Radiusauthentifizierung Cisco ASA gegen LCS1823

MadMurdock · Beitrag von **MadMurdock** » 30 Mär 2012, 21:11

Hallo,

folgendes Thema beschäftigt mich:
Ich wähle mich auf die ASA ein, der User soll über RADIUS am LCS authentifiziert werden (über Zertifikate). So weit so gut, auf beiden Seiten ist sind die Daten richtig eingegeben.
Die ASA sendet den Request an den LCS, dieser prüft die lokale Tabelle und sendet die Antwort zurück.
Dummer weise wird ein reject gesendet obwohl die Credentials richtig sind.

Hier mal die Log-Dateien:

Code: Alles auswählen

[RADIUS-Server] 2012/03/30 20:48:41,525
Received RADIUS authentication request 2 from client 192.168.10.100:1025[INTRANET]:
-->known attributes of request:
   User-Name           : testuser
   User-Password       : H<x94>i<xc7>N<x04><xa2>J<xf3><xe6>L<xf6>k<xb2><xe2>Q
   NAS-IP-Address      : 192.168.10.100
   NAS-Port            : 2 
   NAS-Port-Type       : Virtual
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'testuser' in database(s)
-->setting session timeout of 11419 seconds from expiry time
-->authenticating via PAP
-->response type is Reject, response attributes:
   Session-Timeout     : 11419 s
   LCS-Account-End     : 03/30/2012 23:59:00
-->sending response

Hier der Debug der ASA:

Code: Alles auswählen

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2012.03.30 20:48:28 =~=~=~=~=~=~=~=~=~=~=~=
radius mkreq: 0x1d
alloc_rip 0xac4f17a4
    new request 0x1d --> 2 (0xac4f17a4)
got user 'testuser'
got password
add_req 0xac4f17a4 session 0x1d id 2
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 66).....
01 02 00 42 fe 5f ac 75 0a 7b 98 f1 d6 57 44 2d    |  ...B._.u.{...WD-
62 f3 b0 29 01 0a 74 65 73 74 75 73 65 72 02 12    |  b..)..testuser..
7a 2e 3e a5 fd 81 34 8e 52 49 0f 47 79 71 e6 85    |  z.>...4.RI.Gyq..
04 06 c0 a8 0a 64 05 06 00 00 00 02 3d 06 00 00    |  .....d......=...
00 05                                              |  ..

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 2 (0x02)
Radius: Length = 66 (0x0042)
Radius: Vector: FE5FAC750A7B98F1D657442D62F3B029
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) = 
74 65 73 74 75 73 65 72                            |  testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) = 
7a 2e 3e a5 fd 81 34 8e 52 49 0f 47 79 71 e6 85    |  z.>...4.RI.Gyq..
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.10.100 (0xC0A80A64)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x2
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 192.168.10.1/1812
rip 0xac4f17a4 state 7 id 2
rad_vrfy() : bad req auth
rad_procpkt: radvrfy fail
RADIUS_DELETE
remove_req 0xac4f17a4 session 0x1d id 2
free_rip 0xac4f17a4
radius: send queue empty

Jemand eine Idee? Der Radius des LCS sollte passen da er sauber meine Zertifikate für das WLAN authentifiziert.

Gruß
MadMurdock

alf29 · Beitrag von **alf29** » 30 Mär 2012, 23:19

Moin,

User-Password : H<x94>i<xc7>N<x04><xa2>J<xf3><xe6>L<xf6>k<xb2><xe2>Q

Derartig kryptisch-kaputte Paßwort-Atrribute sind üblicherweise ein Hinweis darauf, daß das
shared Secret auf beiden Seiten nicht übereinstimmt. Das Paßwort-Attribut wird mittels des
shared Secret verschlüsselt übertragen und wenn das nicht übereinstimmt, schlägt die
Entschlüsselung auf dem Server fehl und man bekommt solchen Datenmüll...

Gruß Alfred

MadMurdock · Beitrag von **MadMurdock** » 01 Apr 2012, 09:40

Hallo,

da gebe ich dir recht. Allerdings kann ich dir versichern dass das Kennwort bei beiden gleich ist. Die Geräte stehen halt hier neben mir (Home-Lab) und ich bin mir sicher das die Kennwörter übereinstimmen

Selbst ohne Kennwörter kann ich das Verhalten nicht ändern.
Noch Ideen oder Vorschläge?

