Я тщательно искал в Интернете все, что мог придумать по этой теме - надеюсь, мне просто не хватает очевидного. Вот уже 2 недели это меня беспокоит каждый вечер.
(Это Cisco 2851, если это актуально.)
У меня рабочий VPN. То, что я считаю "релевантной" конфигурацией, показано ниже:
aaa new-model
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
aaa accounting delay-start
aaa session-id common
l2tp congestion-control
vpdn enable
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
username xxxxx password zz yyyyyyyyy
interface Virtual-Template1
bandwidth inherit
ip unnumbered Dialer1
ip nat inside
ip virtual-reassembly
peer default ip address pool vpn_pool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
Это минимальная конфигурация - (я пытался все исключить!) - и она работает от моего клиента OSX с использованием локальной аутентификации.
Однако при включении аутентификации RADIUS следующим образом:
conf t
aaa authentication ppp default group radius
aaa authorization network default group radius
... Я могу продолжить подключение (все аутентификации проходят и т. Д.), Но пакеты не проходят.
На моем клиенте таблица маршрутов выглядит нормально. Маршруты на Cisco выглядят вменяемыми:
...
C 10.0.90.228/32 is directly connected, Virtual-Access6
...
Cisco не может проверить связь с клиентом. Клиент не может проверить связь с Cisco. Кажется, что нет движения.
У меня есть тонна отладки, которую я рад опубликовать здесь, но в данный момент мне кажется, что я не вижу леса за деревьями (так сказать). Любые советы относительно того, какую конкретную отладку публиковать?
Это данные о вызывающем абоненте при подключении к RADIUS:
User: ******************, line Vi6, service PPPoVPDN
Connected for 00:00:58, Idle for 00:00:18
Timeouts: Limit Remaining Timer Type
- - -
PPP: LCP Open, MS CHAP (<-), IPCP, CCP
NCP: Open IPCP, CCP
Vi6 LCP: [Open]
Our Negotiated Options
Vi6 LCP: AuthProto MS-CHAP (0x0305C22380)
Vi6 LCP: MagicNumber 0x45DF39FE (0x050645DF39FE)
Peer's Negotiated Options
Vi6 LCP: ACCM 0x00000000 (0x020600000000)
Vi6 LCP: MagicNumber 0x0066ABB7 (0x05060066ABB7)
Vi6 LCP: PFC (0x0702)
Vi6 LCP: ACFC (0x0802)
Vi6 IPCP: [Open]
Our Negotiated Options
Vi6 IPCP: Address 212.159.119.145 (0x0306D49F7791)
Peer's Negotiated Options
Vi6 IPCP: Address 10.0.90.228 (0x03060A005AE4)
Vi6 IPCP: PrimaryDNS 10.0.40.10 (0x81060A00280A)
Peer's Rejected options
SecondaryDNS
Vi6 CCP: [Open]
Our Negotiated Options
Vi6 CCP: MS-PPC supported bits 0x01000040 (0x120601000040)
Peer's Negotiated Options
Vi6 CCP: MS-PPC supported bits 0x01000040 (0x120601000040)
IP: Local 212.159.119.145, remote 10.0.90.228
Counts: 41 packets input, 3260 bytes, 0 no buffer
0 input errors, 0 CRC, 0 frame, 0 overrun
12 packets output, 180 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
А вот tcpdump беседы RADIUS (это FreeRADIUS с бэкэндом ldap):
21:31:41.645834 IP (tos 0x0, ttl 254, id 61079, offset 0, flags [none], proto UDP (17), length 182)
10.0.30.1.datametrics > sirius.ad.plfc.org.uk.radius: [udp sum ok]
RADIUS, length: 154
Access Request (1), id: 0x54, Authenticator: 8f1b0b4e3054e4e30000000000000000
Framed Protocol Attribute (7), length: 6, Value: PPP
0x0000: 0000 0001
Username Attribute (1), length: 13, Value: **********
0x0000: 6d61 7474 6865 7768 616c 6c
Vendor Specific Attribute (26), length: 16, Value: Vendor: Microsoft (311)
Vendor Attribute: 11, Length: 8, Value: ...N0T..
0x0000: 0000 0137 0b0a 8f1b 0b4e 3054 e4e3
Vendor Specific Attribute (26), length: 58, Value: Vendor: Microsoft (311)
Vendor Attribute: 1, Length: 50, Value: ..........................T..u....z.....u?=# .&.?.
0x0000: 0000 0137 0134 0101 0000 0000 0000 0000
0x0010: 0000 0000 0000 0000 0000 0000 0000 0000
0x0020: 5405 d575 8c87 edbe 7adc 9b14 b2e6 753f
0x0030: 3d23 20fc 26f6 8094
NAS Port Type Attribute (61), length: 6, Value: Virtual
0x0000: 0000 0005
NAS Port Attribute (5), length: 6, Value: 286
0x0000: 0000 011e
NAS Port ID Attribute (87), length: 17, Value: Uniq-Sess-ID286
0x0000: 556e 6971 2d53 6573 732d 4944 3238 36
Service Type Attribute (6), length: 6, Value: Framed
0x0000: 0000 0002
NAS IP Address Attribute (4), length: 6, Value: 10.0.30.1
0x0000: 0a00 1e01
21:31:41.793107 IP (tos 0x0, ttl 64, id 41574, offset 0, flags [none], proto UDP (17), length 124)
sirius.ad.plfc.org.uk.radius > 10.0.30.1.datametrics: [bad udp cksum 0x5a85 -> 0xe26b!] RADIUS, length: 96
Access Accept (2), id: 0x54, Authenticator: dff324dc434fb85e03fd402ed4645530
Framed Protocol Attribute (7), length: 6, Value: PPP
0x0000: 0000 0001
Framed Compression Attribute (13), length: 6, Value: VJ TCP/IP
0x0000: 0000 0001
Vendor Specific Attribute (26), length: 40, Value: Vendor: Microsoft (311)
Vendor Attribute: 12, Length: 32, Value: W...-..wu...i....H;. .R"....M.R"
0x0000: 0000 0137 0c22 57f8 f2af 2dfa 0177 7585
0x0010: e6ff 69a8 0a03 cf48 3ba0 20e1 5222 b79e
0x0020: a31d 4df5 5222
Vendor Specific Attribute (26), length: 12, Value: Vendor: Microsoft (311)
Vendor Attribute: 7, Length: 4, Value: ....
0x0000: 0000 0137 0706 0000 0001
Vendor Specific Attribute (26), length: 12, Value: Vendor: Microsoft (311)
Vendor Attribute: 8, Length: 4, Value: ....
0x0000: 0000 0137 0806 0000 0006
У меня нет идей. Насколько я могу судить, вся отладка, которую я пробовал, выглядит идентично (за исключением случаев аутентификации). Заранее спасибо.
Ну я так и не решил проблему. Я исчерпал все, что мог придумать, и пришел к выводу, что (просто) Cisco IOS (версия, указанная ниже) просто не разрешает аутентификацию PPTP через RADIUS.
Мой вывод подкрепляется только «отсутствием» доказательств обратного. Добавление минимальной конфигурации L2TP работал используя ту же конфигурацию RADIUS, что предполагает, что проблема заключается в коде Cisco PPTP.
Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M), Version 15.1(1)T, R
В любом случае, для тех, кто наткнется на этот ответ в будущем - вы не одиноки. Я успешно переключился на L2TP и так и не понял, почему PPTP не играет в мяч (в частности, с авторизацией RADIUS).