PDA

Επιστροφή στο Forum : Easy VPN με FreeRadius



d.stathopoulos
15-08-15, 21:26
Καλησπέρα,

Προσπαθώ να configurάρω ένα 1841 με EasyVPN - αλλά θέλω το Phase 2 να γίνει από τον freeradius:

το config μου:


Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# ip local pool VPNCLIENTS 172.16.2.100 172.16.2.200
Router(config)# aaa authorization network VPNAUTH local
Router(config)# crypto isakmp policy 10
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption aes 256
Router(config-isakmp)# group 2

Router(config)# crypto isakmp client configuration group ciscogroup
Router(config-isakmp-group)# key ΧΧΧΧ
Router(config-isakmp-group)# pool VPNCLIENTS
Router(config-isakmp-group)# acl 100
Router(config-isakmp-group)# netmask 255.255.255.0
Router(config)# access-list 100 permit ip 172.16.2.0 0.0.0.255 any

Router(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
Router(config)# crypto dynamic-map mymap 10
Router(config-crypto-map)# set transform-set mytrans
Router(config-crypto-map)# reverse-route

Router(config)# crypto map mymap client configuration address respond
Router(config)# crypto map mymap isakmp authorization list VPNAUTH
Router(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

Router(config)#int Dialer 0
Router(config-if)#crypto map mymap

Router(config)# crypto isakmp keepalive 30 5
Router(config)# aaa authentication login VPNAUTH radius

Router(config)# crypto isakmp xauth timeout 60
Router(config)# crypto map mymap client authentication list VPNAUTH



Η απορία μου είναι αν αυτό το κομμάτι:


Router(config)# crypto isakmp client configuration group ciscogroup
Router(config-isakmp-group)# key ΧΧΧΧ
Router(config-isakmp-group)# pool VPNCLIENTS
Router(config-isakmp-group)# acl 100
Router(config-isakmp-group)# netmask 255.255.255.0
Router(config)# access-list 100 permit ip 172.16.2.0 0.0.0.255 any


μπορεί να αντικατασταθεί ουτώς ώστε το key να το δίνει ο freeradius;

lacacitos
27-08-15, 19:47
Δεν το έχω κάνει ποτέ, αλλά ρίξε μια ματιά εδώ:
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_esyvpn/configuration/15-mt/sec-easy-vpn-15-mt-book/sec-easy-vpn-srvr.html#GUID-AEFC477C-5CF2-4327-8FE0-E1352BA0A202

Φαίνεται να είναι αυτό που θες

nextp
27-08-15, 21:13
Αυτές τις ημέρες και εγώ προσπαθώ να κάνω το ίδιο . Δεν έχω βρεί ακόμη άκρη.
Μάλιστα ο NAP (2008 r2) μου δίνει error για discard του χρήστη διότι δεν μπορεί να κάνει validate το eap method που κάνει authorize.
Απο ότι φαίνεται είναι περίπλοκο.

Με Ipsec / vpn είναι εύκολο και γρήγορο αλλά με το eay vpn που θέλω και εγώ - όπως και εσύ να το κάνουμε - θέλει και κάτι ακόμη.

αυριο θα δοκιμασω αυτο

Configuring Preshared Keys Using a AAA Server ExampleThe following example shows how to configure a dynamic crypto map that will query a AAA server for a preshared key:
aaa new-model

aaa authorization network mylist group radius



!This defines the AAA server used for authorization.



crypto dynamic-map foo 10

set security-association lifetime seconds 120

set transform-set proposal1 proposal2

!

crypto map foo isakmp authorization list mylist

crypto map foo 10 ipsec-isakmp dynamic foo



! This sets up a dynamic crypto-map, which will query AAA for a shared secret.

d.stathopoulos
28-08-15, 09:06
Καλημέρα,

προς το παρόν τα references που έχω βρεί είναι τα παρακάτω:

http://blog.ine.com/2009/05/18/understanding-external-easy-vpn-authorization/
http://osdir.com/ml/freeradius.user/2003-05/msg00371.html
http://stevehaskew.blogspot.gr/2014/09/cisco-ezvpn-with-freeradius.html
https://www.reddit.com/r/networking/comments/36qpxy/cisco_easy_vpn_how_to_authenticate_using/
https://supportforums.cisco.com/document/58091/exploring-remote-access-vpn-easy-vpn-cisco-router-cisco-secure-acs-5x

Τα καλύτερα είναι τα 3 τελευταία - παρ' όλα αυτά δεν μπορώ να configurάρω σωστά το Phase 2

lacacitos
01-09-15, 23:27
Σε αυτό το config που έχεις αρχικά, έχει αυτό:

aaa authorization network VPNAUTH local
και πιο κάτω:

crypto map mymap isakmp authorization list VPNAUTH
Νομίζω ότι είναι σαν ζητάς να πάρει το config από local και όχι από το radius.
Μάλλον θα έπρεπε να είναι:

aaa authorization network VPNAUTH group radius
Αν μπορείς βάλε κάτι σαν debug aaa authorization , debug radius authorization να δεις αν τουλάχιστον προσπαθεί να πάει στο radius

@ ADSLgr.com All rights reserved.