Radius

[adowoMAC 10]

Hallo,

 

ich habe einen RADIUS-Server auf einem Einwahlserver eingetragen und bekomme von diesem nun keine Antworten. Folgendes Debugging habe ich bisher erhalten:

 

28w2d: RADIUS: Initial Transmit Serial4/0:7 id 4 xxx.xxx.xxx.xxx:1645, Access-Request, len 92

28w2d: Attribute 4 6 D4066C27

28w2d: Attribute 5 6 00004E27

28w2d: Attribute 61 6 00000002

28w2d: Attribute 1 15 626C7565

28w2d: Attribute 30 9 33353037

28w2d: Attribute 2 18 2B43137A

28w2d: Attribute 6 6 00000002

28w2d: Attribute 7 6 00000001

28w2d: RADIUS: Retransmit id 4

 

Er kann keine Verbindung aufbauen.

 

Das Serial4/0:7 Interface ist nicht das Interface, an dem indirekt der RADIUS hängt, sondern das Interface des eingehenden ISDN-Calls. Muss ich dem RADIUS-Server ein bestimmtes Interface angeben oder geht der ohnehin in die Routing-Tabelle des Gerätes um den RADIUS zu erreichen?

 

PS: Der RADIUS und der Einwahlserver sind IP-Technisch verbunden und können sich erreichen.

[rob_67 10]

Hi,

 

 

der Einwahlrouter baut normal über IP eine Verbindung zum Radiusserver auf, kannst du ihn per ping erreichen? Was sagt das log vom Radius?

 

 

gruss

 

 

rob

[adowoMAC 10]

Habe das erste Problem gelöst. Es war ein RADIUS-Proxy und daher waren die Ports falsch. Jetzt habe ich aber ein neues Problem, der Benutzer wählt sich ein, wir gegen den RADIUS geprüft und bekommt ein Access-Accept. Nun das kuriose, direkt danach wird die Autorisierung abgewiesen:

 

