2022年1月28日 (初版)
| TAC SR Collection |
| 主な問題 |
vManage 等で、tunnel-interface 設定のある interface 経由で RADIUS/TACACS+ 等のサーバ認証を行おうとすると認証に失敗する。 その際、下記のようなメッセージが記録されている。
vManage kernel: "iptables-dropped:"IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx src=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=xx TOS=0x00 PREC=0x00 TTL=xx ID=xxxx PROTO=UDP SPT=xxxx DPT=xxxx LEN=xx
|
| 原因 |
tunnel-interface 配下に allow-service all を設定していない。
tunnel-interface では許可するサービスを allow-service コマンドで指定することができますが、RADIUS/TACACS+ に対応する個別のオプションはないため、これらを許可したい場合には allow-service all を設定する必要があります。
|
| 解決策 |
認証時に経由したい interface の tunnel-interface 配下に allow-service all を設定する。
または、tunnel-interface 設定を持たない interface を経由して認証する。
WAN Edge の場合は allow-service all 設定の代わりに、 interface に適用する ACL で RADIUS/TACACS+ ポートを明示的に許可することも可能です。
|
備考
各製品の TAC SR Collection の一覧は、よくある質問と解決方法 (TAC SR Collection) から確認できます。
