cisco 28xx easy vpn server & MS NPS (RADIUS server)

mb0000002 — Mon, 11 Mar 2019 03:40:01 GMT

Здравстуйте.

Имеется LAN (192.168.11.0/24) с граничным роутером cisco 2821 (192.168.11.1), на котором настроен Easy VPN Server с локальной авторизацией удаленных пользователей, использующих для подключения Cisco VPN Client v 5.0. Все работает. В той же LAN имеется MS Windows Server 2012 Essensial в качестве DC AD.

Возникла необходимость перенести авторизацию удаленных пользователей на RADIUS сервер. В качестве RADIUS сервера хочется использовать MS Network Policy Server (NPS) 2012 Essensial (192.168.11.9).

На сервере поднята соответствующая политика, NPS сервер зарегистрирован в AD, создан RADIUS-клиент (192.168.11.1), настроена Сетевая политика. В AD создана группа VPN-USERS, в которую помимо удаленных пользователей добавлен служебный пользователь EasyVPN с паролем "cisco".

-----------

Ниже выдежка из сонфига cisco 2821:

aaa new-model

aaa authentication login rausrs local

aaa authentication login VPN-XAUTH group radius

aaa authorization network ragrps local

aaa authorization network VPN-GROUP local

aaa session-id common

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 2

crypto isakmp client configuration address-pool local RAPOOL

crypto isakmp client configuration group ra1grp

key key-for-remote-access

domain domain.local

pool RAPOOL

acl split-acl

split-dns 192.168.11.9

crypto isakmp client configuration group EasyVPN

key qwerty123456

domain domain.local

pool RAPOOL

acl split-acl

split-dns 192.168.11.9

crypto isakmp profile RA-profile

description profile for remote access VPN

match identity group ra1grp

client authentication list rausrs

isakmp authorization list ragrps

client configuration address respond

crypto isakmp profile VPN-IKMP-PROFILE

description profile for remote access VPN via RADIUS

match identity group EasyVPN

client authentication list VPN-XAUTH

isakmp authorization list VPN-GROUP

client configuration address respond

crypto ipsec transform-set tset1 esp-aes esp-sha-hmac

crypto dynamic-map dyn-cmap 100

set transform-set tset1

set isakmp-profile RA-profile

reverse-route

crypto dynamic-map dyn-cmap 101

set transform-set tset1

set isakmp-profile VPN-IKMP-PROFILE

reverse-route

crypto map stat-cmap 100 ipsec-isakmp dynamic dyn-cmap

int Gi0/1

descrition -- to WAN --

crypto map stat-cmap

--------

В результате на cisco вылезает следующая ошибка (выделено жирным😞

RADIUS/ENCODE(000089E0):Orig. component type = VPN_IPSEC

RADIUS: AAA Unsupported Attr: interface [157] 14

RADIUS: 31 39 34 2E 38 38 2E 31 33 39 2E 31 [194.88.139.1]

RADIUS(000089E0): Config NAS IP: 192.168.11.1

RADIUS/ENCODE(000089E0): acct_session_id: 35296

RADIUS(000089E0): sending

RADIUS(000089E0): Send Access-Request to 192.168.11.9:1645 id 1645/61, len 103

RADIUS: authenticator 4A B1 DB 2D B7 58 B2 BF - 7F 12 6F 96 01 99 32 91

RADIUS: User-Name [1] 9 "EasyVPN"

RADIUS: User-Password [2] 18 *

RADIUS: Calling-Station-Id [31] 16 "aaa.bbb.ccc.137"

RADIUS: NAS-Port-Type [61] 6 Virtual [5]

RADIUS: NAS-Port [5] 6 1

RADIUS: NAS-Port-Id [87] 16 "aaa.bbb.ccc.136"

RADIUS: Service-Type [6] 6 Outbound [5]

RADIUS: NAS-IP-Address [4] 6 192.168.11.1

RADIUS: Received from id 1645/61 192.168.11.9:1645, Access-Reject, len 20

RADIUS: authenticator A8 08 69 44 44 8B 13 A5 - 06 C2 95 8D B4 C4 E9 01

RADIUS(000089E0): Received from id 1645/61

-------

MS NAS выдает ошибку 6273:

Сервер сетевых политик отказал пользователю в доступе.

За дополнительными сведениями обратитесь к администратору сервера сетевых политик.

Пользователь:

ИД безопасности: domain\VladimirK

Имя учетной записи: VladimirK

Домен учетной записи: domain

Полное имя учетной записи: domain.local/Users/VladimirK

Компьютер клиента:

ИД безопасности: NULL SID

Имя учетной записи: -

Полное имя учетной записи: -

Версия ОС: -

Идентификатор вызываемой станции: -

Идентификатор вызывающей станции: aaa.bbb.ccc.137

NAS:

Адрес IPv4 NAS: 192.168.11.1

Адрес IPv6 NAS: -

Идентификатор NAS: -

Тип порта NAS: Виртуальная

Порт NAS: 0

RADIUS-клиент:

Понятное имя клиента: Cisco2821

IP-адрес клиента: 192.168.11.1

Сведения о проверке подлинности:

Имя политики запроса на подключение: Использовать проверку подлинности Windows для всех пользователей

Имя сетевой политики: Подключения к другим серверам доступа

Поставщик проверки подлинности: Windows

Сервер проверки подлинности: DC01.domain.local

Тип проверки подлинности: PAP

Тип EAP: -

Идентификатор сеанса учетной записи: -

Результаты входа в систему: Сведения об учетных данных были записаны в локальный файл журнала.

Код причины: 66

Причина: Пользователь пытался применить способ проверки подлинности, не включенный в соответствующей сетевой политике.

------------

Игры с Cisco AV Pairs и прочими параметрами настройки Сетевой политики на RADIUS выдают аналогичный результат.

Штудирование "Network Policy Server Technical Reference" и "Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication" Document ID: 21060 ответа не дали.

Если кто практиковал подобное, прошу дать направление для поиска решения.

Re: cisco 28xx easy vpn server & MS NPS (RADIUS server)

Jatin Katyal — Thu, 18 Jul 2013 21:10:52 GMT

Going through your post, I could see that radius is sending access-reject because radius access-request is sending a vpn group name in the user name field. I was in a discussion of same problem few days before and that got resolved by making 2 changes.

replace the authorization from radius to local

and

changing the encryption type in transform set

However, in your configuration, your configuration already have those changes.

Here you can check the same : https://supportforums.cisco.com/thread/2226065

Could you please tell me what exactly radius server complaining? Can you please paste the error you're getting on the radius server.

~BR
Jatin Katyal

**Do rate helpful posts**

Re: cisco 28xx easy vpn server & MS NPS (RADIUS server)

mb0000002 — Fri, 19 Jul 2013 09:26:24 GMT

Причиной появления сообщения:

RADIUS: Received from id 1645/61 192.168.11.9:1645, Access-Reject, len 20

была неправильная настройка MS NPS (политика для RADIUS находилась в конце списка и перекрывалась действием вышестоящих политик).

Подробности настройки связки Сisco28xx - MS NPS RADIUS можно посмотреть здесь: http://anticisco.ru/forum/viewtopic.php?f=2&t=5530&p=41885#p41885

topic Re: cisco 28xx easy vpn server & MS NPS (RADIUS server) in Network Access Control

cisco 28xx easy vpn server & MS NPS (RADIUS server)

Re: cisco 28xx easy vpn server & MS NPS (RADIUS server)

Re: cisco 28xx easy vpn server & MS NPS (RADIUS server)