28w2d: %LINK-3-UPDOWN: Interface Serial4/0:23, changed state to up
28w2d: Se4/0:23 PPP: Treating connection as a callin
28w2d: Se4/0:23 PPP: Phase is ESTABLISHING, Passive Open [0 sess, 0 load]
28w2d: Se4/0:23 LCP: State is Listen
28w2d: Se4/0:23 LCP: I CONFREQ [Listen] id 0 len 13
28w2d: Se4/0:23 LCP:    MagicNumber 0x22AD1519 (0x050622AD1519)
28w2d: Se4/0:23 LCP:    Callback 6  (0x0D0306)
28w2d: Se4/0:23 LCP: O CONFREQ [Listen] id 4 len 31
28w2d: Se4/0:23 LCP:    AuthProto PAP (0x0304C023)
28w2d: Se4/0:23 LCP:    MagicNumber 0x06C6A632 (0x050606C6A632)
28w2d: Se4/0:23 LCP:    MRRU 1524 (0x110405F4)
28w2d: Se4/0:23 LCP:    EndpointDisc 1 Local (0x130D014153353430302D6C6162)
28w2d: Se4/0:23 LCP: O CONFREJ [Listen] id 0 len 7
28w2d: Se4/0:23 LCP:    Callback 6  (0x0D0306)
28w2d: Se4/0:23 LCP: I CONFREJ [REQsent] id 4 len 21
28w2d: Se4/0:23 LCP:    MRRU 1524 (0x110405F4)
28w2d: Se4/0:23 LCP:    EndpointDisc 1 Local (0x130D014153353430302D6C6162)
28w2d: Se4/0:23 LCP: O CONFREQ [REQsent] id 5 len 14
28w2d: Se4/0:23 LCP:    AuthProto PAP (0x0304C023)
28w2d: Se4/0:23 LCP:    MagicNumber 0x06C6A632 (0x050606C6A632)
28w2d: Se4/0:23 LCP: I CONFREQ [REQsent] id 1 len 10
28w2d: Se4/0:23 LCP:    MagicNumber 0x22AD1519 (0x050622AD1519)
28w2d: Se4/0:23 LCP: O CONFACK [REQsent] id 1 len 10
28w2d: Se4/0:23 LCP:    MagicNumber 0x22AD1519 (0x050622AD1519)
28w2d: Se4/0:23 LCP: I CONFACK [ACKsent] id 5 len 14
28w2d: Se4/0:23 LCP:    AuthProto PAP (0x0304C023)
28w2d: Se4/0:23 LCP:    MagicNumber 0x06C6A632 (0x050606C6A632)
28w2d: Se4/0:23 LCP: State is Open
28w2d: Se4/0:23 PPP: Phase is AUTHENTICATING, by this end [0 sess, 0 load]
28w2d: Se4/0:23 LCP: I IDENTIFY [Open] id 2 len 18 magic 0x22AD1519 MSRASV5.10
28w2d: Se4/0:23 LCP: I IDENTIFY [Open] id 3 len 20 magic 0x22AD1519 MSRAS-0-FREE
28w2d: Se4/0:23 PAP: I AUTH-REQ id 56 len 27 from "blue_testuser"
28w2d: Se4/0:23 PAP: Authenticating peer blue_testuser
28w2d: RADIUS: ustruct sharecount=1
28w2d: RADIUS: Initial Transmit Serial4/0:23 id 18 xxx.xxx.xxx.xxx:1812, Access-Request, len 92
28w2d:         Attribute 4 6 D4066C27
28w2d:         Attribute 5 6 00004E37
28w2d:         Attribute 61 6 00000002
28w2d:         Attribute 1 15 626C7565
28w2d:         Attribute 30 9 33353037
28w2d:         Attribute 2 18 4D26A18D
28w2d:         Attribute 6 6 00000002
28w2d:         Attribute 7 6 00000001
28w2d: RADIUS: Received from id 18 xxx.xxx.xxx.xxx:1812, Access-Accept, len 85
28w2d:         Attribute 6 6 00000002
28w2d:         Attribute 7 6 00000001
28w2d:         Attribute 9 6 FFFFFFFF
28w2d:         Attribute 12 6 000005DC
28w2d:         Attribute 28 6 000001F4
28w2d:         Attribute 26 29 0000000901177065
28w2d:         Attribute 27 6 000003E8
28w2d: RADIUS: saved authorization data for user 64466B4C at 64466D68
28w2d: RADIUS: cisco AVPair ":peer-ip-pool=bluepool"
28w2d: Se4/0:23 PAP: O AUTH-NAK id 56 len 25 msg is "Authorization failed"
28w2d: Se4/0:23 PPP: Phase is TERMINATING [0 sess, 0 load]
28w2d: Se4/0:23 LCP: O TERMREQ [Open] id 6 len 4
28w2d: Se4/0:23 LCP: I TERMACK [TERMsent] id 6 len 4
28w2d: Se4/0:23 LCP: State is Closed
28w2d: Se4/0:23 PPP: Phase is DOWN [0 sess, 0 load]
28w2d: Se4/0:23 PPP: Phase is ESTABLISHING, Passive Open [0 sess, 0 load]
28w2d: Se4/0:23 LCP: State is Listen
28w2d: %LINK-3-UPDOWN: Interface Serial4/0:23, changed state to down
28w2d: Se4/0:23 LCP: State is Closed
28w2d: Se4/0:23 PPP: Phase is DOWN [0 sess, 0 load]

 

Woran zum Teufel kann denn das nun wieder liegen ;)

[Wordo 11]

Was sagt denn dein Radiuslog? Oder ein dump vom Traffic waer noch interessant.

[adowoMAC 10]

Auf die Radius-Logs habe ich keinen Zugriff. Das Radius-Profile sieht folgendermaßen aus:

 

blue_testuser User-Password = "test"

Service-Type = Framed,

Framed-Protocol = PPP,

Framed-IP-Netmask= 255.255.255.255,

Framed-MTU = 1500,

Idle-Timeout = 500,

cisco-avpair = "peer-ip-pool=bluepool",

cisco-avpair = "ip:vrf-id=blue",

Session-Timeout = 1000

 

Fehlt dort irgendwas was ich für authorization brauche?

 

Wenn ich mich anstatt über RADIUS mit lokalen Benutzern einwähle, dann klappt alles. Die Einwahlkonfiguration sollte also OK sein.

[mturba 10]

Hi,

 

cisco-avpair = "peer-ip-pool=bluepool"

 

bist du sicher, dass hier die Syntax stimmt? Evtl. muss es

cisco-avpair = "ip:peer-ip-pool=bluepool"

oder so ähnlich heissen...

