D-Link • Просмотр темы - DFL-260 настройка XAUTH

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL-260 настройка XAUTH

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 7 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

vsergeev

Заголовок сообщения: DFL-260 настройка XAUTH

Добавлено: Чт янв 19, 2012 08:19

Зарегистрирован: Вс фев 03, 2008 21:50
Сообщений: 5

Помогите пожалуйста настроить авторизацию через RADIUS, для пользователей IPSec
В настройках тоннеля на вкладке IKE XAuth
указываю Require IKE XAuth user authentication for inbound IPsec tunnels,
В External User Databases добавляю RADIUS server
User Authentication Rules добавляю правило для агента XAUTH
На windows server установлен IAS подозреваю что дело в нем, каких-то специальных настроек он требует?

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL-260 настройка XAUTH

Добавлено: Чт янв 19, 2012 22:29

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

В теории на DFL все верно
Смотрите логи

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

vsergeev

Заголовок сообщения: Re: DFL-260 настройка XAUTH

Добавлено: Вт янв 24, 2012 22:43

Зарегистрирован: Вс фев 03, 2008 21:50
Сообщений: 5

system log:

Цитата:

User test was denied access.
Fully-Qualified-User-Name = Company\test
NAS-IP-Address = <not present>
NAS-Identifier = Clavister
Called-Station-Identifier = <not present>
Calling-Station-Identifier = <not present>
Client-Friendly-Name = Dlink DFL-260e
Client-IP-Address = 192.168.0.154
NAS-Port-Type = Virtual
NAS-Port = 0
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = Authentication was not successful because an unknown user name or incorrect password was used.

предполагаю что не применяется политика Remote Access но вот почему она не применяется не понятно...
В IAS Remote Access Policy добавлена Client-Friendly-Name matches "Dlink DFL-260e"

Вернуться наверх

vsergeev

Заголовок сообщения: Re: DFL-260 настройка XAUTH

Добавлено: Вт янв 31, 2012 22:49

Зарегистрирован: Вс фев 03, 2008 21:50
Сообщений: 5

как выяснилось ошибка при установке тоннеля.
Вопрос:
кто знает где dlink берет ID который выделен красным? вторая фаза установки тоннеля спотыкается видимо из-за этого,
хотя первая (выделено синим) проходит нормально....

Цитата:

ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xa0bb8193, AH=0x54241066, IPComp=0x3cd145e"
2012-01-31
23:33:53 Warning IPSEC
1802022

ike_sa_failed
no_ike_sa
statusmsg="Authentication failed" local_peer="xx.xx.123.130 ID vpn.domian.ru" remote_peer="xx.xx.198.114 ID xx.xx.198.114" initiator_spi="ESP=0xa0bb8193, AH=0x54241066, IPComp=0x3cd145e1"
2012-01-31
23:33:53 Warning IPSEC
1802715

event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-01-31
23:33:51 Info IPSEC
1803023

config_mode_exchange_event
msg="IP address 192.168.37.14/24 assigned for client"
2012-01-31
23:33:51 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="xx.xx.123.130:4500 ID vpn.domian.ru" remote_peer="91.143.38.178:4500 ID client.domian.ru" initiator_spi="e35da97b 43f604b4" responder_spi="86c6d332 5c8dccb6" int_severity=6
2012-01-31
23:33:51 Info IPSEC
1802709

cfgmode_exchange_event
cfgmode=REPLY msg=completed int_severity=6
2012-01-31
23:33:51 Info IPSEC
1802703

ike_sa_negotiation_completed
ike_sa_completed
local_peer="xx.xx.123.130:4500 ID vpn.domian.ru" remote_peer="91.143.38.178:4500 ID client.domian.ru" initiator_spi="e35da97b 43f604b4" responder_spi="86c6d332 5c8dccb6" int_severity=6
2012-01-31
23:33:51 Info IPSEC
1802024

ike_sa_negotiation_completed
options="Responder, NAT-T" mode="Aggressive Mode" auth="Pre-shared keys" encryption=des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=86400

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL-260 настройка XAUTH

Добавлено: Вт янв 31, 2012 23:14

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Я так понимаю, auth failed возникает именно из-за XAuth. Попробуйте отключите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

vsergeev

Заголовок сообщения: Re: DFL-260 настройка XAUTH

Добавлено: Ср фев 01, 2012 08:36

Зарегистрирован: Вс фев 03, 2008 21:50
Сообщений: 5

XAUTH отключен,
Сначала хочу попробовать установить туннель используя только sharedkey

Вернуться наверх

danilovav

Заголовок сообщения: Re: DFL-260 настройка XAUTH

Добавлено: Ср фев 01, 2012 22:15

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

ID с обоих сторон оставьте auto
Если есть Authentication failed, значит какая-то явная авторизация все же есть

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Страница 1 из 1

[ Сообщений: 7 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 343

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения