Easy VPN με FreeRadius

[d.stathopoulos]

Καλησπέρα,

Προσπαθώ να configurάρω ένα 1841 με EasyVPN - αλλά θέλω το Phase 2 να γίνει από τον freeradius:

το config μου:

Κώδικας:

Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# ip local pool VPNCLIENTS 172.16.2.100 172.16.2.200
Router(config)# aaa authorization network VPNAUTH local
Router(config)# crypto isakmp policy 10
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption aes 256
Router(config-isakmp)# group 2

Router(config)# crypto isakmp client configuration group ciscogroup
Router(config-isakmp-group)# key ΧΧΧΧ
Router(config-isakmp-group)# pool VPNCLIENTS
Router(config-isakmp-group)# acl 100
Router(config-isakmp-group)# netmask 255.255.255.0
Router(config)# access-list 100 permit ip 172.16.2.0 0.0.0.255 any

Router(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
Router(config)# crypto dynamic-map mymap 10
Router(config-crypto-map)# set transform-set mytrans
Router(config-crypto-map)# reverse-route

Router(config)# crypto map mymap client configuration address respond
Router(config)# crypto map mymap isakmp authorization list VPNAUTH
Router(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

Router(config)#int Dialer 0 
Router(config-if)#crypto map mymap

Router(config)# crypto isakmp keepalive 30 5
Router(config)# aaa authentication login VPNAUTH radius

Router(config)# crypto isakmp xauth timeout 60
Router(config)# crypto map mymap client authentication list VPNAUTH

Η απορία μου είναι αν αυτό το κομμάτι:

Κώδικας:

Router(config)# crypto isakmp client configuration group ciscogroup
Router(config-isakmp-group)# key ΧΧΧΧ
Router(config-isakmp-group)# pool VPNCLIENTS
Router(config-isakmp-group)# acl 100
Router(config-isakmp-group)# netmask 255.255.255.0
Router(config)# access-list 100 permit ip 172.16.2.0 0.0.0.255 any

μπορεί να αντικατασταθεί ουτώς ώστε το key να το δίνει ο freeradius;

[lacacitos]

Δεν το έχω κάνει ποτέ, αλλά ρίξε μια ματιά εδώ:
http://www.cisco.com/c/en/us/td/docs...0-E1352BA0A202

Φαίνεται να είναι αυτό που θες

[nextp]

Αυτές τις ημέρες και εγώ προσπαθώ να κάνω το ίδιο . Δεν έχω βρεί ακόμη άκρη.
Μάλιστα ο NAP (2008 r2) μου δίνει error για discard του χρήστη διότι δεν μπορεί να κάνει validate το eap method που κάνει authorize.
Απο ότι φαίνεται είναι περίπλοκο.

Με Ipsec / vpn είναι εύκολο και γρήγορο αλλά με το eay vpn που θέλω και εγώ - όπως και εσύ να το κάνουμε - θέλει και κάτι ακόμη.

αυριο θα δοκιμασω αυτο

Configuring Preshared Keys Using a AAA Server Example

The following example shows how to configure a dynamic crypto map that will query a AAA server for a preshared key:
aaa new-model

aaa authorization network mylist group radius



!This defines the AAA server used for authorization.



crypto dynamic-map foo 10

set security-association lifetime seconds 120

set transform-set proposal1 proposal2

!

crypto map foo isakmp authorization list mylist

crypto map foo 10 ipsec-isakmp dynamic foo



! This sets up a dynamic crypto-map, which will query AAA for a shared secret.

[d.stathopoulos]

Καλημέρα,

προς το παρόν τα references που έχω βρεί είναι τα παρακάτω:

http://blog.ine.com/2009/05/18/under...authorization/
http://osdir.com/ml/freeradius.user/.../msg00371.html
http://stevehaskew.blogspot.gr/2014/...reeradius.html
https://www.reddit.com/r/networking/...nticate_using/
https://supportforums.cisco.com/docu...-secure-acs-5x

Τα καλύτερα είναι τα 3 τελευταία - παρ' όλα αυτά δεν μπορώ να configurάρω σωστά το Phase 2

[lacacitos]

Σε αυτό το config που έχεις αρχικά, έχει αυτό:

Κώδικας:

aaa authorization network VPNAUTH local

και πιο κάτω:

Κώδικας:

crypto map mymap isakmp authorization list VPNAUTH

Νομίζω ότι είναι σαν ζητάς να πάρει το config από local και όχι από το radius.
Μάλλον θα έπρεπε να είναι:

Κώδικας:

aaa authorization network VPNAUTH group radius

Αν μπορείς βάλε κάτι σαν debug aaa authorization , debug radius authorization να δεις αν τουλάχιστον προσπαθεί να πάει στο radius