185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 0, length 80
16:59:29.612666 IP service.ru >
185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 0, length 80
16:59:29.615249 IP
185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 1, length 80
16:59:29.615270 IP service.ru >
185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 1, length 80
16:59:29.617704 IP
185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 2, length 80
16:59:29.617727 IP service.ru >
185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 2, length 80
16:59:29.620439 IP
185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 3, length 80
16:59:29.620466 IP service.ru >
185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 3, length 80
16:59:29.622941 IP
185.202.155.1.in-addr.ru > service.ru: ICMP echo request, id 1, seq 4, length 80
16:59:29.622965 IP service.ru >
185.202.155.1.in-addr.ru: ICMP echo reply, id 1, seq 4, length 80

Share this post


Link to post
Share on other sites

В 22.10.2021 в 16:58, RN3DCX сказал:

а интерфейс его дальше сам пихает в VFR.

Эммм... нет, не пихает :)

 

В 22.10.2021 в 16:58, RN3DCX сказал:

Да, вижу.

А есть возможность запустить tcpdump на портах радиуса или там трафик будет не только от этой железки?

Share this post


Link to post
Share on other sites

В 22.10.2021 в 17:01, VolanD666 сказал:

А есть возможность запустить tcpdump на портах радиуса или там трафик будет не только от этой железки?

Запускал tcpdump именно на том интерфейсе radius сервера куда должен прилететь запрос от циски. - VolanD666 если я правильно понял вопрос.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.