--------------------------------------------------------------------------------
سلام
روتر من 2610 هست .یکی قبل از من می خواسته اینجا تو سازمانمون ras راه بندازه با این روتر و nttacplus ولی کارش نصفه مونده و قراردادش هم تموم شده حالا من باید راه بندازم.زیاد دستورات روتر رو بلد نیستم .می خوام با پروتوکل radius این کارو بکنم .
شخص قبلی یه کار هایی کرده بوده این تنظیمات رو که میفستم انجام داده نمی دونم چه قدرش درسته اگه اشتباه هست منو راهنمایی میکنید؟
من با همین دستورات config شده روی روتر nttacplus رو نصب کردم و یکسری تنظیمات هم انجام دادم ولی نتیجه نگرفتم و وقتی تست می کردم که از بیرون وصل شم بعد از بوق وصل شدن در مرحلهverify username and password ، میگه که این username and password روی domain تعریف نشده error 691 و هر چه قدر هم که تنظیمات nttacplus رو عوض میکنم و username رو هم روی active directory تعریف میکنم و تب dialin اون رو هم allow میزنم باز هم همین error رو میده حالا نمی دونم ایراد از روتر هست یا nttac
دستورات اینا هستن :
Router#show startup-config
!
.
Aaa new model
!
Aaa authentication login locallogin local
Aaa authentication ppp default group radius local
Aaa authentication network default group radius local if-authenticated
Aaa accounting update newinfo
Aaa accounting network default start-stop group radius
Aaa session-id common
!
.
Router#show aaa servers
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
Dead:…
Authen: request 252,timeouts 252
…failure 63
Author:request 0 , …
Account: request 1344,timeout 1344…..failure 336
.
Omidvaram in dastoorat kafi bashe
(اینجا از راست به چپ دستورات اومده)

دوست عزیز شما بایستی به چند نکته برای انجام این کار توجه داشته باشید :
1- نیازی به تعریف کاربر بر روی ad نیست و nttacplus خود به صورت مستقل می تواند authetication را انجام دهد لیکن باید تنظیمات خود را تکمیل کنید

تنظیمات authentication و accounting را به صورت زیر انجام دهید


aaa new-model
Aaa authentication network default group radius local if-authenticated
aaa authentication ppp default group radius
aaa accounting update newinfo
aaa accounting network default start-stop group radius


در مرحله بعدی نیاز هست که Radius server و پورت های مربوطه را به Router معرفی کنید به شکل زیر



radius-server host XXX.XXX.XXX.XXX auth-port 1812 acct-port 1813
radius-server retransmit 3

به جای عبارت xxx.xxx.xxx.xxx شما بایستی ip سیستمی که nttac نصب هست قرار دهید و در صورتی که از key استفاده میکنید بایستی key هم به صورت زیر تعریف کنید (به صورت پیش فرض در nttacplus key تعریف نشده)



radius-server key 7 070635504D

خوب در مرحله بعدی باسیتی authentication را بر روی nm16 فعال کنید به صورت زیر



!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
ip tcp header-compression passive
ip policy route-map proxy
bandwidth 20000
async mode interactive
peer default ip address pool XXXX
ppp authentication pap chap
group-range 1 16
!

خط قرمز رنگ حتما بایستی در Group Async اضافه شود .
تنظیمات روتر به پایان رسید nttacplus را باز کنید و f4 را فشار دهید پنجره log را خواهید دید و اگر تنظیمات شما با موفقیت انجام شده باشد بایستی هنگام اتصال کاربران در این قسمت log های مربوطه را مشاهده کنید.

موفق باشید

ias رو deactive کردی؟

آیا authentication و accounting رو از روی ras به پورت های nttac فرستادی؟
و اینکه فقط از pap و chap در authentication methods توی ras استفاده کردی؟

نحوه نصب و تنظیم nttac رو امکان داره از اول تا آخر بیان کنید؟ اگر لینک مقاله اون هم باشه ممنون می شم

نحوه نصب و تنظیم nttac رو امکان داره از اول تا آخر بیان کنید؟ اگر لینک مقاله اون هم باشه ممنون می شم.
نحوه تنظیم کردن router در پست قبلی به طور نسبتا کامل بیان شد و تنها مواردی از تنظیمات nttacPlus مونده که اون هم چنانچه دوستمون تا اینجای کار نتیجه بگیرند به طور کامل تشریح میکنم.