Gruß

alf29 · Beitrag von **alf29** » 01 Apr 2012, 09:49

Moin,

Selbst ohne Kennwörter kann ich das Verhalten nicht ändern.

Was meinst Du mit 'ohne Kennwörter'? Das RADIUS shared secret kann man zumindest auf
LANCOM-Seite gar nicht weglassen, das ist dann eben ein Leerstring und der wird für die
Verschlüsselung benutzt.

Du könntest mir mal einen Wireshark-Mitschnitt des RADIUS-Requests geben und mir das
shardes secret verraten, dann könnte ich mal zu Fuß durchrechnen, ob das paßt...

Gruß Alfred

MadMurdock · Beitrag von **MadMurdock** » 01 Apr 2012, 16:51

Hallo,

ja meinte mit leerem String.
Ich habe das ganze gerade nochmal auf beiden Seiten getraced:

Lancom:

Code: Alles auswählen

[Ethernet] 2012/04/01 16:46:30,595
Received 108 byte Ethernet packet via LAN-1:
-->IEEE 802.3 Header
Dest                : 00:a0:57:12:3d:88 (LANCOM 12:3d:88)
Source              : 00:25:84:0d:61:48
Type                : IPv4
-->IPv4 Header
Version             : 4
Header Length       : 20
Type of service     : (0x00) Precedence 0
Total length        : 94
ID                  : 23784
Fragment            : Offset 0
TTL                 : 255
Protocol            : UDP
Checksum            : 51440 (OK)
Src Address         : 192.168.10.100
Dest Address        : 192.168.10.1
-->UDP Header
Src Port            : 1025
Dest Port           : RADIUS
Length              : 74
Checksum            : 14106 (OK)
Body                : 01 0e 00 42 5f ac 75 0a ...B_.u.
                      7b 98 f1 d6 57 44 2d 62 {...WD-b
                      f3 b0 29 ae 01 0a 74 65 ..)...te
                      73 74 75 73 65 72 02 12 stuser..
                      a6 80 7d e7 9d af be b8 ..}.....
                      24 dd 73 34 ed c0 64 48 $.s4..dH
                      04 06 c0 a8 0a 64 05 06 .....d..
                      00 00 00 0e 3d 06 00 00 ....=...
                      00 05                   ..


[Ethernet] 2012/04/01 16:46:30,601
Sent 62 byte Ethernet packet via LAN-1:
-->IEEE 802.3 Header
Dest                : 00:25:84:0d:61:48
Source              : 00:a0:57:12:3d:88 (LANCOM 12:3d:88)
Type                : IPv4
-->IPv4 Header
Version             : 4
Header Length       : 20
Type of service     : (0x00) Precedence 0
Total length        : 48
ID                  : 24451
Fragment            : Offset 0
TTL                 : 60
Protocol            : UDP
Checksum            : 35204 (OK)
Src Address         : 192.168.10.1
Dest Address        : 192.168.10.100
-->UDP Header
Src Port            : RADIUS
Dest Port           : 1025
Length              : 28
Checksum            : 32101 (OK)
Body                : 03 0e 00 14 80 70 d8 99 .....p..
                      59 c9 be ed 0b 72 83 12 Y....r..
                      37 90 a6 8d             7...


[RADIUS-Server] 2012/04/01 16:46:30,600
Received RADIUS authentication request 14 from client 192.168.10.100:1025[INTRANET]:
-->known attributes of request:
   User-Name           : testuser
   User-Password       : <xc6>Kl<xbc><x84>b5=A<x0c><xf5>_<xe6><x9e><xdd>{
   NAS-IP-Address      : 192.168.10.100
   NAS-Port            : 14 
   NAS-Port-Type       : Virtual
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'testuser' in database(s)
-->authenticating via PAP
-->response type is Reject, response attributes:
-->sending response

ASA:

Code: Alles auswählen

 ASA# test aaa-server authen LCS1823 username testuser password testuser

Server IP Address or name: 192.168.10.1
INFO: Attempting Authentication test to IP address <192.168.10.1> (timeout: 12 seconds)
radius mkreq: 0x2f
alloc_rip 0xac4f17a4
    new request 0x2f --> 14 (0xac4f17a4)
got user 'testuser'
got password
add_req 0xac4f17a4 session 0x2f id 14
RADIUS_REQUEST
radius.c: rad_mkpkt

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 66).....
01 0e 00 42 5f ac 75 0a 7b 98 f1 d6 57 44 2d 62    |  ...B_.u.{...WD-b
f3 b0 29 ae 01 0a 74 65 73 74 75 73 65 72 02 12    |  ..)...testuser..
a6 80 7d e7 9d af be b8 24 dd 73 34 ed c0 64 48    |  ..}.....$.s4..dH
04 06 c0 a8 0a 64 05 06 00 00 00 0e 3d 06 00 00    |  .....d......=...
00 05                                              |  ..

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 14 (0x0E)
Radius: Length = 66 (0x0042)
Radius: Vector: 5FAC750A7B98F1D657442D62F3B029AE
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) = 
74 65 73 74 75 73 65 72                            |  testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) = 
a6 80 7d e7 9d af be b8 24 dd 73 34 ed c0 64 48    |  ..}.....$.s4..dH
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.10.100 (0xC0A80A64)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0xE
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
send pkt 192.168.10.1/1812
rip 0xac4f17a4 state 7 id 14
rad_vrfy() : bad req auth
rad_procpkt: radvrfy fail
RADIUS_DELETE
remove_req 0xac4f17a4 session 0x2f id 14
free_rip 0xac4f17a4
radius: send queue empty
ERROR: Authentication Server not responding: AAA decode failure.. server secret mismatch

Kennwörter:
Benutzername: testuser
Password: testuser
Shared-Secret: 12345678

Im Anhang ist noch der Wireshark mitschnitt.

Gruß und schönen Sonntag noch!

alf29 · Beitrag von **alf29** » 01 Apr 2012, 19:30

Moin,

OK, ich habe die Requests mal zu Fuß durchgerechnet und es sieht so aus, als ob der Cisco
dias Paßwort-Atrribut wirklich mit diesem Secret verschlüsselt. Von daher wäre jetzt die Frage,
ob das shared secret auf der Seite des LANCOM an der richtigen Stelle steht. Könntest Du mir
mal ein 'readscript /setup/radius/server' zeigen?

Gruß Alfred

MadMurdock · Beitrag von **MadMurdock** » 02 Apr 2012, 08:03

Moin,

aber selbstverständlich:

Code: Alles auswählen

root@1823VoIP:/
> readscript /setup/radius/server
# Script (8.60.0183 / 23.03.2012) (0x4060421d,IDs:0,2,3,4,9,e,f/X/f1f47a80,15,16,1e,23/X/f1aaa680,2b;0x0c000063)

lang English
flash No

set /Setup/RADIUS/Server/Authentification-Port 1812
set /Setup/RADIUS/Server/Accounting-Port 1813
set /Setup/RADIUS/Server/RADSEC-Port 2083
cd /Setup/RADIUS/Server/Clients
del *
tab  IP-Network       IP-Netmask       Protocols     Secret
add  192.168.10.2     255.255.255.0    All           "-alT-YYH|O9Ktzo_ZC}q)5&^UTm-PBBhAYU9WQ!7A-yZs]_g9]tsn(m"
add  192.168.10.100   255.255.255.0    All           "12345678"
cd /
cd /Setup/RADIUS/Server/Users
del *
tab  User-Name                                         Calling-Station-Id-Mask                                           Called-Station-Id-Mask                                            Password                          Multiple-Login        Expiry-Type           Abs.-Expiry            Rel.-Expiry   Time-Budget   Volume-Budget    Comment                                                                                                                                                                                                                                                      Service-Type     Limit-Auth-Methods                   VLAN-Id    Tx-Limit    Rx-Limit
add  "testuser"                                        ""                                                                ""                                                                "testuser"                        Yes                   absolute,relative     ""                     0             0             0                ""                                                                                                                                                                                                                                                           Any              PAP,CHAP,MSCHAP,MSCHAPv2,EAP         0          0           0
cd /
set /Setup/RADIUS/Server/EAP/Default-Method TLS
flash Yes

# done
exit

Gruß
Patrick

alf29 · Beitrag von **alf29** » 02 Apr 2012, 08:21

Moin.

tab IP-Network IP-Netmask Protocols Secret
add 192.168.10.2 255.255.255.0 All "-alT-YYH|O9Ktzo_ZC}q)5&^UTm-PBBhAYU9WQ!7A-yZs]_g9]tsn(m"
add 192.168.10.100 255.255.255.0 All "12345678"

Also das kann so nicht funktionieren...wenn Du willst, dass ein Client-Eintrag immer nur
auf genau eine Adresse matcht, dann musst Du als Netzmaske eine 255.255.255.255
angeben. in dieser Form matchen beide Eintraege auf alle Adressen im Bereich
192.168.10.0/24, und da die Tabelle von vorne nach hinten durchsucht wird, wird der
zweite Eintrag nie genommen...

Gruss Alfred

MadMurdock · Beitrag von **MadMurdock** » 02 Apr 2012, 09:04

Oh verdammt, du hast vollkommen recht.
Habe die Einträge korrigiert und es funktioniert nun auf Anhieb.

Was lernen wir daraus? Manchmal sind 4 Augen besser als zwei..

Danke dir!

MadMurdock · Beitrag von **MadMurdock** » 02 Apr 2012, 09:15

So, gerade die gewünschte Authentifizierung des Clients probiert, leider funktioniert der Part noch nicht so wie gewünscht. Wenn du so freundlich wärst? ...

LCS:

Code: Alles auswählen

[RADIUS-Server] 2012/04/02 09:06:42,395
Received RADIUS authentication request 18 from client 192.168.10.100:1025[INTRANET]:
-->attribute parsing error, discarding

ASA:

Code: Alles auswählen

ASA# debug radius
ASA# term mon
ASA# radius mkreq: 0x3c
alloc_rip 0xac4f17a4
    new request 0x3c --> 20 (0xac4f17a4)
got user 'testuser'
got password
add_req 0xac4f17a4 session 0x3c id 20
RADIUS_REQUEST
radius.c: rad_mkpkt
rad_mkpkt: ip:source-ip=85.214.143.17

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 146).....
01 14 00 92 ce ef fc 85 da 0b e8 01 a6 e7 94 3d    |  ...............=
32 83 00 39 01 0a 74 65 73 74 75 73 65 72 02 12    |  2..9..testuser..
86 5f 60 3d b3 1a 7d c9 20 49 55 af 7e 5c e2 e4    |  ._`=..}. IU.~\..
05 06 00 02 10 00 1e 10 38 37 2e 31 35 38 2e 32    |  ........87.158.2
32 39 2e 31 30 32 1f 0f 38 35 2e 32 31 34 2e 31    |  29.102..85.214.1
34 33 2e 31 37 3d 06 00 00 00 05 42 0f 38 35 2e    |  43.17=.....B.85.
32 31 34 2e 31 34 33 2e 31 37 04 06 c0 a8 0a 64    |  214.143.17.....d
1a 22 00 00 00 09 01 1c 69 70 3a 73 6f 75 72 63    |  ."......ip:sourc
65 2d 69 70 3d 38 35 2e 32 31 34 2e 31 34 33 2e    |  e-ip=85.214.143.
31 37                                              |  17

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 20 (0x14)
Radius: Length = 146 (0x0092)
Radius: Vector: CEEFFC85DA0BE801A6E7943D32830039
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) =
74 65 73 74 75 73 65 72                            |  testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
86 5f 60 3d b3 1a 7d c9 20 49 55 af 7e 5c e2 e4    |  ._`=..}. IU.~\..
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x21000
Radius: Type = 30 (0x1E) Called-Station-Id
Radius: Length = 16 (0x10)
Radius: Value (String) =
38 37 2e 31 35 38 2e 32 32 39 2e 31 30 32          |  87.158.229.102
Radius: Type = 31 (0x1F) Calling-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
38 35 2e 32 31 34 2e 31 34 33 2e 31 37             |  85.214.143.17
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 66 (0x42) Tunnel-Client-Endpoint
Radius: Length = 15 (0x0F)
Radius: Value (String) =
38 35 2e 32 31 34 2e 31 34 33 2e 31 37             |  85.214.143.17
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.10.100 (0xC0A80A64)
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 34 (0x22)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 28 (0x1C)
Radius: Value (String) =
69 70 3a 73 6f 75 72 63 65 2d 69 70 3d 38 35 2e    |  ip:source-ip=85.
32 31 34 2e 31 34 33 2e 31 37                      |  214.143.17
send pkt 192.168.10.1/1812
RADIUS_SENT:server response timeout
radius mkreq: 0x3d
alloc_rip 0xac4f0c98
    new request 0x3d --> 21 (0xac4f0c98)
got user 'testuser'
got password
add_req 0xac4f0c98 session 0x3d id 21
RADIUS_DELETE
remove_req 0xac4f17a4 session 0x3c id 20
free_rip 0xac4f17a4
RADIUS_REQUEST
radius.c: rad_mkpkt
rad_mkpkt: ip:source-ip=85.214.143.17

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 146).....
01 15 00 92 97 84 6d a2 33 f0 69 ee 8f 1c 25 fa    |  ......m.3.i...%.
ab 08 a1 c6 01 0a 74 65 73 74 75 73 65 72 02 12    |  ......testuser..
70 fd d8 dd dd e4 a4 f6 e4 44 23 75 6f 57 88 2c    |  p........D#uoW.,
05 06 00 02 10 00 1e 10 38 37 2e 31 35 38 2e 32    |  ........87.158.2
32 39 2e 31 30 32 1f 0f 38 35 2e 32 31 34 2e 31    |  29.102..85.214.1
34 33 2e 31 37 3d 06 00 00 00 05 42 0f 38 35 2e    |  43.17=.....B.85.
32 31 34 2e 31 34 33 2e 31 37 04 06 c0 a8 0a 64    |  214.143.17.....d
1a 22 00 00 00 09 01 1c 69 70 3a 73 6f 75 72 63    |  ."......ip:sourc
65 2d 69 70 3d 38 35 2e 32 31 34 2e 31 34 33 2e    |  e-ip=85.214.143.
31 37                                              |  17

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 21 (0x15)
Radius: Length = 146 (0x0092)
Radius: Vector: 97846DA233F069EE8F1C25FAAB08A1C6
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) =
74 65 73 74 75 73 65 72                            |  testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
70 fd d8 dd dd e4 a4 f6 e4 44 23 75 6f 57 88 2c    |  p........D#uoW.,
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x21000
Radius: Type = 30 (0x1E) Called-Station-Id
Radius: Length = 16 (0x10)
Radius: Value (String) =
38 37 2e 31 35 38 2e 32 32 39 2e 31 30 32          |  87.158.229.102
Radius: Type = 31 (0x1F) Calling-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
38 35 2e 32 31 34 2e 31 34 33 2e 31 37             |  85.214.143.17
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 66 (0x42) Tunnel-Client-Endpoint
Radius: Length = 15 (0x0F)
Radius: Value (String) =
38 35 2e 32 31 34 2e 31 34 33 2e 31 37             |  85.214.143.17
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.10.100 (0xC0A80A64)
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 34 (0x22)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 28 (0x1C)
Radius: Value (String) =
69 70 3a 73 6f 75 72 63 65 2d 69 70 3d 38 35 2e    |  ip:source-ip=85.
32 31 34 2e 31 34 33 2e 31 37                      |  214.143.17
send pkt 192.168.10.1/1812
RADIUS_SENT:server response timeout
radius mkreq: 0x3e
alloc_rip 0xac4f17a4
    new request 0x3e --> 22 (0xac4f17a4)
got user 'testuser'
got password
add_req 0xac4f17a4 session 0x3e id 22
RADIUS_DELETE
remove_req 0xac4f0c98 session 0x3d id 21
free_rip 0xac4f0c98
RADIUS_REQUEST
radius.c: rad_mkpkt
rad_mkpkt: ip:source-ip=85.214.143.17

RADIUS packet decode (authentication request)

--------------------------------------
Raw packet data (length = 146).....
01 16 00 92 c3 40 79 be 1f 6c 35 ca 3b 58 b1 96    |  .....@y..l5.;X..
17 04 ed 22 01 0a 74 65 73 74 75 73 65 72 02 12    |  ..."..testuser..
f5 0d b8 79 09 58 68 f0 8c ff 06 bd 12 3f 49 75    |  ...y.Xh......?Iu
05 06 00 02 10 00 1e 10 38 37 2e 31 35 38 2e 32    |  ........87.158.2
32 39 2e 31 30 32 1f 0f 38 35 2e 32 31 34 2e 31    |  29.102..85.214.1
34 33 2e 31 37 3d 06 00 00 00 05 42 0f 38 35 2e    |  43.17=.....B.85.
32 31 34 2e 31 34 33 2e 31 37 04 06 c0 a8 0a 64    |  214.143.17.....d
1a 22 00 00 00 09 01 1c 69 70 3a 73 6f 75 72 63    |  ."......ip:sourc
65 2d 69 70 3d 38 35 2e 32 31 34 2e 31 34 33 2e    |  e-ip=85.214.143.
31 37                                              |  17

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 22 (0x16)
Radius: Length = 146 (0x0092)
Radius: Vector: C34079BE1F6C35CA3B58B1961704ED22
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) =
74 65 73 74 75 73 65 72                            |  testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
f5 0d b8 79 09 58 68 f0 8c ff 06 bd 12 3f 49 75    |  ...y.Xh......?Iu
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x21000
Radius: Type = 30 (0x1E) Called-Station-Id
Radius: Length = 16 (0x10)
Radius: Value (String) =
38 37 2e 31 35 38 2e 32 32 39 2e 31 30 32          |  87.158.229.102
Radius: Type = 31 (0x1F) Calling-Station-Id
Radius: Length = 15 (0x0F)
Radius: Value (String) =
38 35 2e 32 31 34 2e 31 34 33 2e 31 37             |  85.214.143.17
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 66 (0x42) Tunnel-Client-Endpoint
Radius: Length = 15 (0x0F)
Radius: Value (String) =
38 35 2e 32 31 34 2e 31 34 33 2e 31 37             |  85.214.143.17
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 192.168.10.100 (0xC0A80A64)
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 34 (0x22)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 28 (0x1C)
Radius: Value (String) =
69 70 3a 73 6f 75 72 63 65 2d 69 70 3d 38 35 2e    |  ip:source-ip=85.
32 31 34 2e 31 34 33 2e 31 37                      |  214.143.17
send pkt 192.168.10.1/1812
undebug all
ASA#

Bei der Testauthentifizierung klappte eben alles.
Ich will/kann auch nicht ausschließen dass der AnyConnect Client die Daten suboptimal übergibt, bzw Attribute angefordert werden die nicht im IETF stehen.

Gruß und Danke nochmals!

MadMurdock · Beitrag von **MadMurdock** » 05 Apr 2012, 11:05

Hi,

hattest du schon Zeit/Lust dir den letzten Beitrag durchzulesen? Wenn ja, fällt dir da was auf welche Attribute nicht unterstützt werden?

Danke nochmal!

Gruß

alf29 · Beitrag von **alf29** » 05 Apr 2012, 14:27

Moin,

scusi, ich hatte das Posting übersehen und dachte, die Sache
war erledigt.

Das LANCOM dürfte sich an den Ciso-vendor-spezifischen
Attribut (Cisco-AVPair) beißen. Dieses Attribut kenne ich
bisher nur im Zusammenhang mit 802.1x/LEAP und da ist es
ein Attribut, das immer verschlüsselt übertragen wird. In
diesem Request wird dieses Attribut aber mit einem Klartext-
Feld benutzt und das lehnt das LANCOM dann ab.

Momentan wäre das einzige, was Du machen könntest, den
Client irgendwie dazu zu überreden, dieses Attribut nicht
zu schicken.

Gruß Alfred