RN3DCX Posted October 22 · Report post В 22.10.2021 в 17:41, Andrei сказал: Firewall на радиус-сервере? Исключено! Тут вопрос в том, что даже запросов нет от циски Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted October 22 · Report post Если между циской и радиус-сервером есть коммутатор и он управляемый, то посмотреть маки на портах коммутатора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted October 22 · Report post А-а-а, что делать если у меня коммутация L3 (LDP), где маки посмотреть не подскажите пжл? =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted October 22 · Report post Не использовал LDP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted October 22 · Report post Вам AN111 правильно написал, надо делать группу AAA, сервера, директивы ip radius source-interface , ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted October 22 · Report post В 23.10.2021 в 01:10, jffulcrum сказал: ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном Шооо? В какой группе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted October 23 · Report post В 22.10.2021 в 17:06, RN3DCX сказал: Запускал tcpdump именно на том интерфейсе radius сервера куда должен прилететь запрос от циски. - VolanD666 если я правильно понял вопрос. RN3DCX, здравствуйте. Можно попробовать настроить access-list исходящего трафика на radius source-interface, со следующей логикой – разрешить RADIUS порты до IP сервера RADIUS, запретить RADIUS порты до остальных хостов и пропускать остальной трафик. На счётчиках packet match access-list будет видны отправленные IP пакеты в сторону IP сервера RADIUS, если пакеты отправляются. P.S. Возможно ситуация, когда при правильной настройке, у CISCO не работает конкретный сервис, это следствие "глюка" IOS. У меня не работал L2TP, весь "мозг сломал", после замены IOS проблема вылечилась. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted October 23 · Report post В 22.10.2021 в 15:21, RN3DCX сказал: Не нашел такой команды, есть только интерфейс. указывается еще и vrf, но делается это в настройках ааа aaa group server ... ... ip vrf forwarding Mgmt-vrf а вот конфиг с роутера для радиуса aaa group server radius FREERADIUS server name FREERADIUS1 ip vrf forwarding internal ... radius server FREERADIUS1 address ipv4 10.11.60.4 auth-port 1812 acct-port 1813 key 7 0220160839520B70123A Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted October 23 · Report post kapydan, спасибо, в понедельник попробую. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted October 24 · Report post + можно прописать ip radius source-interface бла-бла-бла (синтаксис от иоса зависит). привел часть конфига с isr 4431 - на нем тоже были проблемы с авторизацией, потом добавил сорс-интерфейс (как помню, не со всех заводилось и пришлось покопаться и подбирать нужный из-за оспф) и заработало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted November 2 · Report post aaa group server radius captive server-private 10.0.11.90 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxx ip vrf forwarding Mgmt-inband ip radius source-interface TenGigabitEthernet0/1/0.11 ! ! aaa authentication ppp CAPTIVE group captive aaa authorization network CAPTIVE group captive aaa autaaa authorization subscriber-service CAPTIVE local group captive aaa authorization configuration CAPTIVE group captive aaa accounting network CAPTIVE start-stop group captive ! aaa server radius dynamic-author client 10.0.11.90 vrf Mgmt-inband server-key 7 xxxxxxxxxxxxxxx ! interface TenGigabitEthernet0/1/0.11 encapsulation dot1Q 11 vrf forwarding Mgmt-inband ip address 10.0.11.21 255.255.255.0 ! Копипаста с продакшена IOS XE (ASR1002) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 3 · Report post Всем поклон и благодарность за приведенные примеры и конфиги! Мой случай по всей видимости оказался весьма частным или не стандартным по разумению индусов пишущих ПО для циски. Радиус сервер и интерфейс на циске живут в разных подсетях и пока нет peer_to_peer сети, циска на отрез отказывается слать запросы от слова ВООБЩЕ... Tcpdump - это наглядно доказал =(( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 3 · Report post В 03.11.2021 в 12:33, RN3DCX сказал: Радиус сервер и интерфейс на циске живут в разных подсетях А если хелпер прописать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 3 · Report post Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы: Time (udp 37) TACACS (udp 49) DNS (udp 53) TFTP (udp 69) NetBIOS name service (udp 137) NetBIOS datagram service (udp 138) ip helper-addressне не мой случай... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted November 6 · Report post В 03.11.2021 в 14:21, RN3DCX сказал: ip helper-addressне не мой случай... Но этот список можно регулировать... ip forward-protocol udp XXXXX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 8 · Report post сделал на интерфейсе: interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip helper-address 188.66.111.30 no cdp enable добавил в глобал: ip forward-protocol udp 1812 ip forward-protocol udp 1813 Но счастье не произошло, циска по прежнему отказывается слать запросы... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted November 8 · Report post В 08.11.2021 в 11:53, RN3DCX сказал: сделал на интерфейсе: interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 ip helper-address 188.66.111.30 no cdp enable добавил в глобал: ip forward-protocol udp 1812 ip forward-protocol udp 1813 Но счастье не произошло, циска по прежнему отказывается слать запросы... Скорее всего у вас циска не роутит эти запросы до Радиуса, поэтому у вас в плоской сети все работает. Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале. Может смена прошивки поможет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 8 · Report post В 08.11.2021 в 12:23, VolanD666 сказал: Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале Скорее всего это так и есть. В 08.11.2021 в 12:23, VolanD666 сказал: Может смена прошивки Пробовал на двух IOS'ах: 14 и 18 года. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted November 8 · Report post В 08.11.2021 в 12:33, RN3DCX сказал: Пробовал на двух IOS'ах: 14 и 18 года. можно указать на каких именно и какая железка? просто то, что работает на ios-xe может не работать на ios. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 8 · Report post В 08.11.2021 в 13:14, kapydan сказал: можно указать на каких именно и какая железка? Железка cisco 2811 IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin IOS c2800nm-advipservicesk9-mz.124-22.T.bin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted November 8 · Report post Через aaa group server radius вы пробовали сделать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 8 · Report post В 08.11.2021 в 17:51, VolanD666 сказал: Через aaa group server radius вы пробовали сделать? да, конечно! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted November 8 · Report post В 08.11.2021 в 17:52, RN3DCX сказал: да, конечно! Покажите получившийся конфиг, не увидел в обсуждении (может не туда смотрю) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted November 8 · Report post В 08.11.2021 в 15:08, RN3DCX сказал: Железка cisco 2811 IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin IOS c2800nm-advipservicesk9-mz.124-22.T.bin есть работающий radius в vrf на 3945 (роутера самого нет, но есть рабочий конфиг с нее) boot system flash0:c3900-universalk9-mz.SPA.152-4.M7.bin boot system flash0:c3900-universalk9-mz.SPA.155-1.T.bin aaa group server radius RAD-SRV server-private 10.4.4.4 key 7 ... ip vrf forwarding internal никаких source interface в конфиге не нашел. под рукой есть 2900, но там радиус не в vrf Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted November 9 · Report post В 08.11.2021 в 17:56, VolanD666 сказал: Покажите получившийся конфиг Скрытый текст version 15.1 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname R1_Primary ! boot-start-marker boot-end-marker ! ! ! aaa new-model ! ! aaa group server radius rad server name rad1 ip vrf forwarding Inet ! aaa authentication login default local group radius aaa authorization exec default local group radius ! ! ! ! ! aaa session-id common ! clock timezone MSK 3 0 clock calendar-valid ! dot11 syslog ip source-route no ip gratuitous-arps ! ! ip cef ! ip vrf Inet rd 15:2 route-target export 12345:2 route-target import 12345:2 ! ip vrf MGMT rd 15:1 route-target export 12345:1 route-target import 12345:1 ! ip dhcp bootp ignore ! ! no ip bootp server no ip domain lookup ip domain name R1_Primary.local no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! crypto pki token default removal timeout 0 ! ! ! ! license udi pid CISCO2811 sn FCZ13172051 write-memory time-period 1440 username 12345 privilege 15 password 7 09714F01791C ! redundancy ! ! ip tcp selective-ack ip ssh version 2 ! ! ! ! ! ! ! ! interface Loopback0 ip address 10.10.0.15 255.255.255.255 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 no cdp enable ! interface FastEthernet0/0.1015 encapsulation dot1Q 1015 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/0.1016 encapsulation dot1Q 1016 ip address 10.10.1.58 255.255.255.0 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/0.1017 encapsulation dot1Q 1017 ip ospf network point-to-point mpls label protocol ldp mpls ip no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! router ospf 10 router-id 10.10.0.15 network 10.10.0.15 0.0.0.0 area 0 network 10.10.1.0 0.0.0.255 area 0 ! router bgp 12345 bgp router-id 10.10.0.15 bgp log-neighbor-changes neighbor 10.10.0.5 remote-as 12345 neighbor 10.10.0.5 update-source Loopback0 neighbor 10.10.0.6 remote-as 12345 neighbor 10.10.0.6 update-source Loopback0 neighbor 10.10.0.9 remote-as 12345 neighbor 10.10.0.9 update-source Loopback0 ! address-family ipv4 neighbor 10.10.0.5 activate neighbor 10.10.0.6 activate neighbor 10.10.0.9 activate exit-address-family ! address-family vpnv4 neighbor 10.10.0.5 activate neighbor 10.10.0.5 send-community both neighbor 10.10.0.6 activate neighbor 10.10.0.6 send-community both neighbor 10.10.0.9 activate neighbor 10.10.0.9 send-community both exit-address-family ! address-family ipv4 vrf Inet redistribute connected exit-address-family ! address-family ipv4 vrf MGMT redistribute connected exit-address-family ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ! ip radius source-interface FastEthernet0/0.333 no cdp run ! ! ! ! snmp-server community aawief5Y RO snmp-server host 188.65.128.30 aawief5Y ! mpls ldp router-id Loopback0 ! ! radius server rad1 address ipv4 188.66.111.30 auth-port 1812 acct-port 1813 key 7 1242342323524f ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! ! line con 0 exec-timeout 60 0 logging synchronous line aux 0 no exec transport output none line vty 0 4 privilege level 15 logging synchronous transport input ssh ! scheduler allocate 20000 1000 ntp server 188.66.111.30 prefer end Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