موفق باشید

از راهنماییاتون واقعا ممنونم
با عرض معذرت چند تا سوال دارم ،
آیا این تنظیماتی که انجام شده در قسمت:
Router#show aaa servers
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
(یعنی وقتی دستور show را برای aaa server اجرا کردم و اینا نشون داده شد)
اشتباهه ؟
آقای ذوالقدری دقیقا این دستوراتی که نوشتید رو من کجا باید وارد کنم راستش من زیاد ccna بلد نیستم .بعد از اینکه با دستور enable وارد شدم (بعد از #router چی تایپ کنم) و اگر من اشتباهی کنم بر فرض، آیا روی مابقی تنظیمات روتر که برای اتصال به اینترنت و isa server هست مشکلی ایجاد نمیشه و اون تنظیمات به هم نمی خوره ؟
در ضمن من بدون nttacplus و با ias هم که تنضیمات رو انجام دادم باز هم همون error 691 رو داد.
اگه هم nttacplus و هم ias فعال باشن چه اتفاقی می افته (البته من اینکارو نکردم )
و سواله آخرم هم اینه که اوایل که شروع کردم به راه اندازی ras بدونه اینکه حتی به روتر telnet بزنم و config اونو بدونم که چیه (چون به گفته کسی که config رو انجام داده بود و گفت که تنظیمات رو انجام داده و پورتهای 1645, 1646 رو بازکرده ، اعتماد کردم ) nttacplus رو نصب کردم و یه سری تنظیمات رو هم انجام دادم بعد از چند بار تست کردن پشت سر هم ، در یکی از تست کردنها اتصال انجام شد و با سرعت 28.8 وصل شدم ،ip سرور رو یکی از ip های valid ی که داریم شده بود البته الان اون ip که client گرفته بود خاطرم نیست از چه رنجی بود ، ولی وقتی internet explorer رو اجرا کردم به اینترنت وصل نمیشد (2 بار در طول تست این اتفاق افتاد و من وصل شدم ) بعد فکر کردم شاید ip که client گرفته در LAT مربوط به isa server تعریف نشده نتوانسته که به اینترنت وصل شودزیرا وقتی log مربط به nttacرو خوندم اتصال بر قرار شده بود (البته بعدا بنا به دلایلی مجور شدم که nt tac رو دوباره نصب کنم )حالا این برام سوال شده چرا بعد از اون همه تست کردن فقط 2 بار اتصال بر قرار شد اصلا کلاینت به کجاوصل شده و حدس من در مورده LAT مربوط به isa درست بوده ؟واینکه اگه config روتر اشتباهه پس چرا اون 2 اتصال بر قرار شد
می بخشید که تعداد سوالام زیاده

Aaa new model
!
Aaa authentication login locallogin local
Aaa authentication ppp default group radius local
Aaa authentication network default group radius local if-authenticated
Aaa accounting update newinfo
Aaa accounting network default start-stop group radius
Aaa session-id common

این دستورات برای قسمت اول کافیه ؟
و برای قسمت فعال کردن nm16 اینا اومده .کافیه؟
interface group-async1
ip unnumbered fastEthernet0/0
ip nat inside
encapsulation ppp
ip tcp header-compression passive
async mode interactive
peer default ip address pool global
no fair-queue
ppp authentication pap chap ms-chap

آقای ذوالقدری شما در پست چطوری کدها رو از چپ به راست مینویسید
مال من بعد از ارسال کدها همه از راست به چپ شد

Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
آیا سیستمی که رو اون NTTacPlus نصب است IP اون 172.30.130.3 در حال حاضر router عملیات Accounting را به 173.30.130.3 ارجاع میده پس تنظیمات Radius در روتر انجام شده و پورت radius هم به صورت پیشفرض NTTacPlus هست


بعد از اینکه با دستور enable وارد شدم (بعد از #router چی تایپ کنم) و اگر من اشتباهی کنم بر فرض، آیا روی مابقی تنظیمات روتر که برای اتصال به اینترنت و isa server هست مشکلی ایجاد نمیشه و اون تنظیمات به هم نمی خوره ؟


اگر اشتباهی عمل کنید بله احتمان بروز همچین مشکلی وجود دارد و برای جلوگیری از این امر و اگر احیانا با چنین مشکلی برخورد کردید ابتدا از Configuration موجود کپی برداری کنید به این صورت :



show running-config


پس از مشاهده و کپی برداری از تنظیمات router مواردی که در پست اول به آن اشاره کردم را مورد بررسی قرار دهید البته با توضیحاتی که ارائه کردید نیازی به تغییر تنظیمات radius نیست و تنها مورد Async Group را بررسی کنید .

برای اینکه بتونید تنظیمات را تغییر بدید بایستی ابتدا دستور زیر را وارد کنید



router# conf t


در حال حاضر شما امکان edit کردن تنظیمات router را دارید برای اضافه کردن دستور اجدید که کافی است تنها دستور را وارد کنید و برای حذف دستور قبلی لازم است قبل از آن کلمه no را بکار برید به طور مثال برای حذف radius-server retransmit 3 به روش زیر عمل میکنیم :



Router # conf t
Router # no radius-server retransmit 3


و برای زخیره کردن تغییرات دستور Write را استفاده کنید توجه داشته باشید از این دستور زمانی استفاده کنید که مطمئن باشید تنظیمات صحیح است در صورتی که از write استفاده نکرده باشید و تنظیمات router مشکل پیدا کرده باشد با یک بار خاموش و روشن کردن router تنظیمات قبلی بازیابی خواهد شد .

و اما برای تنظیم کردن interface ها ابتدا لازم است وارد interface مربوطه شوید به طور مثال برای اضافه کردن دستور ppp authentication pap chap بایستی مراحل زیر را طی کنید :



Router# conf t
Router# interface group-async 1
Router ....# ppp authentication pap chap
Router.....# exit
router#


حتما فراموش نشود تا قبل از مطمئن نشدن از اینکه تنظیمات صحیح است از write استفاده نکنید که راه برگشت برای شما وجود داشته باشد و از configuration کپی برداری کنید.
در ضمن چنانچه در log nttacplus هنگام اتصال کاربران گزارشی مشاهده میکنید ارتباط router با nttacPlus برقرار است و مشکل از نحوه تنظیم کردن و اضافه کردن کاربر در nttacplus می باشد .

برای تعریف کاربر در nttacplus مراحل زیر را انجام دهید:

1- در nttac plus کلید f10 را بزنید
2- نام username را تایپ کنید از tab Password رمز را وارد کنید و گزینه encrypted Password را غیر فعال کنید
3- از tab Group Member ship گروه PPP را به کاربر نسبت دهید
4- کلید Update را بزنید


حالا این برام سوال شده چرا بعد از اون همه تست کردن فقط 2 بار اتصال بر قرار شد اصلا کلاینت به کجاوصل شده و حدس من در مورده LAT مربوط به isa درست بوده
این مورد برمیگرده به نحوه routing که در router تعریف شده
شما موارد فوق را بررسی کنید نتایج رو اعلام کنید که بقیه موارد را انجام دهیم.

موفق باشید

آقای ذوالقدری شما در پست چطوری کدها رو از چپ به راست مینویسید
مال من بعد از ارسال کدها همه از راست به چپ شد

کدهای خودتون رو بین [/code] و [code] قرار دهید.

ip مربوط به سروری که nttac روش نصبه همون 172.30.130.3 تنظیم کردم
حقیقتا چون تا حالال تنظیمات روتری رو انجام ندادم از دست زدن به اون می ترسم
این کپی که گفتید بگیرم از تنظیمات ، این کپی کجا میره و چه طوری بازیابی میشه
اینکه میفرمایید تنظیمات radius مشکلی نداره دستوراتی که بعد از aaa new model امده رو میگید و Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646 ?
این قسمتهایی که زیر دستور
Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
اومده یعنی چی:


Radius: id 1, priority 1, host 172.30.130.3 , auth-port 1645,acct-port 1646
State: current dead,duration…
Dead:…
Authen: request 252,timeouts 252
…failure 63
Author:request 0 , …
Account: request 1344,timeout 1344…..failure 336

یعنی 252 درخواست برای authenticatin داشتیم که 64 تا fail شده ؟و اینکه هیچکدام به مرحله authorize نرسیده؟
این تنظیمات رو چی کدوم رو تغییر بدم .آیا اشتباس


interface group-async1
ip unnumbered fastEthernet0/0
ip nat inside
encapsulation ppp
ip tcp header-compression passive
async mode interactive
peer default ip address pool global
no fair-queue
ppp authentication pap chap ms-chap


و اما در مورد nttac همون تنظیماتی که فرمودین رو انجام میدم ظاهرا روی روتر هم که key تنظیم نشده ، برای nttac تنظیمات دیگه ایی لازم نیست؟(قسمتی که وقتی کلید f8 رو میزنیم میاد )
ip که کلاینت میبایست بگیره رو دقیقا در کدوم tab وارد کنم ؟

در ضمن تغییراتی روی LAT مربوط به ISA انجام ندم

این کپی که گفتید بگیرم از تنظیمات ، این کپی کجا میره و چه طوری بازیابی میشه
زمانی که Configuration گرفتید ابتدا آن را Select کنید و در یک فایل متنی ذخیره کنید و این عمل فقط شما را در راستای دوباره config کردن یاری می کند .


Authen: request 252,timeouts 252
…failure 63
هیچ authentication برقرار نشده و ارتباط بین router و سیستم accounting برقرار نشده برای برای مشخص کردن اینکه آیا router با nttacplus ارتباط دارد یا نه از طریق زیر عمل کنید ونتیجه را بگید


router# ping 172.30.130.3


جواب بایستی 5 تا علامت تعجب باشد !!!!! در غیر اینصورت مشکل از نحوه IP دادن و این جور مسائل است


این تنظیمات رو چی کدوم رو تغییر بدم

این تنظیمات هم به نظر نمیاد مشکلی داشته باشه


و اما در مورد nttac همون تنظیماتی که فرمودین رو انجام میدم ظاهرا روی روتر هم که key تنظیم نشده ، برای nttac تنظیمات دیگه ایی لازم نیست؟(قسمتی که وقتی کلید f8 رو میزنیم میاد )


خیر


ip که کلاینت میبایست بگیره رو دقیقا در کدوم tab وارد کنم ؟
در این مرحله نیاز به تنظیم کردن ip نیست ابتدا بایستی اشکال در authentication را برطرف کرد.

موفق باشید

آقای ذوالقدری همون طور که فرمودین برای nttacplus
همون کارها رو انجام دادم یعنی فقط username و password تعریف کردم و ppp رو به groupmembership نسبت دادم
config روتر رو دست نزدم
بعد از تست کردن باز error شماره 691 رو داد
ولی log گرفته بود و در log اینا رو نوشته بود :


:1645 :
account 'test' , password incorrect
pap-authentication query for 'test' rejected

'test' همون username هست
پس معلومه ارتباط بین روتر و nttac برقرار شده , فقط authorize نشده
حالا لطف می کنید بقیه تنظیمات رو هم بگید

البته password رو هم از حالت encrypt خارج کردم

در قسمت تعریف پسورد گزینه no Password را انتخاب کنید ببینید مشکل حل میشود یا نه اگر حل شد که مشکل از پسورد هست و دوباره پسورد را بدون encrypted تعریف کنید اگر باز جواب نگرفتید باید قسمت authentication group Async رو تغییر بدیم.

موفق باشید

در ضمن برای اینکه در قسمت log بتونید ببینید کاربر چه پسوردی وارد کرده f8 را بزنید بعد از قسمت logging 4 گزینه زیر را فعال کنید :

1- Authentication Sessions
2- Authorization Sessions
3- Accounting Sessions
4- Password Checking

اینجوری اطلاعات بهتری در قسمت log در اختیار شما قرار داده میشه دوباره امتحان کنید نتیجه را بگید راحت تر میشه فهمید اشکال از کجاست .

موفق باشید

آقای ذوالقدری یه سوال
زمانیکهMCSE میخوندم
به هنگام login کردن در ویندوز روی domain (اگه اسم domainباشه :seo.com) بعضی وقتها اینکارو میکردیم یعنی میزدیم : administrator@seo.com
یاseo\administrator
البته اگر در پنجره login در گزینه سوم اسم domain را نزنیم

یا بعضی وقتها که rras راه مینداختیم (و موارد مشابه ) وقتی می خواستیم وصل شویم username را به شکل
administrator@seo.com
یاseo\administrator
می زدیم
حالا در این پروژه ما، اینکه username , password رو نمیشناسه به این ربطی نداره ؟
(هر چند فرموده بودین که لازم نیست username رویAD تعریف شه ولی این مساله باز برام سوال شد )
البته من قبلا که اینطوری هم تست کرده بودم نتیجه نگرفتم

مطالبی هم که شما فرمودین شنبه تست میکنم

پس مطمئن باشیم که دیگه روتر مشکلی نداره ؟

قسمت authentication group Async کجاست ؟
البته من مطمئنم که پسوورد رو درست وارد کردم

زمانیکهMCSE میخوندم
به هنگام login کردن در ویندوز روی domain (اگه اسم domainباشه :seo.com) بعضی وقتها اینکارو میکردیم یعنی میزدیم : administrator@seo.com
یاseo\administrator
البته اگر در پنجره login در گزینه سوم اسم domain را نزنیم

یا بعضی وقتها که rras راه مینداختیم (و موارد مشابه ) وقتی می خواستیم وصل شویم username را به شکل
administrator@seo.com
یاseo\administrator
می زدیم
حالا در این پروژه ما، اینکه username , password رو نمیشناسه به این ربطی نداره ؟

بدلیل اینکه nttac plus مستقل کار میکند چنین چیزی که شما فرمودید در این مورد صدق نمی کند .

در اکتیو دایرکتوری چونکه شما ممکن است clustring داشته باشید این مورد وجود دارد البته با تنظیمات dns قابل برطرف کردن می باشد .

و async gourp authentication هم قسمت مربوط به تنظیمات router هست که در صورت رفع نشدن مشکل بایستی بررسی شود.

احتمال زیاد router نیاز به تغییرات چندانی ندارد و تنظیمات صحیح است فقط اگر مسئله password Encryption رعایت نشده باشد نیاز به تغییر می باشد.

موفق باشید

گفتم موقع تست کردن از طریق مودم error شماره 691 میده


error 691 : access was denied because the user name and/or password was invalid on the domain

مختوای error نمی تونه راهنمایی کنه ؟

مختوای error نمی تونه راهنمایی کنه ؟
خیر - این مورد به خیلی از موارد میتونه وابسته باشه به عنوان مثال :
1- برقرار نشدن ارتباط با accounting Servet
2- نادرستی تنظیمات Router
3- مشکل در تنظیمات nttacPlus
4- مشکل در اطلاعات user
و .....

Log NTTacPlus اگر بنویسید میتونه کمکی باشه در این راستا .

موفق باشید

سلام
من گزینه no password رو زدم و تست کردم همون error شماره 691 اومد و log مربوطه در nttacplus به این صورت بود :


DEBUG# RAD_AUTHEN :1645[4A]:Authentication request for 'test' on (null)
DEBUG# RAD_AUTHEN :1645[4A]:Account 'test' has not expired (exp.date = never)
DEBUG# RAD_AUTHEN :1645[4A]:## password verify: configured='[NONE]' entered=''
DEBUG# RAD_AUTHEN :1645[4A]:Account 'test', password is OK
DEBUG# RAD_AUTHEN:1645[4A]:Adding the following attributes in auth-response for 'test' on Async40
DEBUG# RADIUS attribute (author-reply): Service-Type = Framed
DEBUG# RADIUS attribute (author-reply): Framed-Protocol = PPP
DEBUG# RADIUS attribute (author-reply): Framed-IP-Address = 255.255.255.254
# RAD_AUTHEN :1645[4A]:pap-authentication query for 'test' accepted

بعد که پسورد زدم برای اون username ،این log رو داد:


DEBUG# RAD_AUTHEN :1645[47]:Authentication request for 'test' on (null)
DEBUG# RAD_AUTHEN :1645[47]:Account 'test' has not expired (exp.date = never)
DEBUG# RAD_AUTHEN :1645[47]:## password verify: configured='aa12345' entered='q¤ںؤچ›Pٹlنâw'
RAD_AUTHEN :1645[47]:Account 'test', password is INCORRECT
RAD_AUTHEN :1645[47]:pap-authentication query for 'test' rejected

پسورد encrypt شده رو زدم باز هم جواب نگرفتم

دستور زیر را در روتر اضافه کنید



no service password-encryption

مشکلتان برطرف خواهد شد

موفق باشید

آقای ذوالقدری این دستوری که میفرمایید روی config روتر هست همون اولش که میزنم
show startup-config این خطوط میاد :


router#show startup-config
using 2057 out of 29688 bytes
!
version 12.2
service timestamps degug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
aaa new-model
!
!
aaa ....

این دستوری که میفرمایید باید دوباره اضافه کنم ؟کجا؟چطوری
بیشتر توضیح میدین
این دستور دقیقا چه کار میکنه

چون ورژن IOS شما 12.2 است و بایستی دستور زیر به config شما اضافه شود



service password-encryption


اضافه شود به شکل زیر



router # conf t
router ....# service password-encryption
router .....# exit


مجددا تست کنید

موفق باشید

آقای ذوالقدری کدوم بالاخره باید اضافه شود
no service password-encryption
یا
service password-encryption
بعد یه سوال دیگه
بعد از اضافه کردن دستور باید از write استفاده کنم؟
اگه باید این کارو کنم چطوری؟

این دستور با مابقی config روتر که confilict پیدا نمیکنه

service password-encryption

بایستی اضافه شود به شکلی که در پست قبلی توضیح دادم در ضمن از دستور write استفاده نکنید احیانا اگر مشکلی به وجود آمد با restart کردن router تنظیمات به حالت اولیه باز خواهد گشت.



این دستور با مابقی config روتر که confilict پیدا نمیکنه

خیر

موفق باشید.

همونطور که فرمودین دستورات رو وارد کردم بدون write کردن
ولی همون error و نتیجه قبلی رو داد و توی log هم همون چیزهای قبلی رو نوشت
بعد که از روتر show config گرفتم دیدم هنوز دستور
no service password-encryption هست و ظاهرا دستوری که من دادم روی اون تاثیری نکرده

ولی دقیقا همونطور که فرمودین وارد کردم حتی وقتی جواب نگرفتم دوباره دستورات رو زدم
فکر نمیکنید به این خاطر باشه که از write استفاده نکردم؟
چه طوری باید از write استفاده کنم

همونطور که فرمودین دستورات رو وارد کردم بدون write کردن
ولی همون error و نتیجه قبلی رو داد و توی log هم همون چیزهای قبلی رو نوشت
بعد که از روتر show config گرفتم دیدم هنوز دستور
no service password-encryption هست و ظاهرا دستوری که من دادم روی اون تاثیری نکرده

این دستور config که دستوراتی که به هنگام بالا آمدن router استفاده می شود نمایش می دهد برای اینکه config فعال را ببینید از دستور :


router#show running-config

استفاده کنید در ضمن نیازی نیست از write استفاده کنید و اگر امکان دارد log هایی که الان به شما داده میشه رو به همراه config با دستوری که گفتم البته ip ها را حذف کنید بفرستید.

موفق باشید

من از جایی telnet زدم به روتر که رنج ip ش با رنج ip روتر متفاو ته
از هر رنج ip میتونم به روتر telnet بزنم ؟

از اونجایی که Ip Valid هست و access-list 10 برای vty تعریف نشده بله.

موفق باشید

زمانی که شما no Password را میزنید مثل اینکه ظاهرا authentication انجام میشه ولی چرا 691 باید config کامل رو دید. تا بشه دقیقا گفت مشکل از کجاست در هر حال من یک نمونه Config رو ایجا میگذارم که شما و دیگر دوستان استفاده کنید .

و مشکل شما هم اینکه احتمال دارد برای radius-server key تعریف کرده باشند کانفیگتون را مقایسه کنید و یا به این شکلی که من اینجا گذاشتم بگذارید تا دقیق تر مشخص باشد .




version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname itrc-cisco-3600
!
aaa new-model
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update newinfo
aaa accounting network default start-stop group radius
!
ip subnet-zero
!
!
ip name-server 192.9.9.3
!
!
!
!
interface FastEthernet0/0
description connected to valid
ip address xx.xx.xx.xx 255.255.255.0
ip access-group 101 in
ip nat outside
no ip mroute-cache
duplex auto
speed auto
!
interface Serial0/0
ip unnumbered FastEthernet0/0
encapsulation ppp
no ip mroute-cache
shutdown
clockrate 2000000
!
interface FastEthernet0/1
description connected to invalid
ip address 192.168.20.1 255.255.255.0
ip access-group 101 in
ip nat inside
no ip mroute-cache
duplex auto
speed auto
!
interface Group-Async1
ip unnumbered FastEthernet0/1
ip access-group 101 in
ip nat inside
encapsulation ppp
no ip mroute-cache
async mode interactive
peer default ip address pool group2
compress mppc
ppp authentication pap chap
group-range 33 48
!
ip local pool group1 192.168.20.64 192.168.20.94
ip local pool group2 192.168.20.95 192.168.20.97
ip nat inside source list 110 interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
no ip http server
ip pim bidir-enable
!
access-list 10 permit xx.xx.xx.xx
access-list 10 permit xx.xx.xx.xx
access-list 101 deny tcp any any eq 137
access-list 101 deny udp any any eq netbios-ns
access-list 101 deny tcp any any eq 139
access-list 101 deny udp any any eq netbios-ss
access-list 101 deny tcp any any eq 135
access-list 101 deny udp any any eq 135
access-list 101 deny tcp any any eq 445
access-list 101 deny udp any any eq 445
access-list 101 deny tcp any any eq 593
access-list 101 deny udp any any eq 593
access-list 101 deny tcp any any eq 4040
access-list 101 deny udp any any eq 4040
access-list 101 deny tcp any any eq 2140
access-list 101 deny udp any any eq 2140
access-list 101 deny tcp any any eq 4444
access-list 101 deny udp any any eq 4444
access-list 101 permit ip any any
access-list 110 permit ip 192.168.20.0 0.0.0.255 any
access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
radius-server host xx.xx.xx.xx auth-port 1812 acct-port 1813
radius-server retransmit 3
!
line con 0
line 33 48
session-timeout 15
exec-timeout 0 0
no flush-at-activation
modem Dialin
modem autoconfigure discovery
autoselect ppp
stopbits 1
flowcontrol hardware
line 65 80
session-timeout 15
exec-timeout 0 0
no flush-at-activation
modem Dialin
modem autoconfigure discovery
autoselect ppp
stopbits 1
flowcontrol hardware
line aux 0
line vty 0 4
access-class 10 in
password 7 xxxx
!
end



پاینده و پیروز باشید

با چه دستوری بفهمم که براش key گذاشتن یا نه

دوست عزیز show running-config را که اجرا کردید بعد از قسمتی که radius server تعریف شده اگر دستور radius-server key را مشاهده کردید مطمئنا Key تعریف شده

موفق باشید.

config کدوم قسمت نیازه که براتون بفرستم؟

اگه بخوام secret key رو در nttac اضافه کنم با f8 در تب secret ، باید ip روتر رو بزنم با key ؟

دوست عزیز به نکات زیر توجه کنید :

1- با استفاده از دستور show running-config کانفیگ دستگاه به طور کامل ارسال کنید config ارسالی شما کامل نیست در ضمن تنها همین کانفیگ کفایت میکند .

2- secret key که در nttac تعریف می شود با secret key که در router است بایستی یکسان باشد.

موفق باشید

زمانی که شما no Password را میزنید مثل اینکه ظاهرا authentication انجام میشه ولی چرا 691 باید config کامل رو دید

تا زمانیکه authorize برقرار نشده شاید به این خاطر این error رو میده .
از طرفی این client در هنگام وصل شدن ip ش رو از کجا میخواد بگیره من که هنوز براش تعریف نکردم که از کجا بگیره

secret key روتر رو از کجا بفهمم

تا زمانیکه authorize برقرار نشده شاید به این خاطر این error رو میده .
از طرفی این client در هنگام وصل شدن ip ش رو از کجا میخواد بگیره من که هنوز براش تعریف نکردم که از کجا بگیره

اینجا شما nat کردید و همچنین pool تعریف شده :


ip nat inside
peer default ip address pool Global

اینجا شما nat کردید و همچنین pool تعریف شده :



کد:
ip nat inside
peer default ip address pool Global


یعنی چی ، ip از چی میگیره

از اون pool که تعریف کردید به نام global از رنج IP که تعریف شده یک IP گرفته میشه .

اشکال شما از radius Key هست یا بایستی key را در router و nttacplus یکسان تعریف کنید و یا بایستی هر دو را حذف کنید طریقه حذف کردن دستورات روتر به ای شکل است که ابتدا no را قبل از دستور مورد نظر بیاورید به طور مثال برای حذف کردن Key به شکل زیر عمل میکنیم :


# conf t
(config)# no radius-server key

فرموش نشود در nttacplus هم key حذف شود .
در ضمن میتوانید مجددا برای هر دو طرف key تعریف کنید برا اضافه کردن هم کافیه به صورت زیر عمل کنید :


# conf t
(config) # radius-server key 123456


موفق باشید

log برای account با پسوورد


:Authentication request for 'test' on (null)
:Account 'test' has not expired (exp.date = never)
:## password verify: configured='123' entered='+”`‚"ٹث¼-@'u¥'
:Account 'test', password is INCORRECT
:pap-authentication query for 'test' rejected

و بدون پسورد


:Authentication request for 'zarif' on (null)
:Account 'zarif' has not expired (exp.date = never)
:## password verify: configured='[NONE]' entered=''
:Account 'zarif', password is OK
:Adding the following attributes in auth-response for 'zarif' on Async40
RADIUS attribute (author-reply): Service-Type = Framed
RADIUS attribute (author-reply): Framed-Protocol = PPP
RADIUS attribute (author-reply): Framed-IP-Address = 255.255.255.254
:pap-authentication query for 'zarif' accepted

Encryption ها را مجددا در Router و NttacPlus بررسی کنید و همچنین برای کاربری که تعریف کرده اید یکی از گروه های PPP و یا standard به آن اضافه کنید .

