VolanD666 Опубликовано 9 ноября, 2021 · Жалоба Напомните, пожалуйста, а соурс у вас не задан, потому что он единственный в этом ВРФ? Это точно что он единственный? Попробуйте его таки жестко прописать. И кстати, а почему у вас взаимодействие с Радиусом не в mgmt vrf? И еще попробуйте через server-private задать адрес Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 ноября, 2021 · Жалоба В 09.11.2021 в 10:45, VolanD666 сказал: И кстати, а почему у вас взаимодействие с Радиусом не в mgmt vrf? Радиус сидит на публичном IP. В 09.11.2021 в 10:45, VolanD666 сказал: Напомните, пожалуйста, а соурс у вас не задан, потому что он единственный в этом ВРФ? Не понял вопроса? Поясните пожалуйста! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 ноября, 2021 · Жалоба В 09.11.2021 в 10:54, RN3DCX сказал: Не понял вопроса? Поясните пожалуйста! Вы точно уверены что src адрес запросов пойдет с правильного адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 ноября, 2021 · Жалоба В 09.11.2021 в 10:59, VolanD666 сказал: Вы точно уверены что src адрес запросов пойдет с правильного адреса? Хороший вопрос. Ну судя по тому, что tcpdump говорит что нет запросов - циска не знает куда его пихать. Как раз для этого мне посоветовали: ip radius source-interface FastEthernet0/0.333 - но это не помогло. В 09.11.2021 в 10:45, VolanD666 сказал: Попробуйте его таки жестко прописать Можно пример. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 ноября, 2021 · Жалоба Обязательно задайте ip radius source-interface и попробуйте через server-private задать адрес радиус сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 ноября, 2021 · Жалоба В 09.11.2021 в 11:26, VolanD666 сказал: Обязательно задайте ip radius source-interface Вопрос: зачем вы просили выложить конфиг? Если вы его даже не смотрели? В 09.11.2021 в 11:26, VolanD666 сказал: попробуйте через server-private задать адрес радиус сервера Добавил: aaa group server radius rad server name rad1 server-private 188.66.111.30 ip vrf forwarding Inet Результат пока тот же - запросов от циски нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 ноября, 2021 · Жалоба aaa group server radius rad aaa authentication login default local group radius aaa authorization exec default local group radius Удалите все лишнее про радиус, оставьте только группу. И пропишите сорс в группу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 ноября, 2021 · Жалоба В 09.11.2021 в 12:01, VolanD666 сказал: Удалите все лишнее про радиус, оставьте только группу. И пропишите сорс в группу было: aaa new-model ! aaa group server radius rad server name rad1 ip vrf forwarding Inet ! aaa authentication login default local group radius aaa authorization exec default local group radius ! interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 no cdp enable ! ip radius source-interface FastEthernet0/0.333 ! radius server rad1 address ipv4 188.66.111.30 auth-port 1812 acct-port 1813 key 7 1242342323524f стало: aaa new-model ! aaa group server radius rad1 server-private 188.66.111.30 auth-port 1812 acct-port 1813 key 7 1242342323524f ip vrf forwarding Inet ip radius source-interface FastEthernet0/0.333 ! aaa authentication login default local group rad1 aaa authorization exec default local group rad1 ! interface FastEthernet0/0.333 encapsulation dot1Q 333 ip vrf forwarding Inet ip address 185.202.155.1 255.255.255.240 no cdp enable //-- всё остальное относящееся к радиусу удалил --// Печаль и грусть - запросов от циско нет.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 ноября, 2021 · Жалоба В дебаге они есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 ноября, 2021 · Жалоба Debug на циске: Скрытый текст Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): ask "Password: " Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): send packet; GET_PASSWORD R1_Primary# Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): ask "Password: " Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): send packet; GET_PASSWORD Oct 22 10:13:29.631: RADIUS/ENCODE(0000002B):Orig. component type = Exec Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IP: 185.202.155.1 Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IPv6: :: Oct 22 10:13:29.631: RADIUS(0000002B): Sending a IPv4 Radius Packet Oct 22 10:13:29.631: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:34.471: RADIUS(0000002B): Request timed out Oct 22 10:13:34.471: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30 Oct 22 10:13:34.471: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:39.247: RADIUS(0000002B): Request timed out Oct 22 10:13:39.247: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30 Oct 22 10:13:39.247: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:43.763: RADIUS/ENCODE(0000002A):Orig. component type = Exec Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IP: 185.202.155.1 Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IPv6: :: Oct 22 10:13:43.763: RADIUS(0000002A): Sending a IPv4 Radius Packet Oct 22 10:13:43.763: RADIUS(0000002A): Started 5 sec timeout Oct 22 10:13:44.051: RADIUS(0000002B): Request timed out Oct 22 10:13:44.051: RADIUS: Retransmit to (188.66.111.30.30:1812,1813) for id 1645/30 Oct 22 10:13:44.051: RADIUS(0000002B): Started 5 sec timeout R1_Primary# Oct 22 10:13:48.339: RADIUS(0000002B): Request timed out Oct 22 10:13:48.339: %RADIUS-4-RADIUS_DEAD: RADIUS server 188.66.111.30:1812,1813 is not responding. Oct 22 10:13:48.339: %RADIUS-4-RADIUS_ALIVE: RADIUS server 188.66.111.30:1812,1813 is being marked alive. R1_Primary# TCPDUMP - молчит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 10 ноября, 2021 (изменено) · Жалоба RN3DCX, здравствуйте. Попробуйте заменить: В 09.11.2021 в 13:36, RN3DCX сказал: aaa authentication login default local group rad1 aaa authorization exec default local group rad1 На следующую конфигурацию: aaa authentication login default group rad1 local aaa authorization exec default group rad1 if-authenticated aaa accounting exec default start-stop group rad1 Изменено 10 ноября, 2021 пользователем SUrov_IBM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 10 ноября, 2021 · Жалоба @SUrov_IBM , Спасибо, завтра попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 11 ноября, 2021 · Жалоба Дайте угадаю, не помогло, да? Я бы еще попробовал через test aaa посмотреть Еще можно зазеркалить трафик с циски, смотреть что там происходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 ноября, 2021 · Жалоба В 11.11.2021 в 10:06, VolanD666 сказал: Дайте угадаю, не помогло, да? Сарказм? В 11.11.2021 в 10:06, VolanD666 сказал: Еще можно зазеркалить трафик с циски, смотреть что там происходит Т.е. по вашему этого до сих пор не было сделано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 ноября, 2021 · Жалоба R1_Primary(config)#aaa server radius dynamic-author R1_Primary(config-locsvr-da-radius)#ignore session-key Вот как оказалось чего не хватало циске. Теперь всё ок! UPD: В последствии заменил на ignore session-ke на client 188.66.111.30 vrf Inet server-key 1242342323524f Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 12 ноября, 2021 · Жалоба В 08.11.2021 в 12:23, VolanD666 сказал: Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале. Для таких багов обычно есть хак - указать маршрут в GRT, ведущий в VRF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 12 ноября, 2021 · Жалоба В 12.11.2021 в 12:55, UglyAdmin сказал: указать маршрут в GRT, ведущий в VRF Можете пример пример привести? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUrov_IBM Опубликовано 13 ноября, 2021 · Жалоба В 13.11.2021 в 00:26, RN3DCX сказал: В 12.11.2021 в 12:55, UglyAdmin сказал: указать маршрут в GRT, ведущий в VRF Можете пример пример привести? Скорей всего, имелось в виду построение статического маршрута между Глобальной таблицей маршрутизации (GRT) и Виртуальной (VRF) средствами PBR или VRF Receive - https://www.cisco.com/c/ru_ru/support/docs/ip/ip-routing/200158-Configure-Route-Leaking-between-Global-a.html#anc7 Можно через интерфейс Loopback - https://answer-id.com/ru/54080355 Используя пару Loopback, например можно построить GRE тоннель между GRT и VRF. Правда, это всё очень специфичные изыски, требующиеся в нестандартных задачах, при полной IP связанности. Если сервис, к которому нужно обращаться будет вне полной связанности, ещё и NAT подтянется. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 14 ноября, 2021 · Жалоба В 13.11.2021 в 00:26, RN3DCX сказал: Можете пример пример привести? В чём проблема-то? interface TE0/0/0.10 encapsulation dotq1 10 vrf forwarding RADIUS ip address 10.0.0.2 255.255.255.252 ! ip route 10.0.0.1 255.255.255.255 TE0/0/0.10 10.0.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...