Jump to content
Калькуляторы

Вам AN111 правильно написал, надо делать группу AAA, сервера, директивы ip radius source-interface , ip vrf forwarding Inet указывать в конфигурации группы, а не в глобальном

Share this post


Link to post
Share on other sites

В 22.10.2021 в 17:06, RN3DCX сказал:

Запускал tcpdump именно на том интерфейсе radius сервера куда должен прилететь запрос от циски. - VolanD666 если я правильно понял вопрос.

RN3DCX, здравствуйте.

 

Можно попробовать настроить access-list исходящего трафика на radius source-interface, со следующей логикой – разрешить RADIUS порты до IP сервера RADIUS, запретить RADIUS порты до остальных хостов и пропускать остальной трафик. На счётчиках packet match access-list будет видны отправленные IP пакеты в сторону IP сервера RADIUS, если пакеты отправляются.

 

P.S. Возможно ситуация, когда при правильной настройке, у CISCO не работает конкретный сервис, это следствие "глюка" IOS. У меня не работал L2TP, весь "мозг сломал", после замены IOS проблема вылечилась.

Share this post


Link to post
Share on other sites

В 22.10.2021 в 15:21, RN3DCX сказал:

Не нашел такой команды, есть только интерфейс.

указывается еще и vrf, но делается это в настройках ааа

 

aaa group server ...
 ...
 ip vrf forwarding Mgmt-vrf

 

 

а вот конфиг с роутера для радиуса

aaa group server radius FREERADIUS
 server name FREERADIUS1
 ip vrf forwarding internal

...

radius server FREERADIUS1
 address ipv4 10.11.60.4 auth-port 1812 acct-port 1813
 key 7 0220160839520B70123A

Share this post


Link to post
Share on other sites

+ можно прописать ip radius source-interface бла-бла-бла (синтаксис от иоса зависит).

 

привел часть конфига с isr 4431 - на нем тоже были проблемы с авторизацией, потом добавил сорс-интерфейс (как помню, не со всех заводилось и пришлось покопаться и подбирать нужный из-за оспф) и заработало.

Share this post


Link to post
Share on other sites

aaa group server radius captive
 server-private 10.0.11.90 auth-port 1812 acct-port 1813 key 7 xxxxxxxxxx
 ip vrf forwarding Mgmt-inband
 ip radius source-interface TenGigabitEthernet0/1/0.11
!
!
aaa authentication ppp CAPTIVE group captive
aaa authorization network CAPTIVE group captive 
aaa autaaa authorization subscriber-service CAPTIVE local group captive 
aaa authorization configuration CAPTIVE group captive 
aaa accounting network CAPTIVE start-stop group captive
!
aaa server radius dynamic-author
 client 10.0.11.90 vrf Mgmt-inband server-key 7 xxxxxxxxxxxxxxx
!
interface TenGigabitEthernet0/1/0.11
 encapsulation dot1Q 11
 vrf forwarding Mgmt-inband
 ip address 10.0.11.21 255.255.255.0
!

Копипаста с продакшена

IOS XE (ASR1002)

Share this post


Link to post
Share on other sites

Всем поклон и благодарность за приведенные примеры и конфиги!

Мой случай по всей видимости оказался весьма частным или не стандартным по разумению индусов пишущих ПО для циски.

Радиус сервер и интерфейс на циске живут в разных подсетях и пока нет peer_to_peer сети, циска на отрез отказывается слать запросы от слова ВООБЩЕ...

Tcpdump - это наглядно доказал =((

Share this post


Link to post
Share on other sites

В 03.11.2021 в 12:33, RN3DCX сказал:

Радиус сервер и интерфейс на циске живут в разных подсетях

А если хелпер прописать?

Share this post


Link to post
Share on other sites

Нужно отметить, что команда ip helper-address x.x.x.x заставляет пересылать широковещательные UDP сообщения не только протокола DHCP, по умолчанию будут пересылаться также следующие запросы:

 

  • Time (udp 37)
  • TACACS (udp 49)
  • DNS (udp 53)
  • TFTP (udp 69)
  • NetBIOS name service (udp 137)
  • NetBIOS datagram service (udp 138)

 

ip helper-addressне не мой случай...

Share this post


Link to post
Share on other sites

В 03.11.2021 в 14:21, RN3DCX сказал:

ip helper-addressне не мой случай...

Но этот список можно регулировать...

ip forward-protocol udp XXXXX

 

Share this post


Link to post
Share on other sites

сделал на интерфейсе:

interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
ip helper-address 188.66.111.30
no cdp enable

добавил в глобал:

ip forward-protocol udp 1812
ip forward-protocol udp 1813

Но счастье не произошло, циска по прежнему отказывается слать запросы...

 

Share this post


Link to post
Share on other sites

В 08.11.2021 в 11:53, RN3DCX сказал:

сделал на интерфейсе:

interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
ip helper-address 188.66.111.30
no cdp enable

добавил в глобал:

ip forward-protocol udp 1812
ip forward-protocol udp 1813

Но счастье не произошло, циска по прежнему отказывается слать запросы...

 

Скорее всего у вас циска не роутит эти запросы до Радиуса, поэтому у вас в плоской сети все работает. Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале. Может смена прошивки поможет?

Share this post


Link to post
Share on other sites

В 08.11.2021 в 12:23, VolanD666 сказал:

Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале

Скорее всего это так и есть.

 

В 08.11.2021 в 12:23, VolanD666 сказал:

Может смена прошивки

Пробовал на двух IOS'ах: 14 и 18 года.

Share this post


Link to post
Share on other sites

В 08.11.2021 в 12:33, RN3DCX сказал:

Пробовал на двух IOS'ах: 14 и 18 года.

можно указать на каких именно и какая железка?

просто то, что работает на ios-xe может не работать на ios.

Share this post


Link to post
Share on other sites

В 08.11.2021 в 13:14, kapydan сказал:

можно указать на каких именно и какая железка?

Железка cisco 2811

IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin
IOS c2800nm-advipservicesk9-mz.124-22.T.bin

Share this post


Link to post
Share on other sites

В 08.11.2021 в 15:08, RN3DCX сказал:

Железка cisco 2811

IOS c2800nm-adventerprisek9-mz.151-4.M12a.bin
IOS c2800nm-advipservicesk9-mz.124-22.T.bin

есть работающий radius в vrf на 3945 (роутера самого нет, но есть рабочий конфиг с нее)

boot system flash0:c3900-universalk9-mz.SPA.152-4.M7.bin
boot system flash0:c3900-universalk9-mz.SPA.155-1.T.bin

 

aaa group server radius RAD-SRV
 server-private 10.4.4.4 key 7 ...

 ip vrf forwarding internal

 

никаких source interface в конфиге не нашел.

 

под рукой есть 2900, но там радиус не в vrf

 

Share this post


Link to post
Share on other sites

В 08.11.2021 в 17:56, VolanD666 сказал:

Покажите получившийся конфиг

Скрытый текст

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname R1_Primary
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa group server radius rad
server name rad1
ip vrf forwarding Inet
!
aaa authentication login default local group radius
aaa authorization exec default local group radius  
!
!
!
!
!
aaa session-id common
!
clock timezone MSK 3 0
clock calendar-valid
!
dot11 syslog
ip source-route
no ip gratuitous-arps
!
!
ip cef
!
ip vrf Inet
rd 15:2
route-target export
12345:2
route-target import
12345:2
!
ip vrf MGMT
rd 15:1
route-target export
12345:1
route-target import
12345:1
!
ip dhcp bootp ignore
!
!
no ip bootp server
no ip domain lookup
ip domain name R1_Primary.local
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!          
!
!
!
!
voice-card 0
!
crypto pki token default removal timeout 0
!
!
!
!
license udi pid CISCO2811 sn FCZ13172051
write-memory
time-period 1440
username 12345 privilege 15 password 7 09714F01791C
!
redundancy
!
!          
ip tcp selective-ack
ip ssh version 2
!  
!
!
!
!
!
!
!
interface Loopback0
ip address 10.10.0.15 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address
185.202.155.1 255.255.255.240
no cdp enable
!
interface FastEthernet0/0.1015
encapsulation dot1Q 1015
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/0.1016
encapsulation dot1Q 1016
ip address 10.10.1.58 255.255.255.0
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/0.1017
encapsulation dot1Q 1017
ip ospf network point-to-point
mpls label protocol ldp
mpls ip
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
router ospf 10
router-id 10.10.0.15
network 10.10.0.15 0.0.0.0 area 0
network 10.10.1.0 0.0.0.255 area 0
!
router bgp 12345
bgp router-id 10.10.0.15
bgp log-neighbor-changes
neighbor 10.10.0.5 remote-as 12345
neighbor 10.10.0.5 update-source Loopback0
neighbor 10.10.0.6 remote-as 12345
neighbor 10.10.0.6 update-source Loopback0
neighbor 10.10.0.9 remote-as 12345
neighbor 10.10.0.9 update-source Loopback0
!
address-family ipv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.9 activate
exit-address-family
!
address-family vpnv4
 neighbor 10.10.0.5 activate
 neighbor 10.10.0.5 send-community both
 neighbor 10.10.0.6 activate
 neighbor 10.10.0.6 send-community both
 neighbor 10.10.0.9 activate
 neighbor 10.10.0.9 send-community both
exit-address-family
!
address-family ipv4 vrf Inet
 redistribute connected
exit-address-family
!
address-family ipv4 vrf MGMT
 redistribute connected
exit-address-family
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
ip radius source-interface FastEthernet0/0.333
no cdp run
!
!
!
!
snmp-server community aawief5Y RO
snmp-server host 188.65.128.30 aawief5Y  
!
mpls ldp router-id Loopback0
!
!
radius server rad1
address ipv4
188.66.111.30 auth-port 1812 acct-port 1813
key 7 1242342323524f
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
!
line con 0
exec-timeout 60 0
logging synchronous
line aux 0
no exec
transport output none
line vty 0 4
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
ntp server
188.66.111.30 prefer
end

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.