Автор Тема: Cisco rv 345 radius login  (Прочетена 12492 пъти)

boiko_tri

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Cisco rv 345 radius login
« -: Nov 22, 2019, 10:56 »
Здравейте колеги,
Имам следния проблем  значи до скоро имахме над 300 rv345 бройки работата им да вдигнат по 10 site-to-site- vpn тунела и всичко работи нямат проблем.
За логини ползваме FreeRadius (freeradius-2.2.6-7.)   и тук всичко работеше с този Firmware Version: 1.0.00.33 .
Обаче от както го update на  Firmware Version:      1.0.03.15  логина умря  и не могат да се логнат  . Примерно basic конфигурацията при която работи   логина на стария   Firmware  e
client.conf

client 192.168.90.1 {
secret = key
nastype = cisco
shortname = parking
}

user.conf
parking Cleartext-Password := "parking"
       Service-Type = NAS-Prompt-User,
       Cisco-AVPair = "shell:priv-lvl=15",
      

Лично аз смятам ,че проблема е в некви групи  но вече ден го боря и не виждам  светлина ;). Да ако някой може да помогне с неква конфигурацията с радост бих я пробвал.








rad_recv: Access-Request packet from host 192.168.90.1 port 58606, id=107, length=78
        User-Name = "test"
        User-Password = "test"
        NAS-IP-Address = 192.168.90.1
        NAS-Identifier = "weblogin"
        NAS-Port = 22553
        NAS-Port-Type = Virtual
        Service-Type = Authenticate-Only
# Executing section authorize from file /etc/raddb/sites-enabled/default
+group authorize {
++[preprocess] = ok
++[chap] = noop
++[mschap] = noop
++[digest] = noop
[suffix] No '@' in User-Name = "test", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] = noop
[eap] No EAP-Message, not doing EAP
++[eap] = noop
[files] users: Matched entry test at line 200
++[files] = ok
++[expiration] = noop
++[logintime] = noop
++[pap] = updated
+} # group authorize = updated
Found Auth-Type = PAP
# Executing group from file /etc/raddb/sites-enabled/default
+group PAP {
[pap] login attempt with password "test"
[pap] Using clear text password "test"
[pap] User authenticated successfully
++[pap] = ok
+} # group PAP = ok
# Executing section post-auth from file /etc/raddb/sites-enabled/default
+group post-auth {
++[exec] = noop
+} # group post-auth = noop
Sending Access-Accept of id 107 to 192.168.90.1 port 58606
        User-Service-Type = Login-User
        Fortinet-Group-Name = "GRP-one"
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 2 ID 107 with timestamp +817
Ready to process requests.
Активен

10101

  • Напреднали
  • *****
  • Публикации: 384
  • Distribution: GNU LINUX
    • Профил
Re: Cisco rv 345 radius login
« Отговор #1 -: Nov 22, 2019, 12:55 »
Radius-a пуска...както знаеш
по-скоро проблема е в другата страна.
Не харесва някой атрибут.
Лог от него?
Можеш ли да покажеш от radreply attribute op value ?
radusergroup ? Това ако ползваш класическия.
Пробвай да промениш от Login-User на Shell-User?
Предлагам Shell-User защото пък в конф-а даваш privilege 15, и група фортинет.


 
« Последна редакция: Nov 22, 2019, 12:59 от 10101 »
Активен

А печат ?

boiko_tri

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Re: Cisco rv 345 radius login
« Отговор #2 -: Nov 25, 2019, 09:00 »
Здравей вдигнах един syslog i при логин ми показва това


2019-11-25T06:58:27+00:00 router348192 weblogin - - [meta sequenceId="195"] pam_radius_auth: User test authentication succeeded

2019-11-25T06:58:27+00:00 router348192 weblogin - - [meta sequenceId="196"] Localdb:authorization failed as group is NULL

2019-11-25T06:58:27+00:00 router348192 jsonrpc - - [meta sequenceId="197"] User test login fail from 192.168.90.145
Активен

10101

  • Напреднали
  • *****
  • Публикации: 384
  • Distribution: GNU LINUX
    • Профил
Re: Cisco rv 345 radius login
« Отговор #3 -: Nov 25, 2019, 09:36 »
Като гледам си писал и на cisco ама все 5
https://community.cisco.com/t5/small-business-routers/rv345-radius-setup/td-p/3803039

Според мен трябва да си по тестваш докато пробиеш.
Отделно не си дал никаква част от това което по исках, не каза дали пробва с различни атрибути и т.н
Активен

А печат ?

boiko_tri

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Re: Cisco rv 345 radius login
« Отговор #4 -: Nov 25, 2019, 11:13 »
Здравей.
С нищо друго не съм пробвал всичко е по default . За сега  ще оставя така нещата   ще си ползвам стария firmware  ot 2018
« Последна редакция: Nov 25, 2019, 12:22 от boiko_tri »
Активен

10101

  • Напреднали
  • *****
  • Публикации: 384
  • Distribution: GNU LINUX
    • Профил
Re: Cisco rv 345 radius login
« Отговор #5 -: Nov 27, 2019, 14:38 »
Лесно се отказа :)

http://freeradius.1045715.n5.nabble.com/Class-attributes-td5747863.html
Активен

А печат ?

boiko_tri

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Re: Cisco rv 345 radius login
« Отговор #6 -: Nov 29, 2019, 10:55 »
Здравейте ,
Проблема е решен значи първо трябва да създадем група в cisco-to да кажем  readonly на тази група и даваме права каквито ползволява cisoc-to да кажем в моя случай weblogin  readonly.
След това отиваме в конфигурационния файл    и добавяме това Class =readonly  ,  ако групата в циското е с друго име и класа променяме.

Userreadonly Cleartext-Password := "passreadonly"
       Service-Type = NAS-Prompt-User,
      Class = admin,
       Cisco-AVPair = "shell:roles=network-admin vdc-admin vdc-operator"
Да ни е честито :)
Активен

10101

  • Напреднали
  • *****
  • Публикации: 384
  • Distribution: GNU LINUX
    • Профил
Re: Cisco rv 345 radius login
« Отговор #7 -: Nov 29, 2019, 21:39 »
Заслужих ли бира? Или заслугата е изцяло твоя :))
 [_]3 [_]3 [_]3
Активен

А печат ?

boiko_tri

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Re: Cisco rv 345 radius login
« Отговор #8 -: Dec 02, 2019, 20:53 »
Принципно да понеже ме насочи а това е 95 процента от работата :) в моя случай проба грешка и хоп бам бум
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
radius+ppp
Хардуерни и софтуерни проблеми
hipo 0 1545 Последна публикация Dec 24, 2002, 12:22
от hipo
IC RADIUS
Хардуерни и софтуерни проблеми
casic 0 1882 Последна публикация Dec 31, 2002, 14:17
от casic
IC-Radius проблем
Хардуерни и софтуерни проблеми
alex_c 0 1719 Последна публикация Oct 02, 2003, 10:45
от alex_c
RADIUS ???
Хардуерни и софтуерни проблеми
MGP 1 1966 Последна публикация Oct 10, 2005, 11:35
от Agent_SMITH
помощ за radius сървер
Настройка на програми
wasil2007 1 2248 Последна публикация Feb 20, 2007, 09:21
от nix