RN3DCX Опубликовано 22 октября, 2021 В 22.10.2021 в 17:41, Andrei сказал: Firewall на радиус-сервере? Исключено! Тут вопрос в том, что даже запросов нет от циски Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 октября, 2021 Если между циской и радиус-сервером есть коммутатор и он управляемый, то посмотреть маки на портах коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 А-а-а, что делать если у меня коммутация L3 (LDP), где маки посмотреть не подскажите пжл? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 октября, 2021 Не использовал LDP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 октября, 2021 Вам AN111 правильно написал, надо делать группу AAA, сервера, директивы ip radius source-interface , ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 22 октября, 2021 В 23.10.2021 в 01:10, jffulcrum сказал: ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном Шооо? В какой группе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 23 октября, 2021 В 22.10.2021 в 17:06, RN3DCX сказал: Запускал tcpdump именно на том интерфейсе radius сервера куда должен прилететь запрос от циски. - VolanD666 если я правильно понял вопрос. RN3DCX, здравствуйте. Можно попробовать настроить access-list исходящего трафика на radius source-interface, со следующей логикой – разрешить RADIUS порты до IP сервера RADIUS, запретить RADIUS порты до остальных хостов и пропускать остальной трафик. На счётчиках packet match access-list будет видны отправленные IP пакеты в сторону IP сервера RADIUS, если пакеты отправляются. P.S. Возможно ситуация, когда при правильной настройке, у CISCO не работает конкретный сервис, это следствие "глюка" IOS. У меня не работал L2TP, весь "мозг сломал", после замены IOS проблема вылечилась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 23 октября, 2021 В 22.10.2021 в 15:21, RN3DCX сказал: Не нашел такой команды, есть только интерфейс. указывается еще и vrf, но делается это в настройках ааа aaa group server ... ... ip vrf forwarding Mgmt-vrf а вот конфиг с роутера для радиуса aaa group server radius FREERADIUS server name FREERADIUS1 ip vrf forwarding internal ... radius server FREERADIUS1 address ipv4 10.11.60.4 auth-port 1812 acct-port 1813 key 7 0220160839520B70123A Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 23 октября, 2021 kapydan, спасибо, в понедельник попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 24 октября, 2021 + можно прописать ip radius source-interface бла-бла-бла (синтаксис от иоса зависит). привел часть конфига с isr 4431 - на нем тоже были проблемы с авторизацией, потом добавил сорс-интерфейс (как помню, не со всех заводилось и пришлось покопаться и подбирать нужный из-за оспф) и заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 ноября, 2021 aaa group server radius captive server-private 10.0.11.90 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxx ip vrf forwarding Mgmt-inband ip radius source-interface TenGigabitEthernet0/1/0.11 ! ! aaa authentication ppp CAPTIVE group captive aaa authorization network CAPTIVE group captive aaa autaaa authorization subscriber-service CAPTIVE local group captive aaa authorization configuration CAPTIVE group captive aaa accounting network CAPTIVE start-stop group captive ! aaa server radius dynamic-author client 10.0.11.90 vrf Mgmt-inband server-key 7 xxxxxxxxxxxxxxx ! interface TenGigabitEthernet0/1/0.11 encapsulation dot1Q 11 vrf forwarding Mgmt-inband ip address 10.0.11.21 255.255.255.0 ! Копипаста с продакшена IOS XE (ASR1002) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 ноября, 2021 Всем поклон и благодарность за приведенные примеры и конфиги! Мой случай по всей видимости оказался весьма частным или не стандартным по разумению индусов пишущих ПО для циски. Радиус сервер и интерфейс на циске живут в разных подсетях и пока нет peer_to_peer сети, циска на отрез отказывается слать запросы от слова ВООБЩЕ... Tcpdump - это наглядно доказал =(( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 3 ноября, 2021 В 03.11.2021 в 12:33, RN3DCX сказал: Радиус сервер и интерфейс на циске живут в разных подсетях А если хелпер прописать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 ноября, 2021 Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы: Time (udp 37) TACACS (udp 49) DNS (udp 53) TFTP (udp 69) NetBIOS name service (udp 137) NetBIOS datagram service (udp 138) ip helper-addressне не мой случай... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 6 ноября, 2021 В 03.11.2021 в 14:21, RN3DCX сказал: ip helper-addressне не мой случай... Но этот список можно регулировать... ip forward-protocol udp XXXXX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 ноября, 2021 сделал на интерфейсе: interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip helper-address 188.66.111.30 no cdp enable добавил в глобал: ip forward-protocol udp 1812 ip forward-protocol udp 1813 Но счастье не произошло, циска по прежнему отказывается слать запросы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 ноября, 2021 В 08.11.2021 в 11:53, RN3DCX сказал: сделал на интерфейсе: interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip helper-address 188.66.111.30 no cdp enable добавил в глобал: ip forward-protocol udp 1812 ip forward-protocol udp 1813 Но счастье не произошло, циска по прежнему отказывается слать запросы... Скорее всего у вас циска не роутит эти запросы до Радиуса, поэтому у вас в плоской сети все работает. Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале. Может смена прошивки поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 ноября, 2021 В 08.11.2021 в 12:23, VolanD666 сказал: Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале Скорее всего это так и есть. В 08.11.2021 в 12:23, VolanD666 сказал: Может смена прошивки Пробовал на двух IOS'ах: 14 и 18 года. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 8 ноября, 2021 В 08.11.2021 в 12:33, RN3DCX сказал: Пробовал на двух IOS'ах: 14 и 18 года. можно указать на каких именно и какая железка? просто то, что работает на ios-xe может не работать на ios. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 ноября, 2021 В 08.11.2021 в 13:14, kapydan сказал: можно указать на каких именно и какая железка? Железка cisco 2811 IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin IOS c2800nm-advipservicesk9-mz.124-22.T.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 ноября, 2021 Через aaa group server radius вы пробовали сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 ноября, 2021 В 08.11.2021 в 17:51, VolanD666 сказал: Через aaa group server radius вы пробовали сделать? да, конечно! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 8 ноября, 2021 В 08.11.2021 в 17:52, RN3DCX сказал: да, конечно! Покажите получившийся конфиг, не увидел в обсуждении (может не туда смотрю) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 8 ноября, 2021 В 08.11.2021 в 15:08, RN3DCX сказал: Железка cisco 2811 IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin IOS c2800nm-advipservicesk9-mz.124-22.T.bin есть работающий radius в vrf на 3945 (роутера самого нет, но есть рабочий конфиг с нее) boot system flash0:c3900-universalk9-mz.SPA.152-4.M7.bin boot system flash0:c3900-universalk9-mz.SPA.155-1.T.bin aaa group server radius RAD-SRV server-private 10.4.4.4 key 7 ... ip vrf forwarding internal никаких source interface в конфиге не нашел. под рукой есть 2900, но там радиус не в vrf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 ноября, 2021 В 08.11.2021 в 17:56, VolanD666 сказал: Покажите получившийся конфиг Скрытый текст version 15.1 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname R1_Primary ! boot-start-marker boot-end-marker ! ! ! aaa new-model ! ! aaa group server radius rad server name rad1 ip vrf forwarding Inet ! aaa authentication login default local group radius aaa authorization exec default local group radius ! ! ! ! ! aaa session-id common ! clock timezone MSK 3 0 clock calendar-valid ! dot11 syslog ip source-route no ip gratuitous-arps ! ! ip cef ! ip vrf Inet rd 15:2 route-target export 12345:2 route-target import 12345:2 ! ip vrf MGMT rd 15:1 route-target export 12345:1 route-target import 12345:1 ! ip dhcp bootp ignore ! ! no ip bootp server no ip domain lookup ip domain name R1_Primary.local no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! crypto pki token default removal timeout 0 ! ! ! ! license udi pid CISCO2811 sn FCZ13172051 write-memory time-period 1440 username 12345 privilege 15 password 7 09714F01791C ! redundancy ! ! ip tcp selective-ack ip ssh version 2 ! ! ! ! ! ! ! ! interface Loopback0 ip address 10.10.0.15 255.255.255.255 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 no cdp enable ! interface FastEthernet0/0.1015 encapsulation dot1Q 1015 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/0.1016 encapsulation dot1Q 1016 ip address 10.10.1.58 255.255.255.0 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/0.1017 encapsulation dot1Q 1017 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! router ospf 10 router-id 10.10.0.15 network 10.10.0.15 0.0.0.0 area 0 network 10.10.1.0 0.0.0.255 area 0 ! router bgp 12345 bgp router-id 10.10.0.15 bgp log-neighbor-changes neighbor 10.10.0.5 remote-as 12345 neighbor 10.10.0.5 update-source Loopback0 neighbor 10.10.0.6 remote-as 12345 neighbor 10.10.0.6 update-source Loopback0 neighbor 10.10.0.9 remote-as 12345 neighbor 10.10.0.9 update-source Loopback0 ! address-family ipv4 neighbor 10.10.0.5 activate neighbor 10.10.0.6 activate neighbor 10.10.0.9 activate exit-address-family ! address-family vpnv4 neighbor 10.10.0.5 activate neighbor 10.10.0.5 send-community both neighbor 10.10.0.6 activate neighbor 10.10.0.6 send-community both neighbor 10.10.0.9 activate neighbor 10.10.0.9 send-community both exit-address-family ! address-family ipv4 vrf Inet redistribute connected exit-address-family ! address-family ipv4 vrf MGMT redistribute connected exit-address-family ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ! ip radius source-interface FastEthernet0/0.333 no cdp run ! ! ! ! snmp-server community aawief5Y RO snmp-server host 188.65.128.30 aawief5Y ! mpls ldp router-id Loopback0 ! ! radius server rad1 address ipv4 188.66.111.30 auth-port 1812 acct-port 1813 key 7 1242342323524f ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! ! line con 0 exec-timeout 60 0 logging synchronous line aux 0 no exec transport output none line vty 0 4 privilege level 15 logging synchronous transport input ssh ! scheduler allocate 20000 1000 ntp server 188.66.111.30 prefer end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...