روتر و nttacplus

[shab550]

--------------------------------------------------------------------------------
سلام
روتر من 2610 هست .یکی قبل از من می خواسته اینجا تو سازمانمون ras راه بندازه با این روتر و nttacplus ولی کارش نصفه مونده و قراردادش هم تموم شده حالا من باید راه بندازم.زیاد دستورات روتر رو بلد نیستم .می خوام با پروتوکل radius این کارو بکنم .
شخص قبلی یه کار هایی کرده بوده این تنظیمات رو که میفستم انجام داده نمی دونم چه قدرش درسته اگه اشتباه هست منو راهنمایی میکنید؟
من با همین دستورات config شده روی روتر nttacplus رو نصب کردم و یکسری تنظیمات هم انجام دادم ولی نتیجه نگرفتم و وقتی تست می کردم که از بیرون وصل شم بعد از بوق وصل شدن در مرحلهverify username and password ، میگه که این username and password روی domain تعریف نشده error 691 و هر چه قدر هم که تنظیمات nttacplus رو عوض میکنم و username رو هم روی active directory تعریف میکنم و تب dialin اون رو هم allow میزنم باز هم همین error رو میده حالا نمی دونم ایراد از روتر هست یا nttac
دستورات اینا هستن :
Router#show startup-config
!
.
Aaa new model
!
Aaa authentication login locallogin local
Aaa authentication ppp default group radius local
Aaa authentication network default group radius local if-authenticated
Aaa accounting update newinfo
Aaa accounting network default start-stop group radius
Aaa session-id common
!
.
Router#show aaa servers
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
Dead:…
Authen: request 252,timeouts 252
…failure 63
Author:request 0 , …
Account: request 1344,timeout 1344…..failure 336
.
Omidvaram in dastoorat kafi bashe
(اینجا از راست به چپ دستورات اومده)

[Identifier]

دوست عزیز شما بایستی به چند نکته برای انجام این کار توجه داشته باشید :
1- نیازی به تعریف کاربر بر روی ad نیست و nttacplus خود به صورت مستقل می تواند authetication را انجام دهد لیکن باید تنظیمات خود را تکمیل کنید

تنظیمات authentication و accounting را به صورت زیر انجام دهید

aaa new-model

Aaa authentication network default group radius local if-authenticated

aaa authentication ppp default group radius

aaa accounting update newinfo

aaa accounting network default start-stop group radius

در مرحله بعدی نیاز هست که Radius server و پورت های مربوطه را به Router معرفی کنید به شکل زیر

radius-server host XXX.XXX.XXX.XXX auth-port 1812 acct-port 1813

radius-server retransmit 3

به جای عبارت xxx.xxx.xxx.xxx شما بایستی ip سیستمی که nttac نصب هست قرار دهید و در صورتی که از key استفاده میکنید بایستی key هم به صورت زیر تعریف کنید (به صورت پیش فرض در nttacplus key تعریف نشده)

radius-server key 7 070635504D

خوب در مرحله بعدی باسیتی authentication را بر روی nm16 فعال کنید به صورت زیر

!

interface Group-Async1

 ip unnumbered Ethernet0

 encapsulation ppp

 ip tcp header-compression passive

 ip policy route-map proxy

 bandwidth 20000

 async mode interactive

 peer default ip address pool XXXX

 ppp authentication pap chap

 group-range 1 16

!

خط قرمز رنگ حتما بایستی در Group Async اضافه شود .
تنظیمات روتر به پایان رسید nttacplus را باز کنید و f4 را فشار دهید پنجره log را خواهید دید و اگر تنظیمات شما با موفقیت انجام شده باشد بایستی هنگام اتصال کاربران در این قسمت log های مربوطه را مشاهده کنید.

موفق باشید

[cybercoder]

ias رو deactive کردی؟

آیا authentication و accounting رو از روی ras به پورت های nttac فرستادی؟
و اینکه فقط از pap و chap در authentication methods توی ras استفاده کردی؟

[arshia_]

نحوه نصب و تنظیم nttac رو امکان داره از اول تا آخر بیان کنید؟ اگر لینک مقاله اون هم باشه ممنون می شم

[Identifier]

نحوه نصب و تنظیم nttac رو امکان داره از اول تا آخر بیان کنید؟ اگر لینک مقاله اون هم باشه ممنون می شم

.
نحوه تنظیم کردن router در پست قبلی به طور نسبتا کامل بیان شد و تنها مواردی از تنظیمات nttacPlus مونده که اون هم چنانچه دوستمون تا اینجای کار نتیجه بگیرند به طور کامل تشریح میکنم.

