[RN3DCX]

В 22.10.2021 в 17:41, Andrei сказал:

Firewall на радиус-сервере?

Исключено!

Тут вопрос в том, что даже запросов нет от циски

[Andrei]

Если между циской и радиус-сервером есть коммутатор и он управляемый, то посмотреть маки на портах коммутатора.

[RN3DCX]

А-а-а, что делать если у меня коммутация L3 (LDP), где маки посмотреть не подскажите пжл? =)

 

[Andrei]

Не использовал LDP

[jffulcrum]

Вам AN111 правильно написал, надо делать группу AAA, сервера, директивы ip radius source-interface , ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном

[RN3DCX]

В 23.10.2021 в 01:10, jffulcrum сказал:

ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном

Шооо? В какой группе?

[SUrov_IBM]

В 22.10.2021 в 17:06, RN3DCX сказал:

Запускал tcpdump именно на том интерфейсе radius сервера куда должен прилететь запрос от циски. - VolanD666 если я правильно понял вопрос.

RN3DCX, здравствуйте.

 

Можно попробовать настроить access-list исходящего трафика на radius source-interface, со следующей логикой – разрешить RADIUS порты до IP сервера RADIUS, запретить RADIUS порты до остальных хостов и пропускать остальной трафик. На счётчиках packet match access-list будет видны отправленные IP пакеты в сторону IP сервера RADIUS, если пакеты отправляются.

 

P.S. Возможно ситуация, когда при правильной настройке, у CISCO не работает конкретный сервис, это следствие "глюка" IOS. У меня не работал L2TP, весь "мозг сломал", после замены IOS проблема вылечилась.

[kapydan]

В 22.10.2021 в 15:21, RN3DCX сказал:

Не нашел такой команды, есть только интерфейс.

указывается еще и vrf, но делается это в настройках ааа

 

aaa group server ...
 ...
 ip vrf forwarding Mgmt-vrf

 

 

а вот конфиг с роутера для радиуса

aaa group server radius FREERADIUS
 server name FREERADIUS1
 ip vrf forwarding internal

...

radius server FREERADIUS1
 address ipv4 10.11.60.4 auth-port 1812 acct-port 1813
 key 7 0220160839520B70123A

[RN3DCX]

kapydan, спасибо, в понедельник попробую.

[kapydan]

+ можно прописать ip radius source-interface бла-бла-бла (синтаксис от иоса зависит).

 

привел часть конфига с isr 4431 - на нем тоже были проблемы с авторизацией, потом добавил сорс-интерфейс (как помню, не со всех заводилось и пришлось покопаться и подбирать нужный из-за оспф) и заработало.

[ShyLion]

aaa group server radius captive
 server-private 10.0.11.90 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxx
 ip vrf forwarding Mgmt-inband
 ip radius source-interface TenGigabitEthernet0/1/0.11
!
!
aaa authentication ppp CAPTIVE group captive
aaa authorization network CAPTIVE group captive 
aaa autaaa authorization subscriber-service CAPTIVE local group captive 
aaa authorization configuration CAPTIVE group captive 
aaa accounting network CAPTIVE start-stop group captive
!
aaa server radius dynamic-author
 client 10.0.11.90 vrf Mgmt-inband server-key 7 xxxxxxxxxxxxxxx
!
interface TenGigabitEthernet0/1/0.11
 encapsulation dot1Q 11
 vrf forwarding Mgmt-inband
 ip address 10.0.11.21 255.255.255.0
!

Копипаста с продакшена

IOS XE (ASR1002)

[RN3DCX]

Всем поклон и благодарность за приведенные примеры и конфиги!

Мой случай по всей видимости оказался весьма частным или не стандартным по разумению индусов пишущих ПО для циски.

Радиус сервер и интерфейс на циске живут в разных подсетях и пока нет peer_to_peer сети, циска на отрез отказывается слать запросы от слова ВООБЩЕ...

Tcpdump - это наглядно доказал =((

[alibek]

В 03.11.2021 в 12:33, RN3DCX сказал:

Радиус сервер и интерфейс на циске живут в разных подсетях

А если хелпер прописать?

[RN3DCX]

Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы:

 

• Time (udp 37)
• TACACS (udp 49)
• DNS (udp 53)
• TFTP (udp 69)
• NetBIOS name service (udp 137)
• NetBIOS datagram service (udp 138)

 

ip helper-addressне не мой случай...

[sol]

В 03.11.2021 в 14:21, RN3DCX сказал:

ip helper-addressне не мой случай...

Но этот список можно регулировать...

ip forward-protocol udp XXXXX

 

[RN3DCX]

сделал на интерфейсе:

interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
ip helper-address 188.66.111.30
no cdp enable

добавил в глобал:

ip forward-protocol udp 1812
ip forward-protocol udp 1813

Но счастье не произошло, циска по прежнему отказывается слать запросы...

 

[VolanD666]

В 08.11.2021 в 11:53, RN3DCX сказал:

сделал на интерфейсе:

interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
ip helper-address 188.66.111.30
no cdp enable

добавил в глобал:

ip forward-protocol udp 1812
ip forward-protocol udp 1813

Но счастье не произошло, циска по прежнему отказывается слать запросы...

