https://mobile.opennet.me/openforum/vsluhforumID6/16255.html День добрый, коллеги.<br><br>Имеется следующая трабла.<br><br>Есть маленькая локалка 10.15.0.0/24<br>В ней имеется Cisco 851 она же есть шлюз, она же несёт на себе роль DHCP.<br><br>[code]<br>Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(4)T8, RELEASE SOFTWARE (fc3)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2007 by Cisco Systems, Inc.<br>Compiled Sat 11-Aug-07 03:29 by khuie<br><br>ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE<br>[/code]<br><br><br>Но вот возникла необходимость поднять на нём PPTP сервер, нашёл мануал поднял так:<br><br>[code]<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication ppp vpn local<br>aaa authorization console<br>aaa authorization exec default local<br>aaa authorization network vpn local<br>!<br><br>ip subnet-zero<br>ip dhcp excluded-address 10.15.0.1<br>ip dhcp excluded-address 10.15.0.2<br>!<br>ip dhcp pool DHCPPOOL<br> import all<br> network 10.15.0.0 255.255.255.0<br> default-router 10.15.0.1<br> dns-server 10.15.0.2 10.15.0.1 195.11 https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#10 Sat, 07 Jun 2008 10:06:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Да, с логами разобрался. eventvwr гласит следующее: <br>&gt;&gt;&gt;Пользователю "administrator" отказано в доступе.<br>&gt;&gt;&gt;*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len<br>&gt;&gt;<br>&gt;&gt;Создать политику в IAS, которая разрешает доступ. <br>&gt;<br>&gt;политика уже есть. В каком виде я уже только её не создавал. <br>&gt;<br>&gt;И что это за ошибка в цисковском дебаге ms-chap-error <br><br>Ну ведь ясно написано:<br><br>&gt;&gt;Пользователю "administrator" отказано в доступе.<br>&gt;&gt;*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len<br><br>Радиус отказал в доступе. Надо разрешать.<br><br>Вот сообщение, если доступ разрешен.<br><br>User XXXXX was granted access.<br> Fully-Qualified-User-Name = aaaaaaaa<br> NAS-IP-Address = 10.0.0.5<br> NAS-Identifier = &lt;not present&gt; <br> Client-Friendly-Name = CS1721C<br> Client-IP-Address = 10.0.0.5<br> NAS-Port-Type = Virtual<br> NAS-Port = 3<br> Policy-Name = PPTP_DIAL_IN<br> Authentication-Type = MS-CHAPv2<br> EAP-Type = &lt;undetermined&gt; <br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#9 Sat, 07 Jun 2008 09:29:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;1. Записи дублируются в стандартном Event Log-е в читаемом формате. <br>&gt;&gt;&gt;2. Есть парсеры, переводящие лог IAS в более читаемый формат. <br>&gt;&gt;<br>&gt;&gt;Да, с логами разобрался. eventvwr гласит следующее: <br>&gt;&gt;Пользователю "administrator" отказано в доступе.<br>&gt;&gt;*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len<br>&gt;<br>&gt;Создать политику в IAS, которая разрешает доступ. <br><br>политика уже есть. В каком виде я уже только её не создавал.<br>И что это за ошибка в цисковском дебаге ms-chap-error<br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#8 Sat, 07 Jun 2008 09:26:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;718 ошибка. <br>&gt;&gt;&gt;IAS запросы принимает, пишет логи, но формат их жесток и не читаем. <br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;1. Записи дублируются в стандартном Event Log-е в читаемом формате. <br>&gt;&gt;2. Есть парсеры, переводящие лог IAS в более читаемый формат. <br>&gt;<br>&gt;Да, с логами разобрался. eventvwr гласит следующее: <br>&gt;Пользователю "administrator" отказано в доступе.<br>&gt;*Apr 16 20:26:14.465: RADIUS: Received from id 1645/56 10.15.0.2:1812, Access-Reject, len<br><br>Создать политику в IAS, которая разрешает доступ.