Новые ответы

VPN на cisco 2800,

pogreb, 11-Июл-18, 15:00 [смотреть все]

Здравствуйте!
С древних времен VPN создан на cisco 2800, которая перенаправляла запросы на радиус сервер, где проходит авторизация. Т.е на nps сервере добавлена группа AD. Чисто случайно заметил, что человек не состоящий в доменной группе, настроил и подключился к VPN используя свои логин и пароль домена.
На радиус сервере циска как клиент присутствует.
В свойствах учетной записи пользователя, на вкладке Входящие звонки параметр Разрешить доступ стоит - Управление доступом на основе политики сети NPS
Вывод с циски
2811#sh run | i radius
aaa authentication ppp default group radius local
radius-server host 10.3.0.34 auth-port 1645 acct-port 1646 - это радиус другого домена
radius-server host 10.3.0.23 auth-port 1645 acct-port 1646 - это мой радиус
radius-server key 7

Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ разрешает.
Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру - BAA
Посмотрел логи до интересующей меня даты в них нет строки с "NPS" и с названием группы "VPN Allow"
Можете подсказать в решении проблемы?
Как мне правильно debug посмотреть на cisco?

Ответить | Сообщить модератору

VPN на cisco 2800, AlexDv, 15:54 , 11-Июл-18 (1)
>[оверквотинг удален]
> радиус
> radius-server key 7
> Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ
> разрешает.
> Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру
> - BAA
> Посмотрел логи до интересующей меня даты в них нет строки с "NPS"
> и с названием группы "VPN Allow"
> Можете подсказать в решении проблемы?
> Как мне правильно debug посмотреть на cisco?
А причем здесь циска? Ей радиус сказал - "Можно", она и пускает. Смотрите логи на радусах (всех).
Ответить | Сообщить модератору

VPN на cisco 2800, pogreb, 16:31 , 11-Июл-18 (2)
>[оверквотинг удален]
>> Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ
>> разрешает.
>> Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру
>> - BAA
>> Посмотрел логи до интересующей меня даты в них нет строки с "NPS"
>> и с названием группы "VPN Allow"
>> Можете подсказать в решении проблемы?
>> Как мне правильно debug посмотреть на cisco?
> А причем здесь циска? Ей радиус сказал - "Можно", она и пускает.
> Смотрите логи на радусах (всех).
В том то и дело, что на моем радиусе вообще нет записей в логах о VPN
В логах только записи о подключении к WiFi
Ответить | Сообщить модератору

VPN на cisco 2800, ВОЛКА, 16:39 , 11-Июл-18 (3)
конфиг покажите
Ответить | Сообщить модератору

