/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Cisco VPN 3005 config ?
Fra : Brian Ipsen


Dato : 21-01-04 20:29

Hej!

Jeg forsøger at få liv i en VPN3005 boks med RADIUS validering. Når jeg
kobler op med en VPN klient får jeg godt nok en prompt op om
username/password - men i loggen ser det ud som om, at den vil validere
brugeren internt - og ikke via Radius ?? Jeg har sat authentication server
op på selve gruppen (det er en Windows baseret radius-server - IAS), men af
en eller anden grund får jeg ikke lov til at oprette forbindelsen.. Loggen
på VPN boksen er her:

130 01/21/2004 20:17:45.540 SEV=5 IP/49 RPT=4
Headend transmitting TCP SYN-ACK pkt to client w.x.y.z, TCP dest port 2193

131 01/21/2004 20:17:45.910 SEV=5 IP/41 RPT=3
TCP session established to client w.x.y.z, TCP source port 2193.

132 01/21/2004 20:17:49.140 SEV=3 AUTH/5 RPT=8 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 21, server = Internal, user = UserID, domain = <not specified>

134 01/21/2004 20:17:52.040 SEV=3 AUTH/5 RPT=9 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 22, server = Internal, user = UserID, domain = <not specified>

136 01/21/2004 20:17:54.620 SEV=3 AUTH/5 RPT=10 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 23, server = Internal, user = UserID, domain = <not specified>

138 01/21/2004 20:17:54.650 SEV=4 IKE/167 RPT=2 w.x.y.z
Group [VpnGroup] User [UserID]
Remote peer has failed user authentication -
check configured username and password

141 01/21/2004 20:17:54.660 SEV=5 IKE/194 RPT=4 w.x.y.z
Group [VpnGroup] User [UserID]
Sending IKE Delete With Reason message: No Reason Provided.

143 01/21/2004 20:17:54.660 SEV=5 IP/43 RPT=3
Deleting TCP entry for device w.x.y.z on port 2193

Hvad gør jeg galt ?

UserID med password er ok - samme radius server anvendes når jeg laver
vpn-opkobling til den PIX, som koncentratoren er forbundet til.

/Brian



 
 
Martin Bilgrav (21-01-2004)
Kommentar
Fra : Martin Bilgrav


Dato : 21-01-04 20:59

lyder lidt som om din IAS ikke er korrekt opsat.
Hvad siger IAS loggen på den NAS ?
Evt skal brugerene have deres Dial-in Allowed-Permission sat til, men det
vil fremgå af IAS loggen


Mvh
Martin Bilgrav

"Brian Ipsen" <me@nowhere.net> wrote in message
news:bumjt9$aif$1@sunsite.dk...
> Hej!
>
> Jeg forsøger at få liv i en VPN3005 boks med RADIUS validering. Når jeg
> kobler op med en VPN klient får jeg godt nok en prompt op om
> username/password - men i loggen ser det ud som om, at den vil validere
> brugeren internt - og ikke via Radius ?? Jeg har sat authentication server
> op på selve gruppen (det er en Windows baseret radius-server - IAS), men
af
> en eller anden grund får jeg ikke lov til at oprette forbindelsen.. Loggen
> på VPN boksen er her:
>
> 130 01/21/2004 20:17:45.540 SEV=5 IP/49 RPT=4
> Headend transmitting TCP SYN-ACK pkt to client w.x.y.z, TCP dest port 2193
>
> 131 01/21/2004 20:17:45.910 SEV=5 IP/41 RPT=3
> TCP session established to client w.x.y.z, TCP source port 2193.
>
> 132 01/21/2004 20:17:49.140 SEV=3 AUTH/5 RPT=8 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 21, server = Internal, user = UserID, domain = <not specified>
>
> 134 01/21/2004 20:17:52.040 SEV=3 AUTH/5 RPT=9 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 22, server = Internal, user = UserID, domain = <not specified>
>
> 136 01/21/2004 20:17:54.620 SEV=3 AUTH/5 RPT=10 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 23, server = Internal, user = UserID, domain = <not specified>
>
> 138 01/21/2004 20:17:54.650 SEV=4 IKE/167 RPT=2 w.x.y.z
> Group [VpnGroup] User [UserID]
> Remote peer has failed user authentication -
> check configured username and password
>
> 141 01/21/2004 20:17:54.660 SEV=5 IKE/194 RPT=4 w.x.y.z
> Group [VpnGroup] User [UserID]
> Sending IKE Delete With Reason message: No Reason Provided.
>
> 143 01/21/2004 20:17:54.660 SEV=5 IP/43 RPT=3
> Deleting TCP entry for device w.x.y.z on port 2193
>
> Hvad gør jeg galt ?
>
> UserID med password er ok - samme radius server anvendes når jeg laver
> vpn-opkobling til den PIX, som koncentratoren er forbundet til.
>
> /Brian
>
>



Brian Ipsen (21-01-2004)
Kommentar
Fra : Brian Ipsen


Dato : 21-01-04 22:07

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:uSAPb.76915$jf4.4950662@news000.worldonline.dk...

> lyder lidt som om din IAS ikke er korrekt opsat.
> Hvad siger IAS loggen på den NAS ?
> Evt skal brugerene have deres Dial-in Allowed-Permission sat til, men det
> vil fremgå af IAS loggen

Ok, jeg har efterhånden fået Radius til at fungere - og klienten bliver
tildelt en IP adresse (endda i det rigtige scope)... men af en eller anden
grund kan jeg sagtens ping'e 3005'erens externe interface (altå eksternt på
den pix, som den er beskyttet bag) - men jeg kan ikke ping Private/lan
interface't på dåsen ... Det er garanteret noget omkring de regler og filtre
som sættes op...

Setup:

Internet <---> Pix515 <---> Vpn3005 <--> LAN

Endvidere er et ben fra LAN også forbundet til PIX515 (på dens inside
interface)

Jeg har lavet 2 net-grupper.

1. En gruppe med alle netværk forbundet på PIX'en (dvs. LAN, og div. DMZ)
2. En gruppe med VPN klienternes adresser

På VPN gruppen er filter sat til "Private" og "Tunnel everything" er sat
til....

Jeg kan ikke lige gennemskue hvad pokker der sker... Jeg må i gang med
litteraturen, og se om der findes en how-to eller step-by-step guide et
sted...

/Brian



Brian Ipsen (21-01-2004)
Kommentar
Fra : Brian Ipsen


Dato : 21-01-04 22:42

"Brian Ipsen" <me@nowhere.net> wrote in message
news:bumpla$kbd$1@sunsite.dk...

> Jeg kan ikke lige gennemskue hvad pokker der sker... Jeg må i gang med
> litteraturen, og se om der findes en how-to eller step-by-step guide et
> sted...

Rettelse - jeg kan godt ping'e LAN interface't på 3005'eren, og LAN
interface't på PIX'en... Pinger jeg en host på LAN'et (som har pixen som
default GW) får jeg intet svar. Jeg har opsat en statisk route i PIX'en med
vpn-klientens subnet - som fortæller at6 de pakker skal routes til
3005'erens private interface... men det duer ikke rigtigt (gad vide om det
er PIX'en som ikke kan finde ud af at route skidtet) ...

/Brian




Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste