CISCO Router con VPN IPSEC + RADIUS IAS
Inviato: lun 17 mar , 2008 6:50 pm
Ho configurato un 857 per accettare VPN IPSEC con autenticazione su Radius Ms IAS...fin qui tutto bene...il problema è che le password degli utenti che si collegano,debbono essere per me sconosciute....poco male pensavo,gliene fornisco una generica con l'obbligo di cambiarla al primo
accesso....e qui scatta il problema...infatti il primo accesso (formalmente) avviene tramite il client VPN Cisco che,a quanto ne so,non ha modo di far cambiare la password a chi si collega....
Il log del radius conferma quello che penso ...infatti mi riporta un " Accesso negato all'utente test..... Reason = L'utente deve cambiare password "
Qualche idea?
Posto la conf del router relativa ai client VPN ed i log del radius Server IAS.
aa new-model
!
!
aaa group server radius IAS
server ip lan server IAS auth-port 1812 acct-port 1813
!
aaa authentication login default group IAS local
aaa authentication login userauthen group IAS local
aaa authorization network VPNGROUP local
!
aaa session-id common
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group VPNGROUP
key 1234key
pool remote-pool
max-users 5
max-logins 3
!
crypto ipsec transform-set VPN-CLI esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI
!
!
crypto map VPN client authentication list userauthen
crypto map VPN isakmp authorization list VPNGROUP
crypto map VPN client configuration address respond
!
crypto map VPN 65535 ipsec-isakmp dynamic remote-dyn
!
radius-server host ip lan server IAS auth-port 1812 acct-port 1813 key ci$co
!
Accesso negato all'utente test.
Fully-Qualified-User-Name = pippopluto.local/test
NAS-IP-Address = ip lan cisco
NAS-Identifier = <non presente>
Called-Station-Identifier = <non presente>
Calling-Station-Identifier = ip pubblico client VPN
Client-Friendly-Name = Cisco
Client-IP-Address = ip lan cisco
NAS-Port-Type = Virtual
NAS-Port = 0
Proxy-Policy-Name = Utilizza autenticazione Windows per tutti gli utenti
Authentication-Provider = Windows
Authentication-Server = <non determinato>
Policy-Name = Cisco VPN IPSEC
Authentication-Type = PAP
EAP-Type = <non determinato>
Reason-Code = 33
Reason = L'utente deve cambiare password
accesso....e qui scatta il problema...infatti il primo accesso (formalmente) avviene tramite il client VPN Cisco che,a quanto ne so,non ha modo di far cambiare la password a chi si collega....
Il log del radius conferma quello che penso ...infatti mi riporta un " Accesso negato all'utente test..... Reason = L'utente deve cambiare password "
Qualche idea?
Posto la conf del router relativa ai client VPN ed i log del radius Server IAS.
aa new-model
!
!
aaa group server radius IAS
server ip lan server IAS auth-port 1812 acct-port 1813
!
aaa authentication login default group IAS local
aaa authentication login userauthen group IAS local
aaa authorization network VPNGROUP local
!
aaa session-id common
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group VPNGROUP
key 1234key
pool remote-pool
max-users 5
max-logins 3
!
crypto ipsec transform-set VPN-CLI esp-3des esp-md5-hmac
!
crypto dynamic-map remote-dyn 10
set transform-set VPN-CLI
!
!
crypto map VPN client authentication list userauthen
crypto map VPN isakmp authorization list VPNGROUP
crypto map VPN client configuration address respond
!
crypto map VPN 65535 ipsec-isakmp dynamic remote-dyn
!
radius-server host ip lan server IAS auth-port 1812 acct-port 1813 key ci$co
!
Accesso negato all'utente test.
Fully-Qualified-User-Name = pippopluto.local/test
NAS-IP-Address = ip lan cisco
NAS-Identifier = <non presente>
Called-Station-Identifier = <non presente>
Calling-Station-Identifier = ip pubblico client VPN
Client-Friendly-Name = Cisco
Client-IP-Address = ip lan cisco
NAS-Port-Type = Virtual
NAS-Port = 0
Proxy-Policy-Name = Utilizza autenticazione Windows per tutti gli utenti
Authentication-Provider = Windows
Authentication-Server = <non determinato>
Policy-Name = Cisco VPN IPSEC
Authentication-Type = PAP
EAP-Type = <non determinato>
Reason-Code = 33
Reason = L'utente deve cambiare password
