Testear aaa radius en cisco IOS

Esta entrada es otro apunte.

En el acceso de clientes por vpn, suelo usar la validación radius contra el active directory, con lo que, para conceder acceso, tan sólo hay que activar en cada usuario el permiso de “marcado”.

Suponemos que tenemos un router con IOS cisco 12.4 y que hemos configurado toda la parte de AAA como de costumbre…. ahora toca depurar…

Desde la consola del router, hacemos:

# terminal monitor
# debug radius

El comando en cuestión es:

test aaa group radius pruebas prueba new-code

Lo que hace es probar el usuario pruebas / password pruebas con la configuración que tengamos en el radius, siendo la definición en el router:

radius-server host 172.26.2.100 auth-port 1812 acct-port 1813
radius-server key clavePrecompartida

Y suponemos que el resto de AAA lo tenemos correcto, teniendo el usuario / password: pruebas/pruebas

router#test aaa group radius pruebas prueba new-code
Trying to authenticate with Servergroup radius

router#Aug 21 21:23:40.506: RADIUS/ENCODE(00000000):Orig. component type = INVALID
Aug 21 21:23:40.506: RADIUS: AAA Unsupported Attr: interface [157] 0
Aug 21 21:23:40.506: RADIUS/ENCODE: Skip encoding 0 length AAA attribute interface
Aug 21 21:23:40.506: RADIUS/ENCODE(00000000): dropping service type, “radius-server attribute 6 on-for-login-auth” is off
Aug 21 21:23:40.506: RADIUS(00000000): Config NAS IP: 0.0.0.0
Aug 21 21:23:40.506: RADIUS(00000000): sending
Aug 21 21:23:40.506: RADIUS/ENCODE: Best Local IP-Address 172.26.2.250 for Radius-Server 172.26.2.100
Aug 21 21:23:40.506: RADIUS(00000000): Send Access-Request to 172.26.2.100:1812 id 1645/230, len 59
Aug 21 21:23:40.506: RADIUS: authenticator 80 B3 48 6D 92 D0 D4 03 – 62 CB A0 57 7B 3F 2E 50
Aug 21 21:23:40.506: RADIUS: User-Password [2] 18 *
Aug 21 21:23:40.506: RADIUS: User-Name [1] 9 “pruebas”
Aug 21 21:23:40.506: RADIUS: NAS-Port [5] 6 60000
Aug 21 21:23:40.506: RADIUS: NAS-IP-Address [4] 6 172.26.2.250
Aug 21 21:23:40.510: RADIUS: Received from id 1645/230 172.26.2.100:1812, Access-Reject, len 20
Aug 21 21:23:40.510: RADIUS: authenticator C0 01 36 A9 46 B2 C0 EA – 1B 61 58 DF 87 C3 9C E4
Aug 21 21:23:40.510: RADIUS(00000000): Received from id 1645/230User rejected

En este caso, el servidor radius nos ha respondido y ha rechazado el usuario, con lo que, tenemos buenas y malas notícias :

– Buena notícia: El router es capaz de llegar al radius y atiende nuestras peticiones, con lo que la clave pre-compartida en principio es correcta.

– Mala notícia: Ha rechazado la petición de nuestro usuario, bien por user / password mal escrito o porque no tiene derecho de “marcado”.

Nos aseguramos del user / pass y lo volvemos a probar:

router#test aaa group radius pruebas pruebas new-code
Trying to authenticate with Servergroup radius
User successfully authenticated

router#
Aug 21 21:28:10.779: RADIUS/ENCODE(00000000):Orig. component type = INVALID
Aug 21 21:28:10.783: RADIUS: AAA Unsupported Attr: interface [157] 0
Aug 21 21:28:10.783: RADIUS/ENCODE: Skip encoding 0 length AAA attribute interface
Aug 21 21:28:10.783: RADIUS/ENCODE(00000000): dropping service type, “radius-server attribute 6 on-for-login-auth” is off
Aug 21 21:28:10.783: RADIUS(00000000): Config NAS IP: 0.0.0.0
Aug 21 21:28:10.783: RADIUS(00000000): sending
Aug 21 21:28:10.783: RADIUS/ENCODE: Best Local IP-Address 172.26.2.250 for Radius-Server 172.26.2.100
Aug 21 21:28:10.783: RADIUS(00000000): Send Access-Request to 172.26.2.100:1812 id 1645/231, len 59
Aug 21 21:28:10.783: RADIUS: authenticator B4 A2 AB 32 2A 2D 2D 94 – 0E 9F 01 76 D3 11 C9 9C
Aug 21 21:28:10.783: RADIUS: User-Password [2] 18 *
Aug 21 21:28:10.787: RADIUS: User-Name [1] 9 “pruebas”
Aug 21 21:28:10.787: RADIUS: NAS-Port [5] 6 60000
Aug 21 21:28:10.787: RADIUS: NAS-IP-Address [4] 6 172.26.2.250
Aug 21 21:28:10.807: RADIUS: Received from id 1645/231 172.26.2.100:1812, Access-Accept, len 64
Aug 21 21:28:10.807: RADIUS: authenticator 0F ED 4B 8C 4F DA B3 C9 – 0A 4F 3A 8B 66 E6 0D 57

Aug 21 21:28:10.807: RADIUS: Framed-Protocol [7] 6 PPP [1]
Aug 21 21:28:10.807: RADIUS: Service-Type [6] 6 Framed [2]
Aug 21 21:28:10.811: RADIUS: Class [25] 32
Aug 21 21:28:10.811: RADIUS: 52 76 05 8F 00 00 01 37 00 01 C0 A8 02 64 01 CD [Rv?????7?????d??]
Aug 21 21:28:10.811: RADIUS: 7F E0 20 13 31 ED 00 00 00 00 00 00 00 09 [?? ?1?????????]
Aug 21 21:28:10.811: RADIUS(00000000): Received from id 1645/231
Aug 21 21:28:10.811: RADIUS(00000000): Unique id not in use
Aug 21 21:28:10.811: RADIUS/DECODE(00000000): There is no RADIUS DB Some Radius attributes may not be stored
Aug 21 21:28:10.811: RADIUS: Constructed ” ppp negotiate”

Ahora sí que ha funcionado; hemos escrito correctamente el user / pass

Cisco iOS. Ejecutar comandos de exec en modo configuracion

En iOS cisco, existen varios modos, el USER EXEC y el modo PRIVILEGED USER. Para pasar del modo user al privileged, tecleamos en la consola el cmd enable y, desde aquí podemos pasar al modo de configuración.

Los comandos en el modo privileged, no son los mismos que en el de config, pero en alguna ocasión (seguro que os ha pasado), necesitáis hacer un simple #sh run cuando estáis configurando interfaces, ACL, protocolos de routing o cualquier otra cosa….. lo normal es ir haciendo exit hasta que salimos del modo de config de interfaces hasta situarnos en el modo privileged.

Para evitarnos tener que estar navegando por los diferentes modos, cisco tiene el cmd “do”.

Si estamos configurando, por ejemplo, el interface FastEthernet 0/0 y necesitamos hacer un sh access-list o un sh run, tan solo tenéis que hacer:

cisco1841(config)#do sh run

Un pequeño truco para hacernos más facil el movernos por la iOS de cisco.

Netstat en cisco IOS

Hace días, estaba buscando si había algo similar al netStat de linux en las iOS Cisco…. para ver las conexiones activas, puertos, etc…… con el sh ip nat trans * no tenía suficiente información y buscando, buscando …. encontré :

r1841Ono#sh control-plane host open-ports
Active internet connections (servers and established)
Prot Local Address Foreign Address Service State
tcp *:23 *:0 Telnet LISTEN
tcp *:23 192.168.2.76:42016 Telnet ESTABLIS
udp *:123 *:0 NTP LISTEN
udp *:4500 *:0 ISAKMP LISTEN
udp *:161 *:0 IP SNMP LISTEN
udp *:162 *:0 IP SNMP LISTEN
udp *:50947 *:0 IP SNMP LISTEN
udp *:1985 *:0 cisco HSRP LISTEN
udp *:500 *:0 ISAKMP LISTEN

Si tienes routers con ip’s nateadas, puedes ver en detalle las conexiones abiertas.