[Partage d'initié] Échec de l'authentification L2TP & PPP en raison de la configuration de l'attribut radius

101 0 10 0

Salut les gars, J'aimerais partager un cas intéressant qui implique une authentification par rayon L2TP. Le scénario qu'un de nos clients souhaite réaliser consiste à établir un tunnel L2TP d'une succursale à un siège, en authentifiant le côté distant à l'aide d'un serveur Radius. Bien sûr, ce n’était pas facile depuis le début :), des problèmes se posent. En effectuant une capture de paquet, le client a pu constater que le point de chute de ce problème était le processus CHAP PPP. Après réception du message d'authentification "ACCEPT" de notre rayon, le LNS AR2240 envoie immédiatement une erreur CHAP (aucune négociation à trois session en cause). Pour rendre cette information plus claire, je vais insérer la topologie:

200423df9fyeg99ao733ii.jpg?26.jpg


Il est certainement nécessaire de démarrer une session de débogage tout en essayant d'authentifier le rayon d'extrémité distant.

Sur LNS :

debugging ppp all

debugging l2tp all

debugging cm all

debugging radius all 

debugging aaa all


Je ne publierai pas tous les journaux de débogage ici, mais je peux vous dire quels messages j'ai été capable de repérer.

1. Demande d'authentification 

2. Authentification accepter 

3. Attr decode err. (type = 11) 

4. L'authentification échoue avec un utilisateur ou un mot de passe illégal. 

5. LCP ouvert à la fermeture.


Clairement, le message le plus important est le décodage d'erreur. Cela nous indique qu'un des attributs envoyés par le serveur Radius ne peut pas être décodé par le côté AR.

En vérifiant la capture de paquets, nous observons certains attributs privés de Microsoft impliqués dans le processus. De plus, l'attribut "Tunnel-Assignment-Id" a une longueur plus longue (15) que le maximum admis (6). Vérifiez le snip.

200922yqhq4v884w45qkup.jpg?261.jpg


En supprimant les attributs privés de Microsoft et en ajustant la longueur de l'attribut Tunnel-Assignment-Id, nous pourrons résoudre l'erreur de décodage et avancer avec le dépannage.

Il est important de supprimer les attributs inutiles des messages radius, en particulier lorsque vous travaillez dans un environnement multi-fournisseurs.

J'espère avoir plaisir à lire ce cas.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page