 

Im Log taucht nämlich das zweite AVPair gar nicht mehr auf, sondern es erfolgt direkt ein AUTH-NAK.

[adowoMAC 10]

Also das liegt scheinbar irgendwie am RADIUS Profil, da muss ich nachher nochmal fuxxen. Abgesehen davon sollen nun die Einwähler in eine bestimmte VRF-Instanz überführt werden. Die Kunden kommen ja über die E1 per ISDN rein und es wird dann eins der Serial Interfaces mit einem bestimmten Timeslot genutzt.

 

Der Kunde wählt sich beispielsweise auf das Interface Serial 0/0:1 ein, also auf dem Timeslot 1. Wie bekomme ich diesen Kunden nun in ein bestimmtes VRF? Ich kann die Seriellen Interface ja nicht bearbeiten (Cannot Access B-Channel Interfaces).

 

Jemand einen Tipp?

 

PS: Kann man ein Virtual-Template Interface anlegen, so dass erst bei der Einwahl ein Interface erstellt wird und dieses dann in das entsprechende VRF gelegt wird?

[adowoMAC 10]

Ich habe jetzt wieder ein neues Problem bezüglich des RADIUS-Profils. Ich habe ein Interface Virtual-Template 1, welches seine Einstellungen von dem RADIUS-Profil bekommen soll. Hierzu habe ich folgendes RADIUS-Profil erstellt:

 

yellow_testuser Auth-Type := Local, User-Password == "gelbgelb"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 30.30.0.15,
Framed-IP-Netmask = 255.255.255.0,
Cisco-AVPair = "lcp:interface-config=ip vrf forwarding yellow",
Cisco-AVPair = "lcp:interface-config=peer default ip address pool yellowpool",
Cisco-AVPair = "lcp:interface-config=ip unnumbered loopback 3"

 

Leider werden diese angegebenen Einstellungen nicht von dem Virtual-Access Interface adaptiert was bei der Einwahl erstellt wird. Wo liegt der Fehler? Komischerweise sehe ich im Log auch nur den ersten Befehl der drei Cisco-Befehle.

 

Jul  9 11:35:27: RADIUS: cisco AVPair "lcp:interface-config=ip vrf forwarding yellow"
3d02h: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
Jul  9 11:35:27: RADIUS: Authorize IP address 30.30.0.15
Jul  9 11:35:27: RADIUS: Framed-IP-Netmask 255.255.255.0
Jul  9 11:35:27: RADIUS: framed-route 30.30.0.0 255.255.255.0
Jul  9 11:35:27: RADIUS: cisco AVPair "lcp:interface-config=ip vrf forwarding yellow" not applied for ip

 

Was bedeutet die letzte Aussage: not applied for IP?

 

Hendrik

[Wordo 11]

AV-Pairs werden fuer Virtual-Templates bzw VIFs nur selten unterstuetzt. Da solltest du mal genau auf Cisco.com suchen. Z.B. QoS ueber Radius kannste komplett knicken. Meisstens steht auf den Seiten von Cisco fuer welche Interfacetypen das Feature geeignet ist (i.d.R.: Ethernet, ATM, etc.)

[adowoMAC 10]

Hmm das scheint so nicht zu gehen. Kann ich denn stattdessen den Usern eine Framed-Router verpassen, die z.B. auf Loopback 1 zeigt und dann Loopback 1 in das VRF yellow packen?

[Wordo 11]

Wenn VRFs Loopbacks unterstuetzen sollte das gehen. Die Limitierung kommt eher vom Interface als vom Radius. Virtual-Templates sind halt extrem featurearm

[Wordo 11]

So in der Art muesste das aussehen:

 

Cisco-AVPair += "lcp:interface-config#1=ip vrf forwarding VRFNAME",

[Wordo 11]

Und nochmal was tolles:

 

Cisco IOS Security Configuration Guide, Release 12.4 - Per VRF AAA  [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

[adowoMAC 10]

Das ist aber ja die andere Richtung. Die wollten ja für jede VRF Instanz ein eigenes AAA-Konzept fahren. Was ich vorhabe ist ja die andere Richtung.

