[VolanD666]

Напомните, пожалуйста, а соурс у вас не задан, потому что он единственный в этом ВРФ? Это точно что он единственный? Попробуйте его таки жестко прописать. И кстати, а почему у вас взаимодействие с Радиусом не в mgmt vrf?

 

И еще попробуйте через server-private задать адрес

[RN3DCX]

В 09.11.2021 в 10:45, VolanD666 сказал:

И кстати, а почему у вас взаимодействие с Радиусом не в mgmt vrf?

Радиус сидит на публичном IP. 

 

В 09.11.2021 в 10:45, VolanD666 сказал:

Напомните, пожалуйста, а соурс у вас не задан, потому что он единственный в этом ВРФ?

Не понял вопроса? Поясните пожалуйста!

[VolanD666]

В 09.11.2021 в 10:54, RN3DCX сказал:

Не понял вопроса? Поясните пожалуйста!

Вы точно уверены что src адрес запросов пойдет с правильного адреса?

[RN3DCX]

В 09.11.2021 в 10:59, VolanD666 сказал:

Вы точно уверены что src адрес запросов пойдет с правильного адреса?

Хороший вопрос. Ну судя по тому, что tcpdump говорит что нет запросов - циска не знает куда его пихать.

Как раз для этого мне посоветовали: ip radius source-interface FastEthernet0/0.333 - но это не помогло.

 

В 09.11.2021 в 10:45, VolanD666 сказал:

Попробуйте его таки жестко прописать

Можно пример.

[VolanD666]

Обязательно задайте ip radius source-interface и попробуйте через server-private задать адрес радиус сервера

[RN3DCX]

В 09.11.2021 в 11:26, VolanD666 сказал:

Обязательно задайте ip radius source-interface

Вопрос: зачем вы просили выложить конфиг? Если вы его даже не смотрели?

 

В 09.11.2021 в 11:26, VolanD666 сказал:

попробуйте через server-private задать адрес радиус сервера

Добавил:

aaa group server radius rad
server name rad1
server-private 188.66.111.30
ip vrf forwarding Inet

 

Результат пока тот же - запросов от циски нет.
 

[VolanD666]

aaa group server radius rad

 

aaa authentication login default local group radius
aaa authorization exec default local group radius

 

Удалите все лишнее про радиус, оставьте только группу. И пропишите сорс в группу

[RN3DCX]

В 09.11.2021 в 12:01, VolanD666 сказал:

Удалите все лишнее про радиус, оставьте только группу. И пропишите сорс в группу

 

было:

aaa new-model
!
aaa group server radius rad
server name rad1
ip vrf forwarding Inet
!
aaa authentication login default local group radius
aaa authorization exec default local group radius 
!
interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
no cdp enable
!
ip radius source-interface FastEthernet0/0.333
!
radius server rad1
address ipv4 188.66.111.30 auth-port 1812 acct-port 1813
key 7 1242342323524f

 

 

стало:

aaa new-model
!
aaa group server radius rad1
 server-private 188.66.111.30 auth-port 1812 acct-port 1813 key 7 1242342323524f
 ip vrf forwarding Inet
 ip radius source-interface FastEthernet0/0.333
!
aaa authentication login default local group rad1
aaa authorization exec default local group rad1
!
interface FastEthernet0/0.333
encapsulation dot1Q 333
ip vrf forwarding Inet
ip address 185.202.155.1 255.255.255.240
no cdp enable

//-- всё остальное относящееся к радиусу удалил --//

 

Печаль и грусть - запросов от циско нет....

[VolanD666]

В дебаге они есть?

[RN3DCX]

Debug на циске:

