Esta entrada es otro apunte.
En el acceso de clientes por vpn, suelo usar la validación radius contra el active directory, con lo que, para conceder acceso, tan sólo hay que activar en cada usuario el permiso de «marcado».
Suponemos que tenemos un router con IOS cisco 12.4 y que hemos configurado toda la parte de AAA como de costumbre…. ahora toca depurar…
Desde la consola del router, hacemos:
# terminal monitor
# debug radius
El comando en cuestión es:
test aaa group radius pruebas prueba new-code
Lo que hace es probar el usuario pruebas / password pruebas con la configuración que tengamos en el radius, siendo la definición en el router:
radius-server host 172.26.2.100 auth-port 1812 acct-port 1813
radius-server key clavePrecompartida
Y suponemos que el resto de AAA lo tenemos correcto, teniendo el usuario / password: pruebas/pruebas
router#test aaa group radius pruebas prueba new-code
Trying to authenticate with Servergroup radius
router#Aug 21 21:23:40.506: RADIUS/ENCODE(00000000):Orig. component type = INVALID
Aug 21 21:23:40.506: RADIUS: AAA Unsupported Attr: interface [157] 0
Aug 21 21:23:40.506: RADIUS/ENCODE: Skip encoding 0 length AAA attribute interface
Aug 21 21:23:40.506: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
Aug 21 21:23:40.506: RADIUS(00000000): Config NAS IP: 0.0.0.0
Aug 21 21:23:40.506: RADIUS(00000000): sending
Aug 21 21:23:40.506: RADIUS/ENCODE: Best Local IP-Address 172.26.2.250 for Radius-Server 172.26.2.100
Aug 21 21:23:40.506: RADIUS(00000000): Send Access-Request to 172.26.2.100:1812 id 1645/230, len 59
Aug 21 21:23:40.506: RADIUS: authenticator 80 B3 48 6D 92 D0 D4 03 - 62 CB A0 57 7B 3F 2E 50
Aug 21 21:23:40.506: RADIUS: User-Password [2] 18 *
Aug 21 21:23:40.506: RADIUS: User-Name [1] 9 "pruebas"
Aug 21 21:23:40.506: RADIUS: NAS-Port [5] 6 60000
Aug 21 21:23:40.506: RADIUS: NAS-IP-Address [4] 6 172.26.2.250
Aug 21 21:23:40.510: RADIUS: Received from id 1645/230 172.26.2.100:1812, Access-Reject, len 20
Aug 21 21:23:40.510: RADIUS: authenticator C0 01 36 A9 46 B2 C0 EA - 1B 61 58 DF 87 C3 9C E4
Aug 21 21:23:40.510: RADIUS(00000000): Received from id 1645/230User rejected
En este caso, el servidor radius nos ha respondido y ha rechazado el usuario, con lo que, tenemos buenas y malas notícias :
– Buena notícia: El router es capaz de llegar al radius y atiende nuestras peticiones, con lo que la clave pre-compartida en principio es correcta.
– Mala notícia: Ha rechazado la petición de nuestro usuario, bien por user / password mal escrito o porque no tiene derecho de «marcado».
Nos aseguramos del user / pass y lo volvemos a probar:
router#test aaa group radius pruebas pruebas new-code
Trying to authenticate with Servergroup radius
User successfully authenticated
router#
Aug 21 21:28:10.779: RADIUS/ENCODE(00000000):Orig. component type = INVALID
Aug 21 21:28:10.783: RADIUS: AAA Unsupported Attr: interface [157] 0
Aug 21 21:28:10.783: RADIUS/ENCODE: Skip encoding 0 length AAA attribute interface
Aug 21 21:28:10.783: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
Aug 21 21:28:10.783: RADIUS(00000000): Config NAS IP: 0.0.0.0
Aug 21 21:28:10.783: RADIUS(00000000): sending
Aug 21 21:28:10.783: RADIUS/ENCODE: Best Local IP-Address 172.26.2.250 for Radius-Server 172.26.2.100
Aug 21 21:28:10.783: RADIUS(00000000): Send Access-Request to 172.26.2.100:1812 id 1645/231, len 59
Aug 21 21:28:10.783: RADIUS: authenticator B4 A2 AB 32 2A 2D 2D 94 - 0E 9F 01 76 D3 11 C9 9C
Aug 21 21:28:10.783: RADIUS: User-Password [2] 18 *
Aug 21 21:28:10.787: RADIUS: User-Name [1] 9 "pruebas"
Aug 21 21:28:10.787: RADIUS: NAS-Port [5] 6 60000
Aug 21 21:28:10.787: RADIUS: NAS-IP-Address [4] 6 172.26.2.250
Aug 21 21:28:10.807: RADIUS: Received from id 1645/231 172.26.2.100:1812, Access-Accept, len 64
Aug 21 21:28:10.807: RADIUS: authenticator 0F ED 4B 8C 4F DA B3 C9 - 0A 4F 3A 8B 66 E6 0D 57
Aug 21 21:28:10.807: RADIUS: Framed-Protocol [7] 6 PPP [1]
Aug 21 21:28:10.807: RADIUS: Service-Type [6] 6 Framed [2]
Aug 21 21:28:10.811: RADIUS: Class [25] 32
Aug 21 21:28:10.811: RADIUS: 52 76 05 8F 00 00 01 37 00 01 C0 A8 02 64 01 CD [Rv?????7?????d??]
Aug 21 21:28:10.811: RADIUS: 7F E0 20 13 31 ED 00 00 00 00 00 00 00 09 [?? ?1?????????]
Aug 21 21:28:10.811: RADIUS(00000000): Received from id 1645/231
Aug 21 21:28:10.811: RADIUS(00000000): Unique id not in use
Aug 21 21:28:10.811: RADIUS/DECODE(00000000): There is no RADIUS DB Some Radius attributes may not be stored
Aug 21 21:28:10.811: RADIUS: Constructed " ppp negotiate"
Ahora sí que ha funcionado; hemos escrito correctamente el user / pass