 

Anhand des RADIUS-Profils soll der User in eine VRF-Instanz eingeordnet werden. Ich denke ich liege mit dem cisco-avpair = "template:ip-vrf=yellow" schon richtig, aber er sagt eben jedes mal "not applied to ip" und "not applied to lcp"

 

Jul  9 14:36:20: RADIUS: cisco AVPair "template:ip-vrf=yellow" not applied for lcp
Jul  9 14:36:20: RADIUS: cisco AVPair "template:ip-vrf=yellow" not applied for ip

[adowoMAC 10]

Die Virtual-Access-Interface werden nun korrekt mit dem "ip vrf forwarding yellow" gebracht. Wie kann ich den Traffic, der von diesen Interfacen kommt nun nach außen weiterführen, wo noch weitere Bereiche dieses VRF/VPN vorhanden sind? Ich habe es mir so gedacht über ein Subinterface von fa0/0 rauszugehen (VLAN)..

 

Kann es sein dass das totaler Quatsch ist?

 

EDIT: Wieso kann ich keinen erfolgreichen PING vom ISDN-Client an den Router (30.30.0.10 an 30.30.0.1) absenden, sobald virtual-profile aaa eingeschaltet ist??? Wenn ich es ausschalte wird der Client wiederum nicht erfolgreich mit dem VRF verknüpft...

 

Current configuration : 4218 bytes
!
!
version 12.1
no service single-slot-reload-enable
service timestamps debug datetime localtime
service timestamps log uptime
service password-encryption
!
hostname AS5400-lab
!
no boot startup-test
logging rate-limit console 10 except errors
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius 
!
!
resource-pool disable
clock timezone berlin 1
clock summer-time berlin recurring
!
!
!
!
voice-fastpath enable
ip subnet-zero
no ip finger
no ip domain-lookup
!
!
ip vrf red
rd 2:2
route-target export 2:2
route-target import 2:2
!
ip vrf yellow
rd 3:3
route-target export 3:3
route-target import 3:3
virtual-profile virtual-template 1
virtual-profile aaa
isdn switch-type primary-net5
call rsvp-sync
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
!
controller E1 4/0
pri-group timeslots 1-31
!
!
interface Loopback2
ip address 20.20.0.1 255.255.255.255
!
interface Loopback3
description *** Aggregation Loopback for VRF YELLOW ***
ip address 30.30.0.1 255.255.255.0
!
interface FastEthernet0/0
description *** Anbindung Internet ***
ip address xx.xx.xx.xx 255.255.255.128
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 200
ip vrf forwarding red
ip address 20.20.1.1 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 300
ip vrf forwarding yellow
ip address 30.30.1.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/0
no ip address
shutdown
clockrate 2000000
!
interface Serial0/1
no ip address
shutdown
clockrate 2000000
!
interface Serial4/0:15
description *** Serial 4/0 Timeslot 15: Steuerungskanal ***
no ip address
encapsulation ppp
dialer rotary-group 1
isdn switch-type primary-net5
isdn not-end-to-end 64
isdn incoming-voice modem
isdn calling-number 04413507690
isdn outgoing-voice info-transfer-capability 3.1kHz-audio
no peer default ip address
no fair-queue
no cdp enable
ppp authentication pap chap callin
!
interface Virtual-Template1
ip unnumbered Loopback3
ppp authentication pap chap
ppp multilink
!
interface Group-Async0
no ip address
group-range 1/00 5/107
!
interface Dialer1
description *** Interface zur Aggregation von ISDN Clients ***
no ip address
encapsulation ppp
no ip mroute-cache
dialer in-band
dialer idle-timeout 300
dialer-group 1
no peer default ip address
no fair-queue
no cdp enable
ppp authentication pap chap callin
ppp multilink
!
ip classless
ip route profile
no ip http server
!
dialer-list 1 protocol ip permit
!
radius-server host xx.xx.xx.xx auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key 7 xxx
!
voice-port 4/0:D
!
alias exec rt show ip route
!
line con 0
transport input none
line aux 0
line vty 0 4
access-class 10 in
transport input telnet
line 1/00 3/107
no flush-at-activation
modem InOut
line 5/00 5/107
no flush-at-activation
modem InOut
!
scheduler allocate 10000 400
ntp clock-period 17180010
ntp update-calendar
ntp server xx.xx.xx.xx
end