Добрый день!
Нуждаюсь в помощи, голова уже гудит от неразделенной любви, помогите!
Суть:
Настраиваю аутентификацию и авторизацию на Cisco с помощью Radius-сервера.
1. Настраиваю AAA-группу на Cisco (пусть ME 3400): aaa group server radius MGMT
server-private x.x.x.x auth-port 1812 acct-port 1813 key cisco
ip vrf forwarding MGMT
ip radius source-interface VlanX
Интерфейс VlanX также находится в vrf MGMT и имеет адрес y.y.y.y/z
Вообще говоря, radius-сервер находится в другом vrf. Маршрутизация между vrf настроена и эхо-запросы получают эхо-ответы: ме3400#ping vrf MGMT x.x.x.x
!!!!!
2. Radius - FreeRADIUS Version 2.1.12. client y.y.y.0/z {
secret = cisco
shortname = internal
nastype = other
}
А также слушает все IP-адреса своих интерфейсов.
3. В iptables добавлены необходимые разрешающие правила.
Сначала думал, что всё-таки накосячил с маршрутизацией между vrf. Но нет, radius-запросы доходят до сервера: 11:14:07.384541 IP (tos 0x0, ttl 254, id 63552, offset 0, flags [none], proto: UDP (17), length: 111) y.y.y.y.datametrics > x.x.x.x.radius: RADIUS, length: 83
Access Request (1), id: 0x47, Authenticator: 561ac6bf8539d0792e6fc450b30a5199
Username Attribute (1), length: 6, Value: cisco
Password Attribute (2), length: 18, Value:
NAS Port Attribute (5), length: 6, Value: 3
Но во время дебага radiusd -X, никаких эмоций полученные запросы не вызывают у сервера...
Дебаг на cisco это подтверждает: Nov 17 11:39:35 3206: 3w1d: RADIUS(00000053): Send Access-Request to x.x.x.x:1812 id 1645/82, len 84
Nov 17 11:39:35 3207: 3w1d: RADIUS: authenticator 7E 4A 02 67 7A D0 2B CF - 7D 4E 79 28 16 24 BB 9A
Nov 17 11:39:35 3208: 3w1d: RADIUS: User-Name [1] 6 "cisco"
Nov 17 11:39:35 3209: 3w1d: RADIUS: User-Password [2] 18 *
Nov 17 11:39:36 3210: 3w1d: RADIUS: NAS-Port [5] 6 3
Nov 17 11:39:36 3211: 3w1d: RADIUS: NAS-Port-Id [87] 6 "tty3"
Nov 17 11:39:36 3212: 3w1d: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Nov 17 11:39:36 3214: 3w1d: RADIUS: NAS-IP-Address [4] 6 y.y.y.y
Nov 17 11:39:41 3215: 3w1d: RADIUS: Retransmit to (x.x.x.x:1812,1813) for id 1645/82
Nov 17 11:39:45 3216: 3w1d: RADIUS: Retransmit to (x.x.x.x:1812,1813) for id 1645/82
Nov 17 11:39:49 3217: 3w1d: RADIUS: Retransmit to (x.x.x.x:1812,1813) for id 1645/82
Nov 17 11:39:54 3218: 3w1d: RADIUS: No response from (x.x.x.x:1812,1813) for id 1645/82
Кульминация всего: при использовании другой подсети без vrf и с аналогичными настройками всё работает.
Необходимо уговорить работать при таких условиях (в отдельном vrf).
Поделитесь опытом, где надо что-то подкрутить?
Таки дело было не в бобине, или почти не в ней. Я понадеялся на строчку:
-A -p udp -m state --state NEW -m udp --sport 1812 -j ACCEPT
Невнимательность.
Вопрос закрыт. Всем спасибо!
Простой