 

Скорее всего у вас циска не роутит эти запросы до Радиуса, поэтому у вас в плоской сети все работает. Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале. Может смена прошивки поможет?

[RN3DCX]

В 08.11.2021 в 12:23, VolanD666 сказал:

Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале

Скорее всего это так и есть.

 

В 08.11.2021 в 12:23, VolanD666 сказал:

Может смена прошивки

Пробовал на двух IOS'ах: 14 и 18 года.

[kapydan]

В 08.11.2021 в 12:33, RN3DCX сказал:

Пробовал на двух IOS'ах: 14 и 18 года.

можно указать на каких именно и какая железка?

просто то, что работает на ios-xe может не работать на ios.

[RN3DCX]

В 08.11.2021 в 13:14, kapydan сказал:

можно указать на каких именно и какая железка?

Железка cisco 2811

IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin
IOS c2800nm-advipservicesk9-mz.124-22.T.bin

[VolanD666]

Через aaa group server radius вы пробовали сделать?

[RN3DCX]

В 08.11.2021 в 17:51, VolanD666 сказал:

Через aaa group server radius вы пробовали сделать?

да, конечно!

[VolanD666]

В 08.11.2021 в 17:52, RN3DCX сказал:

да, конечно!

Покажите получившийся конфиг, не увидел в обсуждении (может не туда смотрю)

[kapydan]

В 08.11.2021 в 15:08, RN3DCX сказал:

Железка cisco 2811

IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin
IOS c2800nm-advipservicesk9-mz.124-22.T.bin

есть работающий radius в vrf на 3945 (роутера самого нет, но есть рабочий конфиг с нее)

boot system flash0:c3900-universalk9-mz.SPA.152-4.M7.bin
boot system flash0:c3900-universalk9-mz.SPA.155-1.T.bin

 

aaa group server radius RAD-SRV
 server-private 10.4.4.4 key 7 ...

 ip vrf forwarding internal

 

никаких source interface в конфиге не нашел.

 

под рукой есть 2900, но там радиус не в vrf

 

[RN3DCX]

В 08.11.2021 в 17:56, VolanD666 сказал:

Покажите получившийся конфиг

Скрытый текст

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname R1_Primary
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa group server radius rad
server name rad1
ip vrf forwarding Inet
!
aaa authentication login default local group radius
aaa authorization exec default local group radius  
!
!
!
!
!
aaa session-id common
!
clock timezone MSK 3 0
clock calendar-valid
!
dot11 syslog
ip source-route
no ip gratuitous-arps
!
!
ip cef
!
ip vrf Inet
rd 15:2
route-target export 12345:2
route-target import 12345:2
!
ip vrf MGMT
rd 15:1
route-target export 12345:1
route-target import 12345:1
!
ip dhcp bootp ignore
!
!
no ip bootp server
no ip domain lookup
ip domain name R1_Primary.local
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!          
!
!
!
!
voice-card 0
!
crypto pki token default removal timeout 0
!
!
!
!
license udi pid CISCO2811 sn FCZ13172051
write-memory
time-period 1440
username 12345 privilege 15 password 7 09714F01791C
!
redundancy
!
!          
ip tcp selective-ack
ip ssh version 2
!  
!
!
!
!
!
!
!
interface Loopback0
ip address 10.10.0.15 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
no cdp enable
!
interface FastEthernet0/0.1015
encapsulation dot1Q 1015
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/0.1016
encapsulation dot1Q 1016
ip address 10.10.1.58 255.255.255.0
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/0.1017
encapsulation dot1Q 1017
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
router ospf 10
router-id 10.10.0.15
network 10.10.0.15 0.0.0.0 area 0
network 10.10.1.0 0.0.0.255 area 0
!
router bgp 12345
bgp router-id 10.10.0.15
bgp log-neighbor-changes
neighbor 10.10.0.5 remote-as 12345
neighbor 10.10.0.5 update-source Loopback0
neighbor 10.10.0.6 remote-as 12345
neighbor 10.10.0.6 update-source Loopback0
neighbor 10.10.0.9 remote-as 12345
neighbor 10.10.0.9 update-source Loopback0
!
address-family ipv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.9 activate
exit-address-family
!
address-family vpnv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.5 send-community both
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.6 send-community both
 neighbor 10.10.0.9 activate
 neighbor 10.10.0.9 send-community both
exit-address-family
!
address-family ipv4 vrf Inet
 redistribute connected
exit-address-family
!
address-family ipv4 vrf MGMT
 redistribute connected
exit-address-family
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
ip radius source-interface FastEthernet0/0.333
no cdp run
!
!
!
!
snmp-server community aawief5Y RO
snmp-server host 188.65.128.30 aawief5Y  
!
mpls ldp router-id Loopback0
!
!
radius server rad1
address ipv4 188.66.111.30 auth-port 1812 acct-port 1813
key 7 1242342323524f
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
!
line con 0
exec-timeout 60 0
logging synchronous
line aux 0
no exec
transport output none
line vty 0 4
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
ntp server 188.66.111.30 prefer
end