Kandu.dk - Cisco VPN 3005 config ?


/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

TCP/IP

#	Navn	Point
1	Per.Frede..	4668
2	BjarneD	4017
3	severino	2804
4	pallebhan..	1680
5	EXTERMINA..	1525
6	xou	1455
7	strarup	1430
8	Manse9933	1419
9	o.v.n.	1400
10	Fijala	1204

Cisco VPN 3005 config ?
Fra : Brian Ipsen

Dato : 21-01-04 20:29

Hej!

Jeg forsøger at få liv i en VPN3005 boks med RADIUS validering. Når jeg
kobler op med en VPN klient får jeg godt nok en prompt op om
username/password - men i loggen ser det ud som om, at den vil validere
brugeren internt - og ikke via Radius ?? Jeg har sat authentication server
op på selve gruppen (det er en Windows baseret radius-server - IAS), men af
en eller anden grund får jeg ikke lov til at oprette forbindelsen.. Loggen
på VPN boksen er her:

130 01/21/2004 20:17:45.540 SEV=5 IP/49 RPT=4
Headend transmitting TCP SYN-ACK pkt to client w.x.y.z, TCP dest port 2193

131 01/21/2004 20:17:45.910 SEV=5 IP/41 RPT=3
TCP session established to client w.x.y.z, TCP source port 2193.

132 01/21/2004 20:17:49.140 SEV=3 AUTH/5 RPT=8 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 21, server = Internal, user = UserID, domain = <not specified>

134 01/21/2004 20:17:52.040 SEV=3 AUTH/5 RPT=9 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 22, server = Internal, user = UserID, domain = <not specified>

136 01/21/2004 20:17:54.620 SEV=3 AUTH/5 RPT=10 w.x.y.z
Authentication rejected: Reason = User was not found
handle = 23, server = Internal, user = UserID, domain = <not specified>

138 01/21/2004 20:17:54.650 SEV=4 IKE/167 RPT=2 w.x.y.z
Group [VpnGroup] User [UserID]
Remote peer has failed user authentication -
check configured username and password

141 01/21/2004 20:17:54.660 SEV=5 IKE/194 RPT=4 w.x.y.z
Group [VpnGroup] User [UserID]
Sending IKE Delete With Reason message: No Reason Provided.

143 01/21/2004 20:17:54.660 SEV=5 IP/43 RPT=3
Deleting TCP entry for device w.x.y.z on port 2193

Hvad gør jeg galt ?

UserID med password er ok - samme radius server anvendes når jeg laver
vpn-opkobling til den PIX, som koncentratoren er forbundet til.

/Brian

Martin Bilgrav (21-01-2004)

Kommentar
Fra : Martin Bilgrav

Dato : 21-01-04 20:59

lyder lidt som om din IAS ikke er korrekt opsat.
Hvad siger IAS loggen på den NAS ?
Evt skal brugerene have deres Dial-in Allowed-Permission sat til, men det
vil fremgå af IAS loggen

