[inet-admins] cisco and radius

["Alex S. Burba" <burba@okbmei.msk.su>]

Добрый день.

При использовании radius'а вместо tacacs на роутере GW для организации vpdn 
форвардинга PPP-клиентов в следующей схеме:

router acc2 (NAS)+TACACS <-vpdn(L2F-tunnel)->router acc (GW)+RADIUS

Возникает следующая проблема - роутер GW не может аутентифицировать двух
пользователей (acc и acc2) необходимых для организации L2F-туннеля. В логах
радиуса ничего не пишется. Вот дебаг киски в данной ситуации:

6d05h: AAA/AUTHEN: create_user (0x2A06A8) user='acc' ruser='' port='' rem_addr='
' authen_type=CHAP service=PPP priv=1                                           
6d05h: AAA/AUTHEN/START (724241108): port='' list='default' action=SENDAUTH serv
ice=PPP                                                                         
6d05h: AAA/AUTHEN/START (724241108): found list default                         
6d05h: AAA/AUTHEN (724241108): status = UNKNOWN                                 
6d05h: AAA/AUTHEN/START (724241108): Method=RADIUS                              
6d05h: RADIUS: SENDPASS not supported (action=4)                                
6d05h: AAA/AUTHEN (724241108): status = ERROR                                   
6d05h: AAA/AUTHEN/START (724241108): Method=TACACS+                             
6d05h: TAC+: send AUTHEN/START packet ver=193 id=724241108                      
6d05h: AAA/AUTHEN (724241108): status = ERROR                                   
6d05h: AAA/AUTHEN/START (724241108): no methods left to try                     
6d05h: AAA/AUTHEN (724241108): status = ERROR                                   
6d05h: AAA/AUTHEN/START (724241108): failed to authenticate                     
6d05h: VPDN: authentication failed, couldn't find user information for acc      
6d05h: AAA/AUTHEN: free_user (0x2A06A8) user='acc' ruser='' port='' rem_addr='' 
authen_type=CHAP service=PPP priv=1                                             
6d05h: AAA/AUTHEN: create_user (0x2A06A8) user='acc2' ruser='' port='' rem_addr=
'' authen_type=CHAP service=PPP priv=1                                          
6d05h: AAA/AUTHEN/START (344060755): port='' list='default' action=SENDAUTH serv
ice=PPP                                                                         
6d05h: AAA/AUTHEN/START (344060755): found list default                         
6d05h: AAA/AUTHEN (344060755): status = UNKNOWN                                 
6d05h: AAA/AUTHEN/START (344060755): Method=RADIUS                              
6d05h: RADIUS: SENDPASS not supported (action=4)                                
6d05h: AAA/AUTHEN (344060755): status = ERROR                                   
6d05h: AAA/AUTHEN/START (344060755): Method=TACACS+                             
6d05h: TAC+: send AUTHEN/START packet ver=193 id=344060755                      
6d05h: AAA/AUTHEN (344060755): status = ERROR                                   
6d05h: AAA/AUTHEN/START (344060755): no methods left to try                     
6d05h: AAA/AUTHEN (344060755): status = ERROR                                   
6d05h: AAA/AUTHEN/START (344060755): failed to authenticate                     
6d05h: VPDN: authentication failed, couldn't find user information for acc2     
6d05h: AAA/AUTHEN: free_user (0x2A06A8) user='acc2' ruser='' port='' rem_addr=''
 authen_type=CHAP service=PPP priv=1                                            

Пользователи acc2 и acc заводятся на радиусе как указано в документации cisco.
Если логиниться на киску acc вручную под пользователями acc2 или acc, то все
великопно аутентифицируется радиусом.
Интересно, что следующая схема функционировала нормально:

router acc2 (NAS)+TACACS <-vpdn(L2F-tunnel)-> router acc (GW)+TACACS


Что может быть?

-- 
Bye.
Alex S. Burba
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html