VPN на cisco 2800, pogreb, 17:27 , 11-Июл-18 (4)
> конфиг покажите
vtz-2811#sh run
Building configuration...
Current configuration : 8683 bytes
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname vtz-2811
!
boot-start-marker
boot-end-marker
!
!card type command needed for slot 1
logging message-counter syslog
no logging buffered
enable secret 5
enable password 7
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius local
aaa authorization exec default local
aaa authorization network default if-authenticated
!
!
aaa session-id common
clock timezone MSK 4
clock summer-time Moscow date Mar 30 2003 3:00 Oct 26 2003 4:00
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
!
!
username admin secret 5
archive
log config
  hidekeys
path ftp://1.9.10/2811/2811
write-memory
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key votblinpopal address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
!
!
!
ip ftp username cisco
ip ftp password 7
!
!
!
interface Tunnel0
bandwidth 1000
ip address 10.60.33.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1360
ip ospf network point-to-multipoint
ip ospf priority 120
delay 1000
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile SDM_Profile1
!
interface Tunnel2
description == cic-Ubileynaya
ip address 172.16.76.13 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
shutdown
tunnel source Dialer0
tunnel destination 4.3.3.2
!
interface Tunnel3
description == cic-Bezymenskogo
ip address 172.16.76.17 255.255.255.252
ip mtu 1484
ip tcp adjust-mss 1360
shutdown
tunnel source Dialer0
tunnel destination 4.3.9.4
!
interface FastEthernet0/0
no ip address
ip tcp adjust-mss 1412
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0.21
encapsulation dot1Q 21
ip address 10.0.1.51 255.255.255.248
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1
description $ETH-WAN$
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered Dialer0
ip nat inside
ip virtual-reassembly
peer default ip address pool vpnclients
no keepalive
ppp encrypt mppe auto passive
ppp authentication pap chap ms-chap ms-chap-v2 eap
ppp ipcp dns 10.3.0.12 10.3.0.13
!
interface Dialer0
ip address negotiated
ip access-group 30 in
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname URDSL5
ppp chap password 7
!
router ospf 55
router-id 10.60.33.1
log-adjacency-changes
redistribute connected
redistribute static subnets route-map stat
network 10.0.1.48 0.0.0.7 area 1
network 10.33.254.0 0.0.0.255 area 1
network 10.60.33.0 0.0.0.255 area 1
distribute-list route-map No_default_route in
!
ip local pool vpnclients 10.33.254.1 10.33.254.254
no ip forward-protocol nd
ip route 10.33.0.0 255.255.255.0 10.0.1.50 tag 205
ip route 31.28.192.0 255.255.224.0 Dialer0 tag 205
ip route 84.53.192.0 255.255.192.0 Dialer0 tag 205
ip route 8.200.27 255.255.255.255 Dialer0
ip route 8.203.42 255.255.255.255 Dialer0
ip route 8.208.150 255.255.255.255 Dialer0
ip route 8237.199 255.255.255.255 Dialer0
ip route 8.240.75 255.255.255.255 Dialer0
ip route 8.241.208 255.255.255.255 Dialer0
ip route 8.244.84 255.255.255.255 Dialer0
ip route 83.245.205 255.255.255.255 Dialer0
ip route 8.245.221 255.255.255.255 Dialer0
ip route 109.126.192.0 255.255.192.0 Dialer0 tag 205
ip route 212.34.96.0 255.255.224.0 Dialer0 tag 205
ip route 212.34.105.233 255.255.255.255 Dialer0
ip route 213.167.192.0 255.255.224.0 Dialer0 tag 205
ip http server
no ip http secure-server
!
!
ip nat inside source list NAT interface Dialer0 overload
!
ip access-list extended NAT
remark SDM_ACL Category=18
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.1
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.2
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.3
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.4
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.5
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.6
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.7
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.8
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.9
deny   ip 10.0.0.0 0.15.255.255 host 10.0.0.10
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.1
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.2
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.3
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.4
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.5
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.6
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.7
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.8
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.9
deny   ip 192.168.0.0 0.0.255.255 host 10.0.0.10
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.1
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.2
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.3
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.4
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.5
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.6
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.7
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.8
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.9
deny   ip 10.0.0.0 0.255.255.255 host 10.0.0.10
permit tcp 10.0.77.0 0.0.0.255 host 84.53.200.27 eq www
permit tcp 10.0.77.0 0.0.0.255 host 84.53.208.150 eq www
permit tcp 10.0.77.0 0.0.0.255 host 84.53.208.150 eq 443
permit tcp 10.0.77.0 0.0.0.255 any eq telnet
permit icmp 10.0.77.0 0.0.0.255 any
permit tcp 10.0.78.0 0.0.0.255 host 84.50.27 eq www
permit tcp 10.0.78.0 0.0.0.255 host 84.5.150 eq www
permit tcp 10.0.78.0 0.0.0.255 host 84.5.150 eq 443
permit tcp 10.39.4.0 0.0.0.255 host 84.50.27 eq www
permit tcp 10.39.4.0 0.0.0.255 host 84.58.150 eq www
permit tcp 10.39.4.0 0.0.0.255 host 84.58.150 eq 443
permit icmp 10.43.78.0 0.0.0.255 any
permit tcp 10.43.78.0 0.0.0.255 any eq telnet
permit tcp host 10.43.78.31 host 84.53
!
access-list 10 remark NAT
access-list 15 permit 10.3.
access-list 15 remark SNMP Access
access-list 15 remark SDM_ACL Category=1
access-list 15 permit 10.3.0.54
access-list 23 permit 85.2
access-list 23 permit 192.168.24.4
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 23 permit 10.0.1.0 0.0.0.255
access-list 23 permit 89.1.0 0.0.0.255
access-list 23 permit 89.1.0 0.0.0.255
access-list 23 permit 10.43.78.0 0.0.0.255
access-list 23 permit 10.3.0.0 0.0.0.255
access-list 30 remark Elcom Subnets
access-list 30 permit 84.53.192.0 0.0.63.255
access-list 30 permit 109.92.0 0.0.63.255
access-list 30 permit 212..0 0.0.31.255
access-list 30 permit 213.2.0 0.0.31.255
access-list 30 permit 81..0 0.0.15.255
access-list 30 permit 31.28.192.0 0.0.31.255
access-list 33 permit 10.3.0.54
access-list 33 permit 10.0.77.0 0.0.0.255
access-list 43 permit 10.3.192.240 0.0.0.15
access-list 50 permit 172.16.76.14
access-list 50 remark cic-route-map
access-list 50 permit 10.33.227.0 0.0.0.255
access-list 50 permit 10.33.226.0 0.0.0.255
access-list 100 remark cic-suri
access-list 100 deny   ip 10.33.227.0 0.0.0.255 10.0.77.0 0.0.0.255
access-list 100 deny   ip 10.33.227.0 0.0.0.255 host 10.3.0.54
access-list 100 permit ip 10.33.227.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
!
route-map stat deny 10
match tag 205
!
route-map stat permit 20
!
route-map No_default_route deny 10
match metric 250
!
route-map No_default_route permit 20
!
route-map cic-ubi permit 10
match ip address 50
set ip next-hop 10.0.1.50
!
!
snmp-server community zabbix_mall RO 15
radius-server host 10.3.0.34 auth-port 1645 acct-port 1646
radius-server host 10.3.0.23 auth-port 1645 acct-port 1646
radius-server key 7
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
logging synchronous
!
scheduler allocate 20000 1000
ntp server 10.33.9.10
ntp server 10.0.1.50
end
Ответить | Сообщить модератору