Скрытый текст

Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): ask "Password: "
Oct 22 10:13:28.511: RADIUS/ENCODE(0000002A): send packet; GET_PASSWORD
R1_Primary#
Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): ask "Password: "
Oct 22 10:13:29.627: RADIUS/ENCODE(0000002B): send packet; GET_PASSWORD
Oct 22 10:13:29.631: RADIUS/ENCODE(0000002B):Orig. component type = Exec
Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IP: 185.202.155.1
Oct 22 10:13:29.631: RADIUS(0000002B): Config NAS IPv6: ::
Oct 22 10:13:29.631: RADIUS(0000002B): Sending a IPv4 Radius Packet
Oct 22 10:13:29.631: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:34.471: RADIUS(0000002B): Request timed out  
Oct 22 10:13:34.471: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30
Oct 22 10:13:34.471: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:39.247: RADIUS(0000002B): Request timed out  
Oct 22 10:13:39.247: RADIUS: Retransmit to (188.66.111.30:1812,1813) for id 1645/30
Oct 22 10:13:39.247: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:43.763: RADIUS/ENCODE(0000002A):Orig. component type = Exec
Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IP: 185.202.155.1
Oct 22 10:13:43.763: RADIUS(0000002A): Config NAS IPv6: ::
Oct 22 10:13:43.763: RADIUS(0000002A): Sending a IPv4 Radius Packet
Oct 22 10:13:43.763: RADIUS(0000002A): Started 5 sec timeout
Oct 22 10:13:44.051: RADIUS(0000002B): Request timed out  
Oct 22 10:13:44.051: RADIUS: Retransmit to (188.66.111.30.30:1812,1813) for id 1645/30
Oct 22 10:13:44.051: RADIUS(0000002B): Started 5 sec timeout
R1_Primary#
Oct 22 10:13:48.339: RADIUS(0000002B): Request timed out  
Oct 22 10:13:48.339: %RADIUS-4-RADIUS_DEAD: RADIUS server 188.66.111.30:1812,1813 is not responding.
Oct 22 10:13:48.339: %RADIUS-4-RADIUS_ALIVE: RADIUS server 188.66.111.30:1812,1813 is being marked alive.
R1_Primary#

 

TCPDUMP - молчит

 

[SUrov_IBM]

RN3DCX, здравствуйте.

 

Попробуйте заменить:

В 09.11.2021 в 13:36, RN3DCX сказал:

aaa authentication login default local group rad1
aaa authorization exec default local group rad1

На следующую конфигурацию:

 

aaa authentication login default group rad1 local
aaa authorization exec default group rad1 if-authenticated 
aaa accounting exec default start-stop group rad1

Изменено 10 ноября, 2021 пользователем SUrov_IBM

[RN3DCX]

@SUrov_IBM , 

Спасибо, завтра попробую.

[VolanD666]

Дайте угадаю, не помогло, да? Я бы еще попробовал через test aaa посмотреть

 

Еще можно зазеркалить трафик с циски, смотреть что там происходит

[RN3DCX]

В 11.11.2021 в 10:06, VolanD666 сказал:

Дайте угадаю, не помогло, да?

Сарказм?

 

В 11.11.2021 в 10:06, VolanD666 сказал:

Еще можно зазеркалить трафик с циски, смотреть что там происходит

Т.е. по вашему этого до сих пор не было сделано?

[RN3DCX]

R1_Primary(config)#aaa server radius dynamic-author
R1_Primary(config-locsvr-da-radius)#ignore session-key

 

Вот как оказалось чего не хватало циске.

Теперь всё ок!

 

UPD:

В последствии заменил на ignore session-ke на client 188.66.111.30 vrf Inet server-key 1242342323524f

[UglyAdmin]

В 08.11.2021 в 12:23, VolanD666 сказал:

Мое предположение, что проблема в том что у вас указан VRF, но циска забивает на это болт и пытается зароутить это в глобале.

Для таких багов обычно есть хак - указать маршрут в GRT, ведущий в VRF.

[RN3DCX]

В 12.11.2021 в 12:55, UglyAdmin сказал:

указать маршрут в GRT, ведущий в VRF

Можете пример пример привести?

[SUrov_IBM]

В 13.11.2021 в 00:26, RN3DCX сказал:

В 12.11.2021 в 12:55, UglyAdmin сказал:

указать маршрут в GRT, ведущий в VRF

Можете пример пример привести?

Скорей всего, имелось в виду построение статического маршрута между Глобальной таблицей маршрутизации (GRT) и Виртуальной (VRF) средствами PBR или VRF Receive - https://www.cisco.com/c/ru_ru/support/docs/ip/ip-routing/200158-Configure-Route-Leaking-between-Global-a.html#anc7

 

Можно через интерфейс Loopback - https://answer-id.com/ru/54080355

 

Используя пару Loopback, например можно построить GRE тоннель между GRT и VRF. Правда, это всё очень специфичные изыски, требующиеся в нестандартных задачах, при полной IP связанности. Если сервис, к которому нужно обращаться будет вне полной связанности, ещё и NAT подтянется. ;)

[UglyAdmin]

В 13.11.2021 в 00:26, RN3DCX сказал:

Можете пример пример привести?

В чём проблема-то?

 

interface TE0/0/0.10
 encapsulation dotq1 10
 vrf forwarding RADIUS
 ip address 10.0.0.2 255.255.255.252
!
ip route 10.0.0.1 255.255.255.255 TE0/0/0.10 10.0.0.1