موفق باشید

[shab550]

از راهنماییاتون واقعا ممنونم
با عرض معذرت چند تا سوال دارم ،
آیا این تنظیماتی که انجام شده در قسمت:
Router#show aaa servers
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
(یعنی وقتی دستور show را برای aaa server اجرا کردم و اینا نشون داده شد)
اشتباهه ؟
آقای ذوالقدری دقیقا این دستوراتی که نوشتید رو من کجا باید وارد کنم راستش من زیاد ccna بلد نیستم .بعد از اینکه با دستور enable وارد شدم (بعد از #router چی تایپ کنم) و اگر من اشتباهی کنم بر فرض، آیا روی مابقی تنظیمات روتر که برای اتصال به اینترنت و isa server هست مشکلی ایجاد نمیشه و اون تنظیمات به هم نمی خوره ؟
در ضمن من بدون nttacplus و با ias هم که تنضیمات رو انجام دادم باز هم همون error 691 رو داد.
اگه هم nttacplus و هم ias فعال باشن چه اتفاقی می افته (البته من اینکارو نکردم )
و سواله آخرم هم اینه که اوایل که شروع کردم به راه اندازی ras بدونه اینکه حتی به روتر telnet بزنم و config اونو بدونم که چیه (چون به گفته کسی که config رو انجام داده بود و گفت که تنظیمات رو انجام داده و پورتهای 1645, 1646 رو بازکرده ، اعتماد کردم ) nttacplus رو نصب کردم و یه سری تنظیمات رو هم انجام دادم بعد از چند بار تست کردن پشت سر هم ، در یکی از تست کردنها اتصال انجام شد و با سرعت 28.8 وصل شدم ،ip سرور رو یکی از ip های valid ی که داریم شده بود البته الان اون ip که client گرفته بود خاطرم نیست از چه رنجی بود ، ولی وقتی internet explorer رو اجرا کردم به اینترنت وصل نمیشد (2 بار در طول تست این اتفاق افتاد و من وصل شدم ) بعد فکر کردم شاید ip که client گرفته در LAT مربوط به isa server تعریف نشده نتوانسته که به اینترنت وصل شودزیرا وقتی log مربط به nttacرو خوندم اتصال بر قرار شده بود (البته بعدا بنا به دلایلی مجور شدم که nt tac رو دوباره نصب کنم )حالا این برام سوال شده چرا بعد از اون همه تست کردن فقط 2 بار اتصال بر قرار شد اصلا کلاینت به کجاوصل شده و حدس من در مورده LAT مربوط به isa درست بوده ؟واینکه اگه config روتر اشتباهه پس چرا اون 2 اتصال بر قرار شد
می بخشید که تعداد سوالام زیاده

[shab550]

Aaa new model
!
Aaa authentication login locallogin local
Aaa authentication ppp default group radius local
Aaa authentication network default group radius local if-authenticated
Aaa accounting update newinfo
Aaa accounting network default start-stop group radius
Aaa session-id common

این دستورات برای قسمت اول کافیه ؟
و برای قسمت فعال کردن nm16 اینا اومده .کافیه؟
interface group-async1
ip unnumbered fastEthernet0/0
ip nat inside
encapsulation ppp
ip tcp header-compression passive
async mode interactive
peer default ip address pool global
no fair-queue
ppp authentication pap chap ms-chap

[shab550]

آقای ذوالقدری شما در پست چطوری کدها رو از چپ به راست مینویسید
مال من بعد از ارسال کدها همه از راست به چپ شد

[Identifier]

Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646

آیا سیستمی که رو اون NTTacPlus نصب است IP اون 172.30.130.3 در حال حاضر router عملیات Accounting را به 173.30.130.3 ارجاع میده پس تنظیمات Radius در روتر انجام شده و پورت radius هم به صورت پیشفرض NTTacPlus هست

بعد از اینکه با دستور enable وارد شدم (بعد از #router چی تایپ کنم) و اگر من اشتباهی کنم بر فرض، آیا روی مابقی تنظیمات روتر که برای اتصال به اینترنت و isa server هست مشکلی ایجاد نمیشه و اون تنظیمات به هم نمی خوره ؟

اگر اشتباهی عمل کنید بله احتمان بروز همچین مشکلی وجود دارد و برای جلوگیری از این امر و اگر احیانا با چنین مشکلی برخورد کردید ابتدا از Configuration موجود کپی برداری کنید به این صورت :

show running-config

پس از مشاهده و کپی برداری از تنظیمات router مواردی که در پست اول به آن اشاره کردم را مورد بررسی قرار دهید البته با توضیحاتی که ارائه کردید نیازی به تغییر تنظیمات radius نیست و تنها مورد Async Group را بررسی کنید .

برای اینکه بتونید تنظیمات را تغییر بدید بایستی ابتدا دستور زیر را وارد کنید

router# conf t

در حال حاضر شما امکان edit کردن تنظیمات router را دارید برای اضافه کردن دستور اجدید که کافی است تنها دستور را وارد کنید و برای حذف دستور قبلی لازم است قبل از آن کلمه no را بکار برید به طور مثال برای حذف radius-server retransmit 3 به روش زیر عمل میکنیم :

Router # conf t

Router # no radius-server retransmit 3

و برای زخیره کردن تغییرات دستور Write را استفاده کنید توجه داشته باشید از این دستور زمانی استفاده کنید که مطمئن باشید تنظیمات صحیح است در صورتی که از write استفاده نکرده باشید و تنظیمات router مشکل پیدا کرده باشد با یک بار خاموش و روشن کردن router تنظیمات قبلی بازیابی خواهد شد .

و اما برای تنظیم کردن interface ها ابتدا لازم است وارد interface مربوطه شوید به طور مثال برای اضافه کردن دستور ppp authentication pap chap بایستی مراحل زیر را طی کنید :

Router# conf t

Router# interface group-async 1

Router ....# ppp authentication pap chap

Router.....# exit

router#

حتما فراموش نشود تا قبل از مطمئن نشدن از اینکه تنظیمات صحیح است از write استفاده نکنید که راه برگشت برای شما وجود داشته باشد و از configuration کپی برداری کنید.
در ضمن چنانچه در log nttacplus هنگام اتصال کاربران گزارشی مشاهده میکنید ارتباط router با nttacPlus برقرار است و مشکل از نحوه تنظیم کردن و اضافه کردن کاربر در nttacplus می باشد .

برای تعریف کاربر در nttacplus مراحل زیر را انجام دهید:

1- در nttac plus کلید f10 را بزنید
2- نام username را تایپ کنید از tab Password رمز را وارد کنید و گزینه encrypted Password را غیر فعال کنید
3- از tab Group Member ship گروه PPP را به کاربر نسبت دهید
4- کلید Update را بزنید

حالا این برام سوال شده چرا بعد از اون همه تست کردن فقط 2 بار اتصال بر قرار شد اصلا کلاینت به کجاوصل شده و حدس من در مورده LAT مربوط به isa درست بوده

این مورد برمیگرده به نحوه routing که در router تعریف شده
شما موارد فوق را بررسی کنید نتایج رو اعلام کنید که بقیه موارد را انجام دهیم.

موفق باشید

[Identifier]

آقای ذوالقدری شما در پست چطوری کدها رو از چپ به راست مینویسید
مال من بعد از ارسال کدها همه از راست به چپ شد

کدهای خودتون رو بین [/code] و [code] قرار دهید.

[shab550]

ip مربوط به سروری که nttac روش نصبه همون 172.30.130.3 تنظیم کردم
حقیقتا چون تا حالال تنظیمات روتری رو انجام ندادم از دست زدن به اون می ترسم
این کپی که گفتید بگیرم از تنظیمات ، این کپی کجا میره و چه طوری بازیابی میشه
اینکه میفرمایید تنظیمات radius مشکلی نداره دستوراتی که بعد از aaa new model امده رو میگید و Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646 ?
این قسمتهایی که زیر دستور
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
اومده یعنی چی:

 Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646

State: current dead,duration…

Dead:…

Authen: request 252,timeouts 252

            …failure 63

Author:request 0 , …

Account: request 1344,timeout 1344…..failure 336

یعنی 252 درخواست برای authenticatin داشتیم که 64 تا fail شده ؟و اینکه هیچکدام به مرحله authorize نرسیده؟
این تنظیمات رو چی کدوم رو تغییر بدم .آیا اشتباس

interface group-async1

ip unnumbered fastEthernet0/0 

ip nat inside 

encapsulation ppp

ip tcp header-compression passive 

async mode interactive

peer default ip address pool global

no fair-queue

ppp authentication pap chap ms-chap

و اما در مورد nttac همون تنظیماتی که فرمودین رو انجام میدم ظاهرا روی روتر هم که key تنظیم نشده ، برای nttac تنظیمات دیگه ایی لازم نیست؟(قسمتی که وقتی کلید f8 رو میزنیم میاد )
ip که کلاینت میبایست بگیره رو دقیقا در کدوم tab وارد کنم ؟

[shab550]

در ضمن تغییراتی روی LAT مربوط به ISA انجام ندم

[Identifier]

این کپی که گفتید بگیرم از تنظیمات ، این کپی کجا میره و چه طوری بازیابی میشه

زمانی که Configuration گرفتید ابتدا آن را Select کنید و در یک فایل متنی ذخیره کنید و این عمل فقط شما را در راستای دوباره config کردن یاری می کند .

Authen: request 252,timeouts 252
…failure 63

هیچ authentication برقرار نشده و ارتباط بین router و سیستم accounting برقرار نشده برای برای مشخص کردن اینکه آیا router با nttacplus ارتباط دارد یا نه از طریق زیر عمل کنید ونتیجه را بگید

router# ping 172.30.130.3

جواب بایستی 5 تا علامت تعجب باشد !!!!! در غیر اینصورت مشکل از نحوه IP دادن و این جور مسائل است

این تنظیمات رو چی کدوم رو تغییر بدم

این تنظیمات هم به نظر نمیاد مشکلی داشته باشه

و اما در مورد nttac همون تنظیماتی که فرمودین رو انجام میدم ظاهرا روی روتر هم که key تنظیم نشده ، برای nttac تنظیمات دیگه ایی لازم نیست؟(قسمتی که وقتی کلید f8 رو میزنیم میاد )

خیر

ip که کلاینت میبایست بگیره رو دقیقا در کدوم tab وارد کنم ؟

در این مرحله نیاز به تنظیم کردن ip نیست ابتدا بایستی اشکال در authentication را برطرف کرد.

موفق باشید

[shab550]

آقای ذوالقدری همون طور که فرمودین برای nttacplus
همون کارها رو انجام دادم یعنی فقط username و password تعریف کردم و ppp رو به groupmembership نسبت دادم
config روتر رو دست نزدم
بعد از تست کردن باز error شماره 691 رو داد
ولی log گرفته بود و در log اینا رو نوشته بود :

:1645 :

account 'test' , password incorrect 

pap-authentication query for 'test' rejected

'test' همون username هست
پس معلومه ارتباط بین روتر و nttac برقرار شده , فقط authorize نشده
حالا لطف می کنید بقیه تنظیمات رو هم بگید

[shab550]

البته password رو هم از حالت encrypt خارج کردم

[Identifier]

در قسمت تعریف پسورد گزینه no Password را انتخاب کنید ببینید مشکل حل میشود یا نه اگر حل شد که مشکل از پسورد هست و دوباره پسورد را بدون encrypted تعریف کنید اگر باز جواب نگرفتید باید قسمت authentication group Async رو تغییر بدیم.

موفق باشید

[Identifier]

در ضمن برای اینکه در قسمت log بتونید ببینید کاربر چه پسوردی وارد کرده f8 را بزنید بعد از قسمت logging 4 گزینه زیر را فعال کنید :

1- Authentication Sessions
2- Authorization Sessions
3- Accounting Sessions
4- Password Checking

اینجوری اطلاعات بهتری در قسمت log در اختیار شما قرار داده میشه دوباره امتحان کنید نتیجه را بگید راحت تر میشه فهمید اشکال از کجاست .

موفق باشید

[shab550]

آقای ذوالقدری یه سوال
زمانیکهMCSE میخوندم
به هنگام login کردن در ویندوز روی domain (اگه اسم domainباشه :seo.com) بعضی وقتها اینکارو میکردیم یعنی میزدیم : administrator@seo.com
یاseo\administrator
البته اگر در پنجره login در گزینه سوم اسم domain را نزنیم

یا بعضی وقتها که rras راه مینداختیم (و موارد مشابه ) وقتی می خواستیم وصل شویم username را به شکل
administrator@seo.com
یاseo\administrator
می زدیم
حالا در این پروژه ما، اینکه username , password رو نمیشناسه به این ربطی نداره ؟
(هر چند فرموده بودین که لازم نیست username رویAD تعریف شه ولی این مساله باز برام سوال شد )
البته من قبلا که اینطوری هم تست کرده بودم نتیجه نگرفتم

مطالبی هم که شما فرمودین شنبه تست میکنم

پس مطمئن باشیم که دیگه روتر مشکلی نداره ؟

[shab550]

قسمت authentication group Async کجاست ؟
البته من مطمئنم که پسوورد رو درست وارد کردم

[Identifier]

زمانیکهMCSE میخوندم
به هنگام login کردن در ویندوز روی domain (اگه اسم domainباشه :seo.com) بعضی وقتها اینکارو میکردیم یعنی میزدیم : administrator@seo.com
یاseo\administrator
البته اگر در پنجره login در گزینه سوم اسم domain را نزنیم

یا بعضی وقتها که rras راه مینداختیم (و موارد مشابه ) وقتی می خواستیم وصل شویم username را به شکل
administrator@seo.com
یاseo\administrator
می زدیم
حالا در این پروژه ما، اینکه username , password رو نمیشناسه به این ربطی نداره ؟

بدلیل اینکه nttac plus مستقل کار میکند چنین چیزی که شما فرمودید در این مورد صدق نمی کند .

در اکتیو دایرکتوری چونکه شما ممکن است clustring داشته باشید این مورد وجود دارد البته با تنظیمات dns قابل برطرف کردن می باشد .

و async gourp authentication هم قسمت مربوط به تنظیمات router هست که در صورت رفع نشدن مشکل بایستی بررسی شود.

احتمال زیاد router نیاز به تغییرات چندانی ندارد و تنظیمات صحیح است فقط اگر مسئله password Encryption رعایت نشده باشد نیاز به تغییر می باشد.

موفق باشید

[shab550]

گفتم موقع تست کردن از طریق مودم error شماره 691 میده

error 691 : access was denied because the user name and/or password was invalid on the domain 

مختوای error نمی تونه راهنمایی کنه ؟

[Identifier]

مختوای error نمی تونه راهنمایی کنه ؟

خیر - این مورد به خیلی از موارد میتونه وابسته باشه به عنوان مثال :
1- برقرار نشدن ارتباط با accounting Servet
2- نادرستی تنظیمات Router
3- مشکل در تنظیمات nttacPlus
4- مشکل در اطلاعات user
و .....

Log NTTacPlus اگر بنویسید میتونه کمکی باشه در این راستا .

موفق باشید

[shab550]

سلام
من گزینه no password رو زدم و تست کردم همون error شماره 691 اومد و log مربوطه در nttacplus به این صورت بود :

 DEBUG# RAD_AUTHEN :1645[4A]:Authentication request for 'test' on (null)

 DEBUG# RAD_AUTHEN :1645[4A]:Account 'test' has not expired (exp.date = never)

 DEBUG# RAD_AUTHEN :1645[4A]:## password verify: configured='[NONE]' entered=''

 DEBUG# RAD_AUTHEN :1645[4A]:Account 'test', password is OK

 DEBUG# RAD_AUTHEN:1645[4A]:Adding the following attributes in auth-response for 'test' on Async40

 DEBUG# RADIUS attribute (author-reply): Service-Type = Framed

 DEBUG# RADIUS attribute (author-reply): Framed-Protocol = PPP

 DEBUG# RADIUS attribute (author-reply): Framed-IP-Address = 255.255.255.254

# RAD_AUTHEN :1645[4A]:pap-authentication query for 'test' accepted

بعد که پسورد زدم برای اون username ،این log رو داد:

 DEBUG# RAD_AUTHEN :1645[47]:Authentication request for 'test' on (null)

 DEBUG# RAD_AUTHEN :1645[47]:Account 'test' has not expired (exp.date = never)

 DEBUG# RAD_AUTHEN :1645[47]:## password verify: configured='aa12345' entered='q¤ںؤچ›Pٹlنâw'

 RAD_AUTHEN :1645[47]:Account 'test', password is INCORRECT

 RAD_AUTHEN :1645[47]:pap-authentication query for 'test' rejected

[shab550]

پسورد encrypt شده رو زدم باز هم جواب نگرفتم

[Identifier]

دستور زیر را در روتر اضافه کنید

no service password-encryption

مشکلتان برطرف خواهد شد

موفق باشید

[shab550]

آقای ذوالقدری این دستوری که میفرمایید روی config روتر هست همون اولش که میزنم
show startup-config این خطوط میاد :

router#show startup-config

using 2057 out of 29688 bytes

!

version 12.2

service timestamps degug uptime

service timestamps log uptime

no service password-encryption

!

hostname router

!

aaa new-model

!

!

aaa ....

این دستوری که میفرمایید باید دوباره اضافه کنم ؟کجا؟چطوری
بیشتر توضیح میدین
این دستور دقیقا چه کار میکنه

[Identifier]

چون ورژن IOS شما 12.2 است و بایستی دستور زیر به config شما اضافه شود

service password-encryption

اضافه شود به شکل زیر

router # conf t

router ....# service password-encryption

router .....# exit

مجددا تست کنید

موفق باشید

[shab550]

آقای ذوالقدری کدوم بالاخره باید اضافه شود
no service password-encryption
یا
service password-encryption
بعد یه سوال دیگه
بعد از اضافه کردن دستور باید از write استفاده کنم؟
اگه باید این کارو کنم چطوری؟

[shab550]

این دستور با مابقی config روتر که confilict پیدا نمیکنه

[Identifier]

service password-encryption

بایستی اضافه شود به شکلی که در پست قبلی توضیح دادم در ضمن از دستور write استفاده نکنید احیانا اگر مشکلی به وجود آمد با restart کردن router تنظیمات به حالت اولیه باز خواهد گشت.

این دستور با مابقی config روتر که confilict پیدا نمیکنه

خیر

موفق باشید.

[shab550]

همونطور که فرمودین دستورات رو وارد کردم بدون write کردن
ولی همون error و نتیجه قبلی رو داد و توی log هم همون چیزهای قبلی رو نوشت
بعد که از روتر show config گرفتم دیدم هنوز دستور
no service password-encryption هست و ظاهرا دستوری که من دادم روی اون تاثیری نکرده

ولی دقیقا همونطور که فرمودین وارد کردم حتی وقتی جواب نگرفتم دوباره دستورات رو زدم
فکر نمیکنید به این خاطر باشه که از write استفاده نکردم؟
چه طوری باید از write استفاده کنم

[Identifier]

همونطور که فرمودین دستورات رو وارد کردم بدون write کردن
ولی همون error و نتیجه قبلی رو داد و توی log هم همون چیزهای قبلی رو نوشت
بعد که از روتر show config گرفتم دیدم هنوز دستور
no service password-encryption هست و ظاهرا دستوری که من دادم روی اون تاثیری نکرده

این دستور config که دستوراتی که به هنگام بالا آمدن router استفاده می شود نمایش می دهد برای اینکه config فعال را ببینید از دستور :

router#show running-config

استفاده کنید در ضمن نیازی نیست از write استفاده کنید و اگر امکان دارد log هایی که الان به شما داده میشه رو به همراه config با دستوری که گفتم البته ip ها را حذف کنید بفرستید.

موفق باشید

[Identifier]

من از جایی telnet زدم به روتر که رنج ip ش با رنج ip روتر متفاو ته
از هر رنج ip میتونم به روتر telnet بزنم ؟

از اونجایی که Ip Valid هست و access-list 10 برای vty تعریف نشده بله.

موفق باشید

[Identifier]

زمانی که شما no Password را میزنید مثل اینکه ظاهرا authentication انجام میشه ولی چرا 691 باید config کامل رو دید. تا بشه دقیقا گفت مشکل از کجاست در هر حال من یک نمونه Config رو ایجا میگذارم که شما و دیگر دوستان استفاده کنید .

و مشکل شما هم اینکه احتمال دارد برای radius-server key تعریف کرده باشند کانفیگتون را مقایسه کنید و یا به این شکلی که من اینجا گذاشتم بگذارید تا دقیق تر مشخص باشد .

 

version 12.2

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname itrc-cisco-3600

!

aaa new-model

aaa authentication ppp default group radius

aaa authorization network default group radius

aaa accounting update newinfo

aaa accounting network default start-stop group radius

!

ip subnet-zero

!

!

ip name-server 192.9.9.3

!

!

!

!

interface FastEthernet0/0

 description connected to valid

 ip address xx.xx.xx.xx 255.255.255.0

 ip access-group 101 in

 ip nat outside

 no ip mroute-cache

 duplex auto

 speed auto

!

interface Serial0/0

 ip unnumbered FastEthernet0/0

 encapsulation ppp

 no ip mroute-cache

 shutdown

 clockrate 2000000

!

interface FastEthernet0/1

 description connected to invalid

 ip address 192.168.20.1 255.255.255.0

 ip access-group 101 in

 ip nat inside

 no ip mroute-cache

 duplex auto

 speed auto

!

interface Group-Async1

 ip unnumbered FastEthernet0/1

 ip access-group 101 in

 ip nat inside

 encapsulation ppp

 no ip mroute-cache

 async mode interactive

 peer default ip address pool group2

 compress mppc

 ppp authentication pap chap

 group-range 33 48

!

ip local pool group1 192.168.20.64 192.168.20.94

ip local pool group2 192.168.20.95 192.168.20.97

ip nat inside source list 110 interface FastEthernet0/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

no ip http server

ip pim bidir-enable

!

access-list 10 permit xx.xx.xx.xx

access-list 10 permit xx.xx.xx.xx

access-list 101 deny   tcp any any eq 137

access-list 101 deny   udp any any eq netbios-ns

access-list 101 deny   tcp any any eq 139

access-list 101 deny   udp any any eq netbios-ss

access-list 101 deny   tcp any any eq 135

access-list 101 deny   udp any any eq 135

access-list 101 deny   tcp any any eq 445

access-list 101 deny   udp any any eq 445

access-list 101 deny   tcp any any eq 593

access-list 101 deny   udp any any eq 593

access-list 101 deny   tcp any any eq 4040

access-list 101 deny   udp any any eq 4040

access-list 101 deny   tcp any any eq 2140

access-list 101 deny   udp any any eq 2140

access-list 101 deny   tcp any any eq 4444

access-list 101 deny   udp any any eq 4444

access-list 101 permit ip any any

access-list 110 permit ip 192.168.20.0 0.0.0.255 any

access-list 110 deny   ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255

dialer-list 1 protocol ip permit

dialer-list 1 protocol ipx permit

radius-server host xx.xx.xx.xx auth-port 1812 acct-port 1813

radius-server retransmit 3

!

line con 0

line 33 48

 session-timeout 15

 exec-timeout 0 0

 no flush-at-activation

 modem Dialin

 modem autoconfigure discovery

 autoselect ppp

 stopbits 1

 flowcontrol hardware

line 65 80

 session-timeout 15

 exec-timeout 0 0

 no flush-at-activation

 modem Dialin

 modem autoconfigure discovery

 autoselect ppp

 stopbits 1

 flowcontrol hardware

line aux 0

line vty 0 4

 access-class 10 in

 password 7 xxxx

!

end

پاینده و پیروز باشید

[shab550]

با چه دستوری بفهمم که براش key گذاشتن یا نه

[Identifier]

دوست عزیز show running-config را که اجرا کردید بعد از قسمتی که radius server تعریف شده اگر دستور radius-server key را مشاهده کردید مطمئنا Key تعریف شده

موفق باشید.

[shab550]

config کدوم قسمت نیازه که براتون بفرستم؟

اگه بخوام secret key رو در nttac اضافه کنم با f8 در تب secret ، باید ip روتر رو بزنم با key ؟

[Identifier]

دوست عزیز به نکات زیر توجه کنید :

1- با استفاده از دستور show running-config کانفیگ دستگاه به طور کامل ارسال کنید config ارسالی شما کامل نیست در ضمن تنها همین کانفیگ کفایت میکند .

2- secret key که در nttac تعریف می شود با secret key که در router است بایستی یکسان باشد.

موفق باشید

[shab550]

زمانی که شما no Password را میزنید مثل اینکه ظاهرا authentication انجام میشه ولی چرا 691 باید config کامل رو دید

تا زمانیکه authorize برقرار نشده شاید به این خاطر این error رو میده .
از طرفی این client در هنگام وصل شدن ip ش رو از کجا میخواد بگیره من که هنوز براش تعریف نکردم که از کجا بگیره

[shab550]

secret key روتر رو از کجا بفهمم