موفق باشید

چرا وقتی که اتصال dialup برقرار میشه سرعت اینتقدر کم هست

چرا وقتی که اتصال dialup برقرار میشه سرعت اینتقدر کم هست

این به عوامل زیادی بستگی دارد به عنوان مثال :

1- خطوط کاربر - در صورتی خط تلفن کاربر و یا مرکز از نوع PCM باشد سرعت اتصال به اینترنت پایین است

2- عدم وجود پهنای باند کافی

3- تنظیم کردن پهنای باند در group async روتر که میتوان میزان پهنای باند تخصیص داده به کاربر را تنظیم کرد .

4 - CACHE سرور نقش مؤثری در سرعت دارد البته در صورتی که به صورت بهینه تنظیم شده باشد

معمولا خطوط آنالوگ با 33k متصل میشد و مشکل PCM به وفور مشاهده می شود .

موفق باشید

با سلام
جناب ذوالقدری اگز لطف کنید و مطالب راه اندازی NtTacPlus را بصورت یک فایل doc یا pdf جهت استفاده در سایت قرار دهید ممنون می شوم.
چون شما تمامی مطالب را بصورت پیوسته بیان کرده اید.
تقریباٌ نیازمند یک ویرایش و دسته بندی فهرستی جهت راه اندازی کامل و بی دققه هست.

با سلام
جناب ذوالقدری اگز لطف کنید و مطالب راه اندازی NtTacPlus را بصورت یک فایل doc یا pdf جهت استفاده در سایت قرار دهید ممنون می شوم.
چون شما تمامی مطالب را بصورت پیوسته بیان کرده اید.
تقریباٌ نیازمند یک ویرایش و دسته بندی فهرستی جهت راه اندازی کامل و بی دققه هست.

تقریبا در پست دوم این تاپیک توضیحات ارائه داده شده و همچنین مواردی که کاربران با آن مواجه شده اند در این تاپیک مطرح شده و نحوه تنظیم کردن nttacplus هم در این تاپیک (http://www.barnamenevis.org/forum/showthread.php?t=40531) بیان شده است .

موفق باشید.

آقای ذوالقدری یک سوال : چرا ارتباط کلاینتهای remote هر 10 دقیقه یا 15 دقیقه(یا کمتر یا بیشتر) یه بار قطع میشه و لازم میشه که دوباره کانکت کرد ، در حالیکه به غیر از username و پسورد و shared key مابقی تنظیماتnttac به صورت default هست ؟ آیا باید تنظیمات خاصی اعمال شه ؟

چرا ارتباط کلاینتهای remote هر 10 دقیقه یا 15 دقیقه(یا کمتر یا بیشتر)

این مورد در اکثر مواقع مربوط به خطوط تلفن است , و همچنین اتصالات مربوطه است
اما در شرایط دیگری هم امکان رخ دادن این اتفاق وجود دراد:
1- عدم سازگاری مودم کاربر با مودم های روتر
2- وجود نویز در خط ارتباط کاربر
3- مشکل در درایور مودم (در access server های همچون as5200 و as5300و ....)
4- تنظیم نا صحیح traps های SNMP و تعریف Maximom Online Time در NttacPlus
5- ...

موفق باشید.

با سلام
نرم افزار NTTACPLUS رو از کجا میتونم دانلود کنم؟
اگه کسی لینکشو داره لطفا معرفی کنه.
با تشکر

با سلام و خسته نباشید
من صحبت های شما در مورد ارتباط Nttac+ و روتر را در یکی از تاپیک ها خوندم . فکر کنم در رابطه با مشکل من بتونید من را راهنمایی کنید.
تنظیمات روتر و Nttac من درسته و کاربر ها با وی پی ان ی که بر روی سیستم هایشان با پروتکل PPTP ساخته شده مشکلی برای برقراری ارتباط ندارند. ولی من میخواهم که کاربرهای من با پروتکل L2TP به Nttac+ وصل بشوند. چون جدیدا IOS پروتکل PPTP را برای ساختن VPNبرداشته است. در این رابطه میتوانید من را راهنمایی کنید.
با تشکر