отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
705
Просмотры
0
Полезный материал
9
Ответы
Denis Ivanov
Beginner

fpr 1120 не подключается к Radius серверу

Добрый день. FPR1120 6.7, настраиваю через FDM. Не могу подключить ни к RADIUS серверу ни к AD Realm. В сети есть две ASA 5505 и 5508, подключаются без проблем. Подключение у FPR настроено по аналогии. Пинг до радиус сервера идет. Что может быть?

9 ОТВЕТ 9
sergeylisitsin
Beginner

Добрый день,

 

Какие ошибки выдаёт? Что в логах?

Я только с асами имел дело... Точнее первое устройство с fdm. Тут у меня не получилось просматривать debug через ssh. На радиус сервере запустит программу мониторига трафика. Во время теста подключения AD Realm - сервер видит попытки подключения с локального адреса fpr. А при тесте подключения к RADIUS серверу - пакеты до сервера вообще не приходят.  И еще, может есть связь. Если я в AD Realm вместо IP указываю имя сервера, мне выскакивает сообщение, что не возможно преобразовать имя в ip, хотя через CLI пинг по имени происходит, т.е. имя преобразует. У меня manager port не подключен к сети, это не может быть причиной? 

Покажите пожалуйста настройки интерфейсов  и RADIUS.

Да, это может быть причиной, так как по умолчанию, пакеты к системным сервисам идут от management интерфейса.

int 1/1 Outside, int 1/2 inside смотрит в локалку - по нему же делаю настройки и он же смотрит на радиус сервер. В настройках радиус подключения указан ip радиус сервера. Порт поменял на 1645 (пробовал и по дефолтному). Пробовал и для VPN only с указанием интерфейса int 1/2 inside. Во время тестовых подключений ни один пакет не пришел к радиус серверу. У АСА в сети с подключениями проблем ни каких нет. А как завернуть пакеты от системных сервисов через порт 1\2? Я вроде как не могу management порт и 1/2 в одну локальную сеть подключить, петля будет?

Нет не каких идей? Не могу запустить в эксплуатацию без RADIUS.

Попробуйте включить дебаг и посмотреть, что происходит во время попытки использования RADIUS. Если я правильно помню, дебаг можно включить из режима диагностической консоли:

system support diagnostic-cli

В этом режиме работают все обычные команды ASA, но конфигурационный режим недоступен.

пробовал. но по ssh не показывает.

Попробовал сеичас и syslog сервер настроить. Так же через iside интерфейс. Не одного пакета не доходит. 

Включите

terminal monitor

Делал. Но опять же по inside порту подключаюсь. 

FPR1120# terminal monitor
Monitor option not supported for the console.

-------------------

Поднят Remote Access VPN, Site to Site VPN. Все работает замечательно. Но обязательно необходима авторизация через RADIUS сервер и в этом какой то затык. Как будто он абсолютно ни какие системные пакеты не хочет через inside отправлять. Уже смерился что не получится и SSL Decryption включить, т.к. в 6.7 отключили возможность в исключения свои url добавлять. А тут еще и с авторизацией проблемы.