В данный момент есть стенд на GNS+VMWare.
На VM крутится Cisco ACS 4.2 (4.2(0) Build 124)
Задача: настроить VPN Client с per-user (в данном варианте, per-group) ACL.
Есть, вроде, две “примитивные” статьи, как ОНО должно быть:
1. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication”
http://www.cisco.com/en/US/tech/tk583/t ... 46b7.shtml2. “Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS”
http://www.cisco.com/en/US/tech/tk583/t ... 49ba.shtmlOK, ставим ACS, прописываем клиентом нужную кошку…..
Делаем 1. – все работает…..
Пытаемся сделать 2. – засада.
a) Ну, во первых, прописывается несколько паролей:
1. В USER (3000client) –cisco
2. В Группе - IETF RADIUS Attributes - [069] Tunnel-Password – cisco123
Какой “правильный”?
В книжке говориться: “Attribute 69: Tunnel-Password=cisco123 (this is your group password on the VPN Client)”…. А первый, тогда, к чему?
Кроме того, изначально, 069 опции нет…(Включил через Interface-Radius(IETF))
b) Прописываем cisco-av-pair
ipsec:key-exchange=ike
ipsec:key-exchange=preshared-key (какой?!!)
ipsec:addr-pool=IPPOLL
ipsec:inacl=AC
Фик с ним, ставим одинаковые пароли в user и group
Пытаемся “сцепиться”:
Клиент не цепляется…
1. В логе ACS - “ACS password invalid” (группу правильно определяет)
2. На кошке - %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from “CLIENT IP” was not encrypted and it should've been.
Последнее, вроде, говорит о том, что IKE не срабатывает…Т.е., кошке не передается приемлемого профайла.
Повторюсь…
Если группу прописывать “руками”, то все работает…
В чем не прав и что упустил?