<br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#7 Sat, 07 Jun 2008 09:08:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;и привяжите его к AD. <br>&gt;&gt;&gt;Займёт 5 минут :) <br>&gt;&gt;<br>&gt;&gt;Не дружится. <br>&gt;&gt;718 ошибка. <br>&gt;&gt;IAS запросы принимает, пишет логи, но формат их жесток и не читаем. <br>&gt;&gt;<br>&gt;<br>&gt;1. Записи дублируются в стандартном Event Log-е в читаемом формате. <br>&gt;2. Есть парсеры, переводящие лог IAS в более читаемый формат. <br><br>Да, с логами разобрался. eventvwr гласит следующее:<br>Пользователю "administrator" отказано в доступе.<br> Полное-имя-пользователя = &lt;не определено&gt; <br> NAS-IP-адрес = 10.15.0.1<br> NAS-идентификатор = &lt;нет данных&gt; <br> Идентификатор-вызываемой-станции = &lt;нет данных&gt; <br> Идентификатор-вызывающей-станции = &lt;нет данных&gt; <br> Понятное-имя-клиента = NAME<br> IP-адрес-клиента = 10.15.0.1<br> Тип-NAS-порта = Virtual<br> NAS-порт = 59<br> Имя-политики-прокси = &lt;отсутствует&gt; <br> Поставщик-проверки-подлинности = &lt;не определено&gt; <br> Сервер-проверки-подлинности = &lt;не определено&gt; <br> Имя-политики = &lt;не определено&gt; <br> Тип-проверки-подлинности = &lt;не определено&gt; <br> Тип-EAP = &lt;не определено&gt; <br> Код-причины = 49<br> Причина = П https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#6 Sat, 07 Jun 2008 05:38:38 GMT &gt;&gt;Поднимите IAS (Radius) на Windows-сервере <br>&gt;&gt;и привяжите его к AD. <br>&gt;&gt;Займёт 5 минут :) <br>&gt;<br>&gt;Не дружится. <br>&gt;718 ошибка. <br>&gt;IAS запросы принимает, пишет логи, но формат их жесток и не читаем. <br>&gt;<br><br>1. Записи дублируются в стандартном Event Log-е в читаемом формате.<br>2. Есть парсеры, переводящие лог IAS в более читаемый формат.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#5 Fri, 06 Jun 2008 20:11:59 GMT &gt;Поднимите IAS (Radius) на Windows-сервере <br>&gt;и привяжите его к AD. <br>&gt;Займёт 5 минут :) <br><br>Не дружится.<br>718 ошибка.<br>IAS запросы принимает, пишет логи, но формат их жесток и не читаем.<br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#4 Wed, 28 May 2008 13:00:25 GMT Поднимите IAS (Radius) на Windows-сервере<br>и привяжите его к AD.<br>Займёт 5 минут :)<br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#3 Sat, 17 May 2008 12:09:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Почему? В чём не прав? куда копать? <br>&gt;&gt;<br>&gt;&gt;Все какраз правильно назначается. <br>&gt;&gt;Хотите назначить другой ДНС? <br>&gt;&gt;на Virtual-Template1 <br>&gt;&gt;ppp ipcp dns <br>&gt;&gt;<br>&gt;&gt;маска такая т.к. интерфейс-то ppp а не широковещательный. <br>&gt;<br>&gt;Для меня важны ДНС сервера. <br><br>Спасибо, за внимание, проблема разрешилась.<br><br>Но назрел другой вопрос:<br>Очень не хочется заводить каждого удалённого пользователя на Cisco. Можно как вариант поднять Radius, но интересует может ли Cisco аутентифицировать пользователей через AD. Ибо AD всё равно стоит и работает.<br><br>Спасибо. <br> https://mobile.opennet.me/openforum/vsluhforumID6/16255.html#2 Tue, 13 May 2008 18:21:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Тоесть АДРЕС назначается из правильного пула, а вот остальное (DNS, GW, MASK) <br>&gt;&gt;назначается не пойми как. <br>&gt;&gt;Почему? В чём не прав? куда копать? <br>&gt;<br>&gt;Все какраз правильно назначается. <br>&gt;Хотите назначить другой ДНС? <br>&gt;на Virtual-Template1 <br>&gt;ppp ipcp dns <br>&gt;<br>&gt;маска такая т.к. интерфейс-то ppp а не широковещательный. <br><br>Для меня важны ДНС сервера.<br>