Mvh
Martin Bilgrav

"Brian Ipsen" <me@nowhere.net> wrote in message
news:bumjt9$aif$1@sunsite.dk...
> Hej!
>
> Jeg forsøger at få liv i en VPN3005 boks med RADIUS validering. Når jeg
> kobler op med en VPN klient får jeg godt nok en prompt op om
> username/password - men i loggen ser det ud som om, at den vil validere
> brugeren internt - og ikke via Radius ?? Jeg har sat authentication server
> op på selve gruppen (det er en Windows baseret radius-server - IAS), men
af
> en eller anden grund får jeg ikke lov til at oprette forbindelsen.. Loggen
> på VPN boksen er her:
>
> 130 01/21/2004 20:17:45.540 SEV=5 IP/49 RPT=4
> Headend transmitting TCP SYN-ACK pkt to client w.x.y.z, TCP dest port 2193
>
> 131 01/21/2004 20:17:45.910 SEV=5 IP/41 RPT=3
> TCP session established to client w.x.y.z, TCP source port 2193.
>
> 132 01/21/2004 20:17:49.140 SEV=3 AUTH/5 RPT=8 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 21, server = Internal, user = UserID, domain = <not specified>
>
> 134 01/21/2004 20:17:52.040 SEV=3 AUTH/5 RPT=9 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 22, server = Internal, user = UserID, domain = <not specified>
>
> 136 01/21/2004 20:17:54.620 SEV=3 AUTH/5 RPT=10 w.x.y.z
> Authentication rejected: Reason = User was not found
> handle = 23, server = Internal, user = UserID, domain = <not specified>
>
> 138 01/21/2004 20:17:54.650 SEV=4 IKE/167 RPT=2 w.x.y.z
> Group [VpnGroup] User [UserID]
> Remote peer has failed user authentication -
> check configured username and password
>
> 141 01/21/2004 20:17:54.660 SEV=5 IKE/194 RPT=4 w.x.y.z
> Group [VpnGroup] User [UserID]
> Sending IKE Delete With Reason message: No Reason Provided.
>
> 143 01/21/2004 20:17:54.660 SEV=5 IP/43 RPT=3
> Deleting TCP entry for device w.x.y.z on port 2193
>
> Hvad gør jeg galt ?
>
> UserID med password er ok - samme radius server anvendes når jeg laver
> vpn-opkobling til den PIX, som koncentratoren er forbundet til.
>
> /Brian
>
>

Brian Ipsen (21-01-2004)

Kommentar
Fra : Brian Ipsen

Dato : 21-01-04 22:07

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:uSAPb.76915$jf4.4950662@news000.worldonline.dk...

> lyder lidt som om din IAS ikke er korrekt opsat.
> Hvad siger IAS loggen på den NAS ?
> Evt skal brugerene have deres Dial-in Allowed-Permission sat til, men det
> vil fremgå af IAS loggen

Ok, jeg har efterhånden fået Radius til at fungere - og klienten bliver
tildelt en IP adresse (endda i det rigtige scope)... men af en eller anden
grund kan jeg sagtens ping'e 3005'erens externe interface (altå eksternt på
den pix, som den er beskyttet bag) - men jeg kan ikke ping Private/lan
interface't på dåsen ... Det er garanteret noget omkring de regler og filtre
som sættes op...

Setup:

Internet <---> Pix515 <---> Vpn3005 <--> LAN

Endvidere er et ben fra LAN også forbundet til PIX515 (på dens inside
interface)

Jeg har lavet 2 net-grupper.

1. En gruppe med alle netværk forbundet på PIX'en (dvs. LAN, og div. DMZ)
2. En gruppe med VPN klienternes adresser

På VPN gruppen er filter sat til "Private" og "Tunnel everything" er sat
til....

Jeg kan ikke lige gennemskue hvad pokker der sker... Jeg må i gang med
litteraturen, og se om der findes en how-to eller step-by-step guide et
sted...

/Brian

Brian Ipsen (21-01-2004)

Kommentar
Fra : Brian Ipsen

Dato : 21-01-04 22:42

"Brian Ipsen" <me@nowhere.net> wrote in message
news:bumpla$kbd$1@sunsite.dk...

> Jeg kan ikke lige gennemskue hvad pokker der sker... Jeg må i gang med
> litteraturen, og se om der findes en how-to eller step-by-step guide et
> sted...

Rettelse - jeg kan godt ping'e LAN interface't på 3005'eren, og LAN
interface't på PIX'en... Pinger jeg en host på LAN'et (som har pixen som
default GW) får jeg intet svar. Jeg har opsat en statisk route i PIX'en med
vpn-klientens subnet - som fortæller at6 de pakker skal routes til
3005'erens private interface... men det duer ikke rigtigt (gad vide om det
er PIX'en som ikke kan finde ud af at route skidtet) ...

/Brian

Søg

Reklame

Statistik

Spørgsmål :	177554
Tips :	31968
Nyheder :	719565
Indlæg :	6408852
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste