# مباحث متفرقه برنامه نویسی > تالار های مرتبط با شبکه و امنیت > شبکه و Networking‌ >  روتر و nttacplus

## shab550

--------------------------------------------------------------------------------
سلام
روتر من 2610 هست .یکی قبل از من می خواسته اینجا تو سازمانمون ras راه بندازه با این روتر و nttacplus ولی کارش نصفه مونده و قراردادش هم تموم شده حالا من باید راه بندازم.زیاد دستورات روتر رو بلد نیستم .می خوام با پروتوکل radius این کارو بکنم .
شخص قبلی یه کار هایی کرده بوده این تنظیمات رو که میفستم انجام داده نمی دونم چه قدرش درسته اگه اشتباه هست منو راهنمایی میکنید؟
من با همین دستورات config شده روی روتر nttacplus رو نصب کردم و یکسری تنظیمات هم انجام دادم ولی نتیجه نگرفتم و وقتی تست می کردم که از بیرون وصل شم بعد از بوق وصل شدن در مرحلهverify username and password ، میگه که این username and password روی domain تعریف نشده error 691 و هر چه قدر هم که تنظیمات nttacplus رو عوض میکنم و username رو هم روی active directory تعریف میکنم و تب dialin اون رو هم allow میزنم باز هم همین error رو میده حالا نمی دونم ایراد از روتر هست یا nttac 
دستورات اینا هستن :
Router#show startup-config
!
.
Aaa new model
!
Aaa authentication login locallogin local
Aaa authentication ppp default group radius local
Aaa authentication network default group radius local if-authenticated
Aaa accounting update newinfo
Aaa accounting network default start-stop group radius
Aaa session-id common
!
.
Router#show aaa servers
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
Dead:…
Authen: request 252,timeouts 252
…failure 63
Author:request 0 , …
Account: request 1344,timeout 1344…..failure 336
.
Omidvaram in dastoorat kafi bashe
(اینجا از راست به چپ دستورات اومده)

----------


## Identifier

دوست عزیز شما بایستی به چند نکته برای انجام این کار توجه داشته باشید :
1- نیازی به تعریف کاربر بر روی ad نیست و nttacplus خود به صورت مستقل می تواند authetication را انجام دهد لیکن باید تنظیمات خود را تکمیل کنید 

تنظیمات authentication و accounting را به صورت زیر انجام دهید

aaa new-model
Aaa authentication network default group radius local if-authenticated
aaa authentication ppp default group radius
aaa accounting update newinfo
aaa accounting network default start-stop group radius


در مرحله بعدی نیاز هست که Radius server و پورت های مربوطه را به Router معرفی کنید به شکل زیر


radius-server host *XXX.XXX.XXX.XXX* auth-port 1812 acct-port 1813
radius-server retransmit 3

به جای عبارت xxx.xxx.xxx.xxx شما بایستی ip سیستمی که nttac نصب هست قرار دهید و در صورتی که از key استفاده میکنید بایستی key  هم به صورت زیر تعریف کنید (به صورت پیش فرض در nttacplus key تعریف نشده)


radius-server key 7 070635504D

خوب در مرحله بعدی باسیتی authentication را بر روی nm16 فعال کنید به صورت زیر 


!
interface Group-Async1
 ip unnumbered Ethernet0
 encapsulation ppp
 ip tcp header-compression passive
 ip policy route-map proxy
 bandwidth 20000
 async mode interactive
 peer default ip address pool XXXX
 *ppp authentication pap chap*
 group-range 1 16
!

خط قرمز رنگ حتما بایستی در Group Async اضافه شود .
تنظیمات روتر به پایان رسید nttacplus را باز کنید و f4 را فشار دهید پنجره log را خواهید دید و اگر تنظیمات شما با موفقیت انجام شده باشد بایستی هنگام اتصال کاربران در این قسمت log های مربوطه را مشاهده کنید.

موفق باشید

----------


## cybercoder

ias رو deactive کردی؟

آیا authentication و accounting رو از روی ras به پورت های nttac فرستادی؟
و اینکه فقط از pap و chap در authentication methods توی ras استفاده کردی؟

----------


## arshia_

نحوه نصب و تنظیم  nttac  رو امکان داره از اول تا آخر بیان کنید؟ اگر لینک مقاله اون هم باشه ممنون می شم

----------


## Identifier

> نحوه نصب و تنظیم nttac رو امکان داره از اول تا آخر بیان کنید؟ اگر لینک مقاله اون هم باشه ممنون می شم


.
نحوه تنظیم کردن router در پست قبلی به طور نسبتا کامل بیان شد و تنها مواردی از تنظیمات nttacPlus مونده که اون هم چنانچه دوستمون تا اینجای کار نتیجه بگیرند به طور کامل تشریح میکنم.

موفق باشید

----------


## shab550

از راهنماییاتون واقعا ممنونم 
با عرض معذرت چند تا سوال دارم ،
آیا این تنظیماتی که انجام شده در قسمت:
                                                                                                                              Router#show aaa servers
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
(یعنی وقتی دستور show را برای aaa server اجرا کردم و اینا نشون داده شد)
اشتباهه ؟
آقای ذوالقدری دقیقا این دستوراتی که نوشتید رو من کجا باید وارد کنم راستش من زیاد ccna بلد نیستم .بعد از اینکه با دستور enable وارد شدم (بعد از #router چی تایپ کنم) و اگر من اشتباهی کنم بر فرض، آیا روی مابقی تنظیمات روتر که برای اتصال به اینترنت و isa server هست  مشکلی ایجاد نمیشه و اون تنظیمات به هم نمی خوره ؟
در ضمن من بدون nttacplus و با ias هم که تنضیمات رو انجام دادم باز هم همون error 691 رو داد.
اگه هم nttacplus و هم ias فعال باشن  چه اتفاقی می افته (البته من اینکارو نکردم )
و سواله آخرم هم اینه که اوایل که شروع کردم به راه اندازی ras  بدونه اینکه حتی به روتر telnet بزنم و config اونو بدونم که چیه (چون به گفته کسی که config رو انجام داده بود و گفت که تنظیمات رو انجام داده و پورتهای 1645, 1646  رو بازکرده ، اعتماد کردم ) nttacplus رو نصب کردم و یه سری تنظیمات رو هم انجام دادم بعد از چند بار تست کردن پشت سر هم ، در یکی از تست کردنها اتصال انجام شد و با سرعت 28.8 وصل شدم ،ip سرور رو یکی از ip  های valid ی که داریم شده بود البته الان اون ip  که client گرفته بود خاطرم نیست از چه رنجی بود ، ولی وقتی internet explorer رو اجرا کردم به اینترنت وصل نمیشد (2 بار در طول تست این اتفاق افتاد و من وصل شدم ) بعد فکر کردم شاید ip که client گرفته در LAT مربوط به isa server تعریف نشده نتوانسته که به اینترنت وصل شودزیرا وقتی log مربط به nttacرو خوندم اتصال بر قرار شده بود (البته بعدا بنا به دلایلی مجور شدم که nt tac رو دوباره نصب کنم )حالا این برام سوال شده چرا بعد از اون همه تست کردن فقط 2 بار اتصال بر قرار شد اصلا کلاینت به کجاوصل شده و حدس من در مورده LAT مربوط به isa درست بوده ؟واینکه اگه config روتر اشتباهه پس چرا اون 2 اتصال بر قرار شد
می بخشید که تعداد سوالام زیاده

----------


## shab550

Aaa new model                         
                                                                                                         !
                                                  Aaa authentication login locallogin local
                                    Aaa authentication ppp default group radius local
       Aaa authentication network default group radius local if-authenticated   
                                                              Aaa accounting update newinfo
                            Aaa accounting network default start-stop group radius            
                                                                         Aaa session-id common

 این دستورات برای قسمت اول کافیه ؟
و برای قسمت فعال کردن nm16 اینا اومده .کافیه؟
                                                                                   interface group-async1
                                                                       ip unnumbered fastEthernet0/0             
                                                                                                  ip nat inside 
                                                                                          encapsulation ppp
                                                                  ip tcp header-compression passive     
                                                                                   async mode interactive
                                                                  peer default ip address pool global
                                                                                                 no fair-queue
                                                              ppp authentication pap chap ms-chap

----------


## shab550

آقای ذوالقدری شما در پست چطوری کدها رو از چپ به راست مینویسید 
مال من بعد از ارسال کدها همه از راست به چپ شد

----------


## Identifier

> Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646


آیا سیستمی که رو اون NTTacPlus نصب است IP اون 172.30.130.3 در حال حاضر router عملیات Accounting را به 173.30.130.3 ارجاع میده پس تنظیمات Radius در روتر انجام شده و پورت radius هم به صورت پیشفرض NTTacPlus هست 




> بعد از اینکه با دستور enable وارد شدم (بعد از #router چی تایپ کنم) و اگر من اشتباهی کنم بر فرض، آیا روی مابقی تنظیمات روتر که برای اتصال به اینترنت و isa server هست مشکلی ایجاد نمیشه و اون تنظیمات به هم نمی خوره ؟


اگر اشتباهی عمل کنید بله احتمان بروز همچین مشکلی وجود دارد و برای جلوگیری از این امر و اگر احیانا با چنین مشکلی برخورد کردید ابتدا از Configuration موجود کپی برداری کنید به این صورت :


show running-config


پس از مشاهده و کپی برداری از تنظیمات router مواردی که در پست اول به آن اشاره کردم را مورد بررسی قرار دهید البته با توضیحاتی که ارائه کردید نیازی به تغییر تنظیمات radius نیست و تنها مورد Async Group را بررسی کنید . 

برای اینکه بتونید تنظیمات را تغییر بدید بایستی ابتدا دستور زیر را وارد کنید 


router# conf t


در حال حاضر شما امکان edit کردن تنظیمات router را دارید برای اضافه کردن دستور اجدید که کافی است تنها دستور را وارد کنید و برای حذف دستور قبلی لازم است قبل از آن کلمه no را بکار برید به طور مثال برای حذف radius-server retransmit 3 به روش زیر عمل میکنیم :


Router # conf t
Router # no radius-server retransmit 3


و برای زخیره کردن تغییرات دستور Write را استفاده کنید توجه داشته باشید از این دستور زمانی استفاده کنید که مطمئن باشید تنظیمات صحیح است در صورتی که از write استفاده نکرده باشید و تنظیمات router مشکل پیدا کرده باشد با یک بار خاموش و روشن کردن router تنظیمات قبلی بازیابی خواهد شد .

و اما برای تنظیم کردن interface ها ابتدا لازم است وارد interface مربوطه شوید به طور مثال برای اضافه کردن دستور ppp authentication pap chap بایستی مراحل زیر را طی کنید :


Router# conf t
Router# interface group-async 1
Router ....# ppp authentication pap chap
Router.....# exit
router#


حتما فراموش نشود تا قبل از مطمئن نشدن از اینکه تنظیمات صحیح است از write استفاده نکنید که راه برگشت برای شما وجود داشته باشد و از configuration کپی برداری کنید.
در ضمن چنانچه در log nttacplus هنگام اتصال کاربران گزارشی مشاهده میکنید ارتباط router با nttacPlus برقرار است و مشکل از نحوه تنظیم کردن و اضافه کردن کاربر در nttacplus می باشد .

برای تعریف کاربر در nttacplus مراحل زیر را انجام دهید:

1- در nttac plus کلید f10 را بزنید 
2- نام username را تایپ کنید از tab Password رمز را وارد کنید و گزینه encrypted Password را غیر فعال کنید 
3- از tab Group Member ship گروه PPP را به کاربر نسبت دهید 
4- کلید Update را بزنید




> حالا این برام سوال شده چرا بعد از اون همه تست کردن فقط 2 بار اتصال بر قرار شد اصلا کلاینت به کجاوصل شده و حدس من در مورده LAT مربوط به isa درست بوده


این مورد برمیگرده به نحوه routing که در router تعریف شده 
شما موارد فوق را بررسی کنید نتایج رو اعلام کنید که بقیه موارد را انجام دهیم.

موفق باشید

----------


## Identifier

> آقای ذوالقدری شما در پست چطوری کدها رو از چپ به راست مینویسید 
> مال من بعد از ارسال کدها همه از راست به چپ شد


کدهای خودتون رو بین [/code] و [code] قرار دهید.

----------


## shab550

ip مربوط به سروری که nttac روش نصبه همون 172.30.130.3 تنظیم کردم
حقیقتا چون تا حالال تنظیمات روتری رو انجام ندادم از دست زدن به اون می ترسم 
این کپی که گفتید بگیرم از تنظیمات ، این کپی کجا میره و چه طوری بازیابی میشه
اینکه میفرمایید تنظیمات radius مشکلی نداره دستوراتی که بعد از aaa new model  امده رو میگید و     Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646  ?
این قسمتهایی که زیر دستور 
 Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646   
اومده یعنی چی:

 Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
Dead:…
Authen: request 252,timeouts 252
            …failure 63
Author:request 0 , …
Account: request 1344,timeout 1344…..failure 336

یعنی 252 درخواست برای authenticatin داشتیم که 64 تا fail شده ؟و اینکه هیچکدام به مرحله authorize نرسیده؟
این تنظیمات رو چی کدوم رو تغییر بدم .آیا اشتباس

interface group-async1
ip unnumbered fastEthernet0/0 
ip nat inside 
encapsulation ppp
ip tcp header-compression passive 
async mode interactive
peer default ip address pool global
no fair-queue
ppp authentication pap chap ms-chap


و اما در مورد nttac همون تنظیماتی که فرمودین رو انجام میدم ظاهرا روی روتر هم که key تنظیم نشده ، برای nttac تنظیمات دیگه ایی لازم نیست؟(قسمتی که وقتی کلید f8 رو میزنیم میاد )
ip که کلاینت میبایست بگیره رو دقیقا در کدوم tab وارد کنم ؟

----------


## shab550

در ضمن تغییراتی روی LAT مربوط به ISA انجام ندم

----------


## Identifier

> این کپی که گفتید بگیرم از تنظیمات ، این کپی کجا میره و چه طوری بازیابی میشه


زمانی که Configuration گرفتید ابتدا آن را Select کنید و در یک فایل متنی ذخیره کنید و این عمل فقط شما را در راستای دوباره config کردن یاری می کند .




> Authen: request 252,timeouts 252
> …failure 63


هیچ authentication برقرار نشده و ارتباط بین router و سیستم accounting برقرار نشده برای برای مشخص کردن اینکه آیا router با nttacplus ارتباط دارد یا نه از طریق زیر عمل کنید ونتیجه را بگید 

router# ping 172.30.130.3


جواب بایستی 5 تا علامت تعجب باشد !!!!! در غیر اینصورت مشکل از نحوه IP دادن و این جور مسائل است




> این تنظیمات رو چی کدوم رو تغییر بدم


این تنظیمات هم به نظر نمیاد مشکلی داشته باشه




> و اما در مورد nttac همون تنظیماتی که فرمودین رو انجام میدم ظاهرا روی روتر هم که key تنظیم نشده ، برای nttac تنظیمات دیگه ایی لازم نیست؟(قسمتی که وقتی کلید f8 رو میزنیم میاد )


خیر




> ip که کلاینت میبایست بگیره رو دقیقا در کدوم tab وارد کنم ؟


در این مرحله نیاز به تنظیم کردن ip نیست ابتدا بایستی اشکال در authentication را برطرف کرد.

موفق باشید

----------


## shab550

آقای ذوالقدری همون طور که فرمودین برای nttacplus
همون کارها رو انجام دادم یعنی فقط username و password  تعریف کردم و ppp رو به groupmembership نسبت دادم 
config روتر رو دست نزدم 
بعد از تست کردن باز error شماره 691 رو داد
ولی log گرفته بود و در log اینا رو نوشته بود :

:1645 :
account 'test' , password incorrect 
pap-authentication query for 'test' rejected

'test' همون username هست
پس معلومه ارتباط بین روتر و nttac برقرار شده , فقط authorize نشده
حالا لطف می کنید بقیه تنظیمات رو هم بگید

----------


## shab550

البته password  رو هم از حالت encrypt خارج کردم

----------


## Identifier

در قسمت تعریف پسورد گزینه no Password را انتخاب کنید ببینید مشکل حل میشود یا نه اگر حل شد که مشکل از پسورد هست و دوباره پسورد را بدون encrypted تعریف کنید اگر باز جواب نگرفتید باید قسمت authentication group Async رو تغییر بدیم.

موفق باشید

----------


## Identifier

در ضمن برای اینکه در قسمت log بتونید ببینید کاربر چه پسوردی وارد کرده f8 را بزنید بعد از قسمت logging 4 گزینه زیر را فعال کنید :

*1- Authentication Sessions*
*2- Authorization Sessions*
*3- Accounting Sessions*
*4- Password Checking*

اینجوری اطلاعات بهتری در قسمت log در اختیار شما قرار داده میشه دوباره امتحان کنید نتیجه را بگید راحت تر میشه فهمید اشکال از کجاست .

موفق باشید

----------


## shab550

آقای ذوالقدری یه سوال 
زمانیکهMCSE میخوندم
به هنگام login کردن در ویندوز روی domain (اگه اسم domainباشه :seo.com) بعضی وقتها اینکارو میکردیم یعنی میزدیم : administrator@seo.com
یاseo\administrator
البته اگر در پنجره login در گزینه سوم اسم domain  را نزنیم 

یا بعضی وقتها که rras راه مینداختیم (و موارد مشابه ) وقتی می خواستیم وصل شویم username را به شکل
administrator@seo.com
یاseo\administrator
می زدیم 
 حالا در این پروژه ما، اینکه username , password رو نمیشناسه به این ربطی نداره ؟
(هر چند فرموده بودین که لازم نیست username رویAD تعریف شه ولی این مساله باز برام سوال شد )
البته من قبلا که اینطوری هم تست کرده بودم نتیجه نگرفتم

مطالبی هم که شما فرمودین شنبه تست میکنم 

پس مطمئن باشیم که دیگه روتر مشکلی نداره ؟

----------


## shab550

قسمت authentication group Async کجاست ؟
البته من مطمئنم که پسوورد رو درست وارد کردم

----------


## Identifier

> زمانیکهMCSE میخوندم
> به هنگام login کردن در ویندوز روی domain (اگه اسم domainباشه :seo.com) بعضی وقتها اینکارو میکردیم یعنی میزدیم : administrator@seo.com
> یاseo\administrator
> البته اگر در پنجره login در گزینه سوم اسم domain را نزنیم 
> 
> یا بعضی وقتها که rras راه مینداختیم (و موارد مشابه ) وقتی می خواستیم وصل شویم username را به شکل
> administrator@seo.com
> یاseo\administrator
> می زدیم 
> حالا در این پروژه ما، اینکه username , password رو نمیشناسه به این ربطی نداره ؟


بدلیل اینکه nttac plus مستقل کار میکند چنین چیزی که شما فرمودید در این مورد صدق نمی کند .

در اکتیو دایرکتوری چونکه شما ممکن است clustring داشته باشید این مورد وجود دارد البته با تنظیمات dns قابل برطرف کردن می باشد .

و async gourp authentication هم قسمت مربوط به تنظیمات router هست که در صورت رفع نشدن مشکل بایستی بررسی شود.

احتمال زیاد router نیاز به تغییرات چندانی ندارد و تنظیمات صحیح است فقط اگر مسئله password Encryption رعایت نشده باشد نیاز به تغییر می باشد.

موفق باشید

----------


## shab550

گفتم موقع تست کردن از طریق مودم error شماره 691 میده 

error 691 : access was denied because the user name and/or password was invalid on the domain 

 مختوای error نمی تونه راهنمایی کنه ؟

----------


## Identifier

> مختوای error نمی تونه راهنمایی کنه ؟


خیر - این مورد به خیلی از موارد میتونه وابسته باشه به عنوان مثال :
1- برقرار نشدن ارتباط با accounting Servet
2- نادرستی تنظیمات Router
3- مشکل در تنظیمات nttacPlus
4- مشکل در اطلاعات user
و  .....

Log NTTacPlus اگر بنویسید میتونه کمکی باشه در این راستا .

موفق باشید

----------


## shab550

سلام
من گزینه no password  رو زدم و تست کردم همون error شماره 691 اومد و log مربوطه در nttacplus به این صورت بود :

 DEBUG# RAD_AUTHEN :1645[4A]:Authentication request for 'test' on (null)
 DEBUG# RAD_AUTHEN :1645[4A]:Account 'test' has not expired (exp.date = never)
 DEBUG# RAD_AUTHEN :1645[4A]:## password verify: configured='[NONE]' entered=''
 DEBUG# RAD_AUTHEN :1645[4A]:Account 'test', password is OK
 DEBUG# RAD_AUTHEN:1645[4A]:Adding the following attributes in auth-response for 'test' on Async40
 DEBUG# RADIUS attribute (author-reply): Service-Type = Framed
 DEBUG# RADIUS attribute (author-reply): Framed-Protocol = PPP
 DEBUG# RADIUS attribute (author-reply): Framed-IP-Address = 255.255.255.254
# RAD_AUTHEN :1645[4A]:pap-authentication query for 'test' accepted

بعد که پسورد زدم برای اون username ،این log  رو داد:

 DEBUG# RAD_AUTHEN :1645[47]:Authentication request for 'test' on (null)
 DEBUG# RAD_AUTHEN :1645[47]:Account 'test' has not expired (exp.date = never)
 DEBUG# RAD_AUTHEN :1645[47]:## password verify: configured='aa12345' entered='q¤ںؤچ›Pٹlنâw'
 RAD_AUTHEN :1645[47]:Account 'test', password is INCORRECT
 RAD_AUTHEN :1645[47]:pap-authentication query for 'test' rejected

----------


## shab550

پسورد encrypt شده رو زدم باز هم جواب نگرفتم

----------


## Identifier

دستور زیر را در روتر اضافه کنید


no service password-encryption

مشکلتان برطرف خواهد شد

موفق باشید

----------


## shab550

آقای ذوالقدری این دستوری که میفرمایید روی config روتر هست همون اولش که میزنم 
show startup-config این خطوط میاد :

router#show startup-config
using 2057 out of 29688 bytes
!
version 12.2
service timestamps degug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
aaa new-model
!
!
aaa ....

این دستوری که میفرمایید باید دوباره اضافه کنم ؟کجا؟چطوری
بیشتر توضیح میدین
این دستور دقیقا چه کار میکنه

----------


## Identifier

چون ورژن IOS شما 12.2 است و بایستی دستور  زیر به config شما اضافه شود 


service password-encryption


اضافه شود به شکل زیر


router # conf t
router ....# service password-encryption
router .....# exit


مجددا تست کنید

موفق باشید

----------


## shab550

آقای ذوالقدری کدوم بالاخره باید اضافه شود 
no service password-encryption
یا 
service password-encryption
بعد یه سوال دیگه 
بعد از اضافه کردن دستور باید از write استفاده کنم؟
اگه باید این کارو کنم چطوری؟

----------


## shab550

این دستور با مابقی config روتر که confilict پیدا نمیکنه

----------


## Identifier

service password-encryption

بایستی اضافه شود به شکلی که در پست قبلی توضیح دادم در ضمن از دستور write استفاده نکنید احیانا اگر مشکلی به وجود آمد با restart کردن router تنظیمات به حالت اولیه باز خواهد گشت.




> این دستور با مابقی config روتر که confilict پیدا نمیکنه


خیر

موفق باشید.

----------


## shab550

همونطور که فرمودین دستورات رو وارد کردم بدون write کردن 
ولی همون error و نتیجه قبلی رو داد و توی log هم همون چیزهای قبلی رو نوشت 
بعد که از روتر show config گرفتم دیدم هنوز دستور 
no service password-encryption هست و ظاهرا دستوری که  من دادم روی اون تاثیری نکرده

ولی دقیقا همونطور که فرمودین وارد کردم حتی وقتی جواب نگرفتم دوباره دستورات رو زدم
فکر نمیکنید به این خاطر باشه که از write استفاده نکردم؟
چه طوری باید از write استفاده کنم

----------


## Identifier

> همونطور که فرمودین دستورات رو وارد کردم بدون write کردن 
> ولی همون error و نتیجه قبلی رو داد و توی log هم همون چیزهای قبلی رو نوشت 
> بعد که از روتر show config گرفتم دیدم هنوز دستور 
> no service password-encryption هست و ظاهرا دستوری که من دادم روی اون تاثیری نکرده


این دستور config که دستوراتی که به هنگام بالا آمدن router استفاده می شود نمایش می دهد برای اینکه config فعال را ببینید از دستور :

router#show running-config

استفاده کنید در ضمن نیازی نیست از write استفاده کنید و اگر امکان دارد log هایی که الان به شما داده میشه رو به همراه config با دستوری که گفتم البته ip ها را حذف کنید بفرستید.

موفق باشید

----------


## Identifier

> من از جایی telnet زدم به روتر که رنج ip ش با رنج ip روتر متفاو ته
> از هر رنج ip میتونم به روتر telnet بزنم ؟


از اونجایی که   Ip Valid  هست و access-list 10 برای vty تعریف نشده بله.

موفق باشید

----------


## Identifier

زمانی که شما no Password را میزنید مثل اینکه ظاهرا authentication انجام میشه ولی چرا 691 باید config کامل رو دید. تا بشه دقیقا گفت مشکل از کجاست در هر حال من یک نمونه Config رو ایجا میگذارم که شما و دیگر دوستان استفاده کنید .

و مشکل شما هم اینکه احتمال دارد برای radius-server key  تعریف کرده باشند کانفیگتون را مقایسه کنید و یا به این شکلی که من اینجا گذاشتم بگذارید تا دقیق تر مشخص باشد .


 
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname itrc-cisco-3600
!
aaa new-model
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update newinfo
aaa accounting network default start-stop group radius
!
ip subnet-zero
!
!
ip name-server 192.9.9.3
!
!
!
!
interface FastEthernet0/0
 description connected to valid
 ip address xx.xx.xx.xx 255.255.255.0
 ip access-group 101 in
 ip nat outside
 no ip mroute-cache
 duplex auto
 speed auto
!
interface Serial0/0
 ip unnumbered FastEthernet0/0
 encapsulation ppp
 no ip mroute-cache
 shutdown
 clockrate 2000000
!
interface FastEthernet0/1
 description connected to invalid
 ip address 192.168.20.1 255.255.255.0
 ip access-group 101 in
 ip nat inside
 no ip mroute-cache
 duplex auto
 speed auto
!
interface Group-Async1
 ip unnumbered FastEthernet0/1
 ip access-group 101 in
 ip nat inside
 encapsulation ppp
 no ip mroute-cache
 async mode interactive
 peer default ip address pool group2
 compress mppc
 ppp authentication pap chap
 group-range 33 48
!
ip local pool group1 192.168.20.64 192.168.20.94
ip local pool group2 192.168.20.95 192.168.20.97
ip nat inside source list 110 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
no ip http server
ip pim bidir-enable
!
access-list 10 permit xx.xx.xx.xx
access-list 10 permit xx.xx.xx.xx
access-list 101 deny   tcp any any eq 137
access-list 101 deny   udp any any eq netbios-ns
access-list 101 deny   tcp any any eq 139
access-list 101 deny   udp any any eq netbios-ss
access-list 101 deny   tcp any any eq 135
access-list 101 deny   udp any any eq 135
access-list 101 deny   tcp any any eq 445
access-list 101 deny   udp any any eq 445
access-list 101 deny   tcp any any eq 593
access-list 101 deny   udp any any eq 593
access-list 101 deny   tcp any any eq 4040
access-list 101 deny   udp any any eq 4040
access-list 101 deny   tcp any any eq 2140
access-list 101 deny   udp any any eq 2140
access-list 101 deny   tcp any any eq 4444
access-list 101 deny   udp any any eq 4444
access-list 101 permit ip any any
access-list 110 permit ip 192.168.20.0 0.0.0.255 any
access-list 110 deny   ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
radius-server host xx.xx.xx.xx auth-port 1812 acct-port 1813
radius-server retransmit 3
!
line con 0
line 33 48
 session-timeout 15
 exec-timeout 0 0
 no flush-at-activation
 modem Dialin
 modem autoconfigure discovery
 autoselect ppp
 stopbits 1
 flowcontrol hardware
line 65 80
 session-timeout 15
 exec-timeout 0 0
 no flush-at-activation
 modem Dialin
 modem autoconfigure discovery
 autoselect ppp
 stopbits 1
 flowcontrol hardware
line aux 0
line vty 0 4
 access-class 10 in
 password 7 xxxx
!
end



پاینده و پیروز باشید

----------


## shab550

با چه دستوری بفهمم که براش key  گذاشتن یا نه

----------


## Identifier

دوست عزیز show running-config را که اجرا کردید بعد از قسمتی که radius server تعریف شده اگر دستور  radius-server key را مشاهده کردید مطمئنا Key تعریف شده

موفق باشید.

----------


## shab550

config کدوم قسمت نیازه که براتون بفرستم؟

اگه بخوام secret key رو در nttac اضافه کنم با f8 در تب secret ، باید ip روتر رو بزنم با key ؟

----------


## Identifier

دوست عزیز به نکات زیر توجه کنید :

1- با استفاده از دستور show running-config کانفیگ دستگاه به طور *کامل* ارسال کنید config ارسالی شما کامل نیست در ضمن تنها همین کانفیگ کفایت میکند .

2- secret key که در nttac تعریف می شود با secret key که در router است بایستی یکسان باشد.

موفق باشید

----------


## shab550

> زمانی که شما no Password را میزنید مثل اینکه ظاهرا authentication انجام میشه ولی چرا 691 باید config کامل رو دید


تا زمانیکه authorize برقرار نشده شاید به این خاطر این error رو میده .
از طرفی این client در هنگام وصل شدن ip ش رو از کجا میخواد بگیره من که هنوز براش تعریف نکردم که از کجا بگیره

----------


## shab550

secret key روتر رو از کجا بفهمم

----------


## Identifier

> تا زمانیکه authorize برقرار نشده شاید به این خاطر این error رو میده .
> از طرفی این client در هنگام وصل شدن ip ش رو از کجا میخواد بگیره من که هنوز براش تعریف نکردم که از کجا بگیره


اینجا شما nat کردید و همچنین pool تعریف شده :

ip nat inside
 peer default ip address pool Global

----------


## shab550

> اینجا شما nat کردید و همچنین pool تعریف شده :
> 
> 
> کد:
> ip nat inside
>  peer default ip address pool Global


یعنی چی ، ip از چی میگیره

----------


## Identifier

از اون pool که تعریف کردید به نام global از رنج IP که تعریف شده یک IP گرفته میشه .

----------


## Identifier

اشکال شما از radius Key هست یا بایستی key را در router و nttacplus یکسان تعریف کنید و یا بایستی هر دو را حذف کنید طریقه حذف کردن دستورات روتر به ای شکل است که ابتدا no را قبل از دستور مورد نظر بیاورید به طور مثال برای حذف کردن Key به شکل زیر عمل میکنیم :

# conf t
(config)# no radius-server key 

فرموش نشود در nttacplus هم key حذف شود .
در ضمن میتوانید مجددا برای هر دو طرف key تعریف کنید برا اضافه کردن هم کافیه به صورت زیر عمل کنید :

# conf t 
(config) # radius-server key 123456


موفق باشید

----------


## shab550

log برای account با پسوورد 

:Authentication request for 'test' on (null)
:Account 'test' has not expired (exp.date = never)
:## password verify: configured='123' entered='+”`‚"ٹث&#188;-@'u&#165;'
:Account 'test', password is INCORRECT
:pap-authentication query for 'test' rejected

 و بدون پسورد 

:Authentication request for 'zarif' on (null)
:Account 'zarif' has not expired (exp.date = never)
:## password verify: configured='[NONE]' entered=''
:Account 'zarif', password is OK
:Adding the following attributes in auth-response for 'zarif' on Async40
 RADIUS attribute (author-reply): Service-Type = Framed
 RADIUS attribute (author-reply): Framed-Protocol = PPP
 RADIUS attribute (author-reply): Framed-IP-Address = 255.255.255.254
:pap-authentication query for 'zarif' accepted

----------


## Identifier

Encryption ها را مجددا در Router و NttacPlus بررسی کنید و همچنین برای کاربری که تعریف کرده اید یکی از گروه های PPP و یا standard به آن اضافه کنید .

موفق باشید

----------


## shab550

چرا وقتی که اتصال dialup برقرار میشه سرعت اینتقدر کم هست

----------


## Identifier

> چرا وقتی که اتصال dialup برقرار میشه سرعت اینتقدر کم هست


این به عوامل زیادی بستگی دارد به عنوان مثال :

1- خطوط کاربر - در صورتی خط تلفن کاربر و یا مرکز از نوع PCM باشد سرعت اتصال به اینترنت پایین است

2- عدم وجود پهنای باند کافی 

3- تنظیم کردن پهنای باند در group async روتر که میتوان میزان پهنای باند تخصیص داده به کاربر را تنظیم کرد .

4 - CACHE سرور نقش مؤثری در سرعت دارد البته در صورتی که به صورت بهینه تنظیم شده باشد 

معمولا خطوط آنالوگ با 33k متصل میشد و مشکل PCM به وفور مشاهده می شود .

موفق باشید

----------


## vbstar

با سلام
جناب ذوالقدری اگز لطف کنید و مطالب راه اندازی NtTacPlus را بصورت یک فایل doc یا pdf جهت استفاده در سایت قرار دهید ممنون می شوم.
چون شما تمامی مطالب را بصورت پیوسته بیان کرده اید.
 تقریباٌ نیازمند یک ویرایش و دسته بندی فهرستی جهت راه اندازی کامل و بی دققه هست.

----------


## Identifier

> با سلام
> جناب ذوالقدری اگز لطف کنید و مطالب راه اندازی NtTacPlus را بصورت یک فایل doc یا pdf جهت استفاده در سایت قرار دهید ممنون می شوم.
> چون شما تمامی مطالب را بصورت پیوسته بیان کرده اید.
> تقریباٌ نیازمند یک ویرایش و دسته بندی فهرستی جهت راه اندازی کامل و بی دققه هست.


تقریبا در پست دوم این تاپیک توضیحات ارائه داده شده و همچنین مواردی که کاربران با آن مواجه شده اند در این تاپیک مطرح شده و نحوه تنظیم کردن nttacplus هم در این تاپیک بیان شده است .

موفق باشید.

----------


## shab550

آقای ذوالقدری یک سوال : چرا ارتباط کلاینتهای remote هر 10 دقیقه یا 15 دقیقه(یا کمتر یا بیشتر) یه بار قطع میشه و لازم میشه که دوباره کانکت کرد ، در حالیکه به غیر از username و پسورد و shared key  مابقی تنظیماتnttac به صورت  default هست ؟ آیا باید تنظیمات خاصی اعمال شه ؟

----------


## Identifier

> چرا ارتباط کلاینتهای remote هر 10 دقیقه یا 15 دقیقه(یا کمتر یا بیشتر)


این مورد در اکثر مواقع مربوط به خطوط تلفن است , و همچنین اتصالات مربوطه است
اما در شرایط دیگری هم امکان رخ دادن این اتفاق وجود دراد:
1- عدم سازگاری مودم کاربر با مودم های روتر
2- وجود نویز در خط ارتباط کاربر
3- مشکل در درایور مودم (در access server های همچون as5200 و as5300و ....)
4- تنظیم نا صحیح traps های SNMP و تعریف Maximom Online Time در NttacPlus 
5- ...

موفق باشید.

----------


## shakiba2211

با سلام
 نرم افزار NTTACPLUS  رو از کجا میتونم دانلود کنم؟
 اگه کسی لینکشو داره لطفا معرفی کنه.
 با تشکر

----------


## mohaghegh

با سلام و خسته نباشید 
من صحبت های شما در مورد ارتباط Nttac+ و روتر را در یکی از تاپیک ها خوندم . فکر کنم در رابطه با مشکل من بتونید من را راهنمایی کنید. 
تنظیمات روتر و Nttac من درسته و کاربر ها با وی پی ان ی که بر روی سیستم هایشان با پروتکل PPTP ساخته شده مشکلی برای برقراری ارتباط ندارند. ولی من میخواهم که کاربرهای من با پروتکل L2TP به Nttac+ وصل بشوند. چون جدیدا IOS پروتکل PPTP  را برای ساختن ***برداشته است. در این رابطه میتوانید من را راهنمایی کنید.
با تشکر

----------

