Авторизация на оборудовании через Radius проходит не с первого раза?

Question

[Алексей]

Добрый день.
Имеется:
AD
Radius сервер
Сетевое оборудование

На сетевом оборудовании настроена авторизация через Radius c AD. С недавних пор при попытках зайти на оборудование это происходит либо очень долго, либо не с первого раза.
Маршруты посмотрел, с виду все как и раньше, но может быть что то упустил.
На Radius-сервере запустил TCPDUMP, вот вывод:

10:47:05.565120 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x05 length: 137

10:47:10.549474 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x05 length: 137

10:47:15.549875 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x05 length: 137

10:47:20.550572 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x05 length: 137

10:47:33.549433 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x06 length: 137

10:47:38.534584 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x06 length: 137

10:47:41.167917 IP 10.10.20.30.1812 > 10.10.10.22.1812: RADIUS, Access-Accept (2), id: 0x05 length: 51

10:47:41.226837 IP 10.10.20.30.1812 > 10.10.10.22.1812: RADIUS, Access-Accept (2), id: 0x06 length: 51

Если посмотреть на время, видно что все это занимает около минуты, что очень долго..
В нормальной же ситуации он выглядит так:

10:48:37.549433 IP 10.10.10.22.1812 > 10.10.20.30.1812: RADIUS, Access-Request (1), id: 0x06 length: 137

10:48:37.534584 IP 10.10.20.30.1812 > 10.10.10.22.1812: RADIUS, Access-Accept (2), id: 0x06 length: 51

После такой долгой попытки зайти, последующие попытки зайти на этот коммутатор будут сразу успешными еще какое то время.

Может быть кто то сталкивался или подскажите куда смотреть. Спасибо.

Логи с RADIUS в то же время.

Wed Oct 27 10:47:10 2021 : Error: (53) Ignoring duplicate packet from client CLIENT port 1812 - ID: 5 due to unfinished request in component authenticate module pam

Wed Oct 27 10:47:15 2021 : Error: (53) Ignoring duplicate packet from client CLIENT  port 1812 - ID: 5 due to unfinished request in component authenticate module pam

Wed Oct 27 10:47:20 2021 : Error: (53) Ignoring duplicate packet from client CLIENT  port 1812 - ID: 5 due to unfinished request in component authenticate module pam

Wed Oct 27 10:47:38 2021 : Error: (54) Ignoring duplicate packet from client CLIENT  port 1812 - ID: 6 due to unfinished request in component authenticate module pam

Wed Oct 27 10:47:41 2021 : Auth: (53) Login OK: [pupkin_vv] (from client CLIENT  port 0 cli 10.30.6.31)

Wed Oct 27 10:47:41 2021 : Auth: (54) Login OK: [pupkin_vv] (from client CLIENT  port 0 cli 10.30.6.31)

Comments

[Valentin Barbolin]

Надо смотреть на LOG радиус сервера.

[Gansterito]

RADIUS сервер не отвечает. Возможно, используется неверный secret. Надо логи смотреть.

[Алексей]

Gansterito, Так если бы secret был другим я бы вообще не мог авторизоваться, а тут это происходит но с задержкой. Добавил логи в то же время.

[Gansterito]

Алексей, более ранний лог есть?

[Gansterito]

Алексей, и вообще, это, видимо, FreeRADIUS. Как он привязан к AD?

[Алексей]

Gansterito, Верно, FreeRadius. Kerberos и PAM.
Авторизация проходит как нужно. Вот конец вывода с дебагом:

(0) Sent Access-Accept Id 2 from 10.20.30.22:1812 to 10.10.11.60:1812 length 0

(0)   Cisco-AVPair = "shell:priv-lvl=15"

(0)   Service-Type = Administrative-User

(0) Finished request

Waking up in 4.9 seconds.

(0) Sending duplicate reply to client Client port 1812 - ID: 2

Waking up in 9.9 seconds.

(0) Sending duplicate reply to client Client port 1812 - ID: 2

Waking up in 19.9 seconds.

(0) Sending duplicate reply to client Client port 1812 - ID: 2

Waking up in 39.9 seconds.

В этот раз не подключился, через секунду снова делаю коннект и подключаюсь. + В этом выводе Sending duplicate reply to client . В повторном уже нет. Лог есть, но что именно оттуда нужно, очень большой просто файл.