VPN на cisco 2800, pogreb, 13:53 , 12-Июл-18 (5)
Тяжелый у меня случай?
Ответить | Сообщить модератору

VPN на cisco 2800, Andrey, 15:26 , 12-Июл-18 (6)
> Тяжелый у меня случай?
Если вы не видите в логах RADIUS вообще никаких сообщений про VPN, то это значит что политика для Wifi срабатывает раньше политики VPN.
Разбирайтесь с NPS. Делайте более строгие политики для wifi и vpn.
Ответить | Сообщить модератору
VPN на cisco 2800, ВОЛКА, 22:34 , 12-Июл-18 (7)
> Тяжелый у меня случай?
http://blog.skufel.net/2016/03/how-to-integrate-cisco-easy-v.../
Debug aaa authe
Debug aaa autho
Ответить | Сообщить модератору

VPN на cisco 2800, pogreb, 11:07 , 17-Июл-18 (8)
>> Тяжелый у меня случай?
> http://blog.skufel.net/2016/03/how-to-integrate-cisco-easy-v.../
> Debug aaa authe
> Debug aaa autho
Решил проблему удалением параметра - Удалённый доступ VPN-Dial up из политики VPN
А в политике wifi указал тип порта nps, теперь при подключении к VPN в логах запись о группе доступа VPN
А при подключении к wifi запись о группе доступа wifi
Спасибо!
Ответить | Сообщить модератору