|
| Cisco VPN 3005 config ? Fra : Brian Ipsen |
Dato : 21-01-04 20:29 |
|
Hej!
Jeg forsøger at få liv i en VPN3005 boks med RADIUS validering. Når jeg
kobler op med en VPN klient får jeg godt nok en prompt op om
username/password - men i loggen ser det ud som om, at den vil validere
brugeren internt - og ikke via Radius ?? Jeg har sat authentication server
op på selve gruppen (det er en Windows baseret radius-server - IAS), men af
en eller anden grund får jeg ikke lov til at oprette forbindelsen.. Loggen
på VPN boksen er her:
130 01/21/2004 20:17:45.540 SEV=5 IP/49 RPT=4
Headend transmitting TCP SYN-ACK pkt to client w.x.y.z, TCP dest port 2193
131 01/21/2004 20:17:45.910 SEV=5 IP/41 RPT=3
TCP session established to client w.x.y.z, TCP source port 2193.
132 01/21/2004 20:17:49.140 SEV=3 AUTH/5 RPT=8 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 21, server = Internal, user = UserID, domain = <not specified>
134 01/21/2004 20:17:52.040 SEV=3 AUTH/5 RPT=9 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 22, server = Internal, user = UserID, domain = <not specified>
136 01/21/2004 20:17:54.620 SEV=3 AUTH/5 RPT=10 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 23, server = Internal, user = UserID, domain = <not specified>
138 01/21/2004 20:17:54.650 SEV=4 IKE/167 RPT=2 w.x.y.z
Group [VpnGroup] User [UserID]
Remote peer has failed user authentication -
check configured username and password
141 01/21/2004 20:17:54.660 SEV=5 IKE/194 RPT=4 w.x.y.z
Group [VpnGroup] User [UserID]
Sending IKE Delete With Reason message: No Reason Provided.
143 01/21/2004 20:17:54.660 SEV=5 IP/43 RPT=3
Deleting TCP entry for device w.x.y.z on port 2193
Hvad gør jeg galt ?
UserID med password er ok - samme radius server anvendes når jeg laver
vpn-opkobling til den PIX, som koncentratoren er forbundet til.
/Brian
| |
Martin Bilgrav (21-01-2004)
| Kommentar Fra : Martin Bilgrav |
Dato : 21-01-04 20:59 |
|
lyder lidt som om din IAS ikke er korrekt opsat.
Hvad siger IAS loggen på den NAS ?
Evt skal brugerene have deres Dial-in Allowed-Permission sat til, men det
vil fremgå af IAS loggen
Mvh
Martin Bilgrav
"Brian Ipsen" <me@nowhere.net> wrote in message
news:bumjt9$aif$1@sunsite.dk...
> Hej!
>
> Jeg forsøger at få liv i en VPN3005 boks med RADIUS validering. Når jeg
> kobler op med en VPN klient får jeg godt nok en prompt op om
> username/password - men i loggen ser det ud som om, at den vil validere
> brugeren internt - og ikke via Radius ?? Jeg har sat authentication server
> op på selve gruppen (det er en Windows baseret radius-server - IAS), men
af
> en eller anden grund får jeg ikke lov til at oprette forbindelsen.. Loggen
> på VPN boksen er her:
>
> 130 01/21/2004 20:17:45.540 SEV=5 IP/49 RPT=4
> Headend transmitting TCP SYN-ACK pkt to client w.x.y.z, TCP dest port 2193
>
> 131 01/21/2004 20:17:45.910 SEV=5 IP/41 RPT=3
> TCP session established to client w.x.y.z, TCP source port 2193.
>
> 132 01/21/2004 20:17:49.140 SEV=3 AUTH/5 RPT=8 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 21, server = Internal, user = UserID, domain = <not specified>
>
> 134 01/21/2004 20:17:52.040 SEV=3 AUTH/5 RPT=9 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 22, server = Internal, user = UserID, domain = <not specified>
>
> 136 01/21/2004 20:17:54.620 SEV=3 AUTH/5 RPT=10 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 23, server = Internal, user = UserID, domain = <not specified>
>
> 138 01/21/2004 20:17:54.650 SEV=4 IKE/167 RPT=2 w.x.y.z
> Group [VpnGroup] User [UserID]
> Remote peer has failed user authentication -
> check configured username and password
>
> 141 01/21/2004 20:17:54.660 SEV=5 IKE/194 RPT=4 w.x.y.z
> Group [VpnGroup] User [UserID]
> Sending IKE Delete With Reason message: No Reason Provided.
>
> 143 01/21/2004 20:17:54.660 SEV=5 IP/43 RPT=3
> Deleting TCP entry for device w.x.y.z on port 2193
>
> Hvad gør jeg galt ?
>
> UserID med password er ok - samme radius server anvendes når jeg laver
> vpn-opkobling til den PIX, som koncentratoren er forbundet til.
>
> /Brian
>
>
| |
Brian Ipsen (21-01-2004)
| Kommentar Fra : Brian Ipsen |
Dato : 21-01-04 22:07 |
|
"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:uSAPb.76915$jf4.4950662@news000.worldonline.dk...
> lyder lidt som om din IAS ikke er korrekt opsat.
> Hvad siger IAS loggen på den NAS ?
> Evt skal brugerene have deres Dial-in Allowed-Permission sat til, men det
> vil fremgå af IAS loggen
Ok, jeg har efterhånden fået Radius til at fungere - og klienten bliver
tildelt en IP adresse (endda i det rigtige scope)... men af en eller anden
grund kan jeg sagtens ping'e 3005'erens externe interface (altå eksternt på
den pix, som den er beskyttet bag) - men jeg kan ikke ping Private/lan
interface't på dåsen ... Det er garanteret noget omkring de regler og filtre
som sættes op...
Setup:
Internet <---> Pix515 <---> Vpn3005 <--> LAN
Endvidere er et ben fra LAN også forbundet til PIX515 (på dens inside
interface)
Jeg har lavet 2 net-grupper.
1. En gruppe med alle netværk forbundet på PIX'en (dvs. LAN, og div. DMZ)
2. En gruppe med VPN klienternes adresser
På VPN gruppen er filter sat til "Private" og "Tunnel everything" er sat
til....
Jeg kan ikke lige gennemskue hvad pokker der sker... Jeg må i gang med
litteraturen, og se om der findes en how-to eller step-by-step guide et
sted...
/Brian
| |
Brian Ipsen (21-01-2004)
| Kommentar Fra : Brian Ipsen |
Dato : 21-01-04 22:42 |
|
"Brian Ipsen" <me@nowhere.net> wrote in message
news:bumpla$kbd$1@sunsite.dk...
> Jeg kan ikke lige gennemskue hvad pokker der sker... Jeg må i gang med
> litteraturen, og se om der findes en how-to eller step-by-step guide et
> sted...
Rettelse - jeg kan godt ping'e LAN interface't på 3005'eren, og LAN
interface't på PIX'en... Pinger jeg en host på LAN'et (som har pixen som
default GW) får jeg intet svar. Jeg har opsat en statisk route i PIX'en med
vpn-klientens subnet - som fortæller at6 de pakker skal routes til
3005'erens private interface... men det duer ikke rigtigt (gad vide om det
er PIX'en som ikke kan finde ud af at route skidtet) ...
/Brian
| |
|
|