Simultana vpn i login autentifikacija preko Cisco AAA

[t-cat]

OK, naslov baš nije jasan, pa ću pokušati na početku objasniti što jasnije što točno trebam. Naime složio sam na Cisco routeru AAA koji koristi RADIUS za autentifikaciju i provjeru credentialsa te lokalnu bazu u slučaju da je RADIUS server nedostupan. AAA trenutno koristim za autentificiranje prilikom prijave na router - postoji posebna grupa Admini te korisnici iz te grupe mogu se prijaviti i dobiti maksimalne privilegije na router. Složio sam si i VPN server na Ciscovom routeru. Sad bih trebao da se korisnici koji se spajaju na VPN autentificiraju iz AD baze konkretno grupe "VPN korisnici", a admini koji se logiraju na router da se autentificiraju iz grupe "Admini". Napravio sam dva policyja na NPS-u (Network Policy Server na WS2008 ili Internet Authentication Serveru na WS2003) jedan koji će autentificirati korisnike za prijavljivanje na cisco router, a drugi koji će autentificirati VPN korisnike. No problem mi je odrediti kriterij po kojem će se pravila primjenjivati. Naime, oba su login servisi (Cisco IPSec VPN koristi Service-Type=Login za oba slučaja, a ne kao Microsoft RRAS koji koristi Service-Type=Framed (PPP)), pa taj način diferenciranja otpada.
Probao sam složiti prema Access-Client-IPv4 adresi, tako da se match-a sa IP adresama VPN klijenata koji dobivaju adrese iz određenog rangea koristeći pattern-matching sintaksu (nešto u stilu 192\.168\.x\..+ (x je proizvoljna brojka 0-255), no nažalost to ne funkcionira. U toj konfiguraciji mi se uredno prijavljuju VPN korisnici (jer je VPN policy na višoj poziciji od Login Policyja), no istovremeno mi se mogu logirati i na router što nije dobro. Jel mi može netko predložiti još neki način na koji bi objasnio kako natjerati NPS da koristi jedan policy za VPN, a drugi za logiranje - u oba slučaja RADIUS klijent je Cisco router.

[Hrvoje Kusulja]

da, u svakom slucaju cini mi se da si sve dobro napravio, jedino ovo da se ta dva policya mogu odvojiti.., e sad misilm da to moras rjesiti pomocu onih RADIUS oznaka, nemogu se sjetiti kako se zovu, a server mi nije pri ruci, uglvnm tamo di mozes odabrati wireless i slicno, znam da ima za VPN.., al ovaj dio za autorizaciju na router, neznam u koju bi tu kategoriju spadalo, al mozes pitati google za taj dio jer je sigurno netko vec to trebao rjesiti

[The MasteR]

Ja cu te zamoliti da mi kazes o kojem se modelu routera radi i koja verzija je IOSa? Pa probam potraziti ako ne pitati cu kolege iz CNa.

[t-cat]

Riješio sam...

Da, već sam probao definirati condition na kojem se pravilo primjenjuje na VPN korisnike, no to nije pomoglo. Kad se Cisco spaja u oba slučaja koristi Virtual port (tip 6), a jedina razlika je u ID-u porta - kod VPN-a je to statička IP adresa vanjskog linka preko kojeg se spaja VPN, a kod logiranja na router je to nešto oblika ttyX ili vtyX, no taj condition ne mogu specificirati, pa sam odlučio nekom drugom logikom. Naime, uključio sam radius debugging (debug radius all) i vidio što on šalje prema RADIUS serveru i primjetio sam da kada se koristi VPN, Calling-Station-ID ima neku vanjsku IP adresu, dok kad se logiram na router, to je adresa iz privatne mreže (192.168.0.x). Na taj način, uspio sam napraviti exception za VPN. Još kad se to kombinira sa Windows grupom "VPN korisnici" kao conditionom dobiva se željeno pravilo koje se izvršava upravo kad se spajam na VPN. A drugo pravilo se izvršava samo kad se prijavljujem na router.
Pa eto, ako se netko bude suočio sa tim problemom, nek zna za ubuduće. Inače router Cisco ISR 1812, verzija 12.4(15)T1...

[Hrvoje Kusulja]

pa da, to sam i mislio

[t-cat]

Evo,

VPN related konfiguracija:

! prvo rijesiti AAA da koristi radius server
aaa new-model
!
!
aaa group server radius radius-login
 server-private radius_server auth-port neki_port acct-port neki_drugi_port key 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
aaa authentication login radius-login local group radius-login
aaa authentication login radius-vpn group radius-login
aaa authorization exec default local group radius-login if-authenticated
aaa authorization network default local group radius-login
aaa authorization network vpn group radius-login
!
...
!
crypto isakmp policy 1
 encr aes 256
 hash sha
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group aco
 key neki_kljuc
 dns primarni_dns_server sekundarni_dns_server
 domain aco.hr
 pool vpnclient
 acl encrypt_vpn_traffic
 save-password
!
!
crypto ipsec transform-set ACO_encryption_low esp-3des esp-md5-hmac
crypto ipsec transform-set ACO_encryption_high esp-aes 256 esp-sha-hmac comp-lzs
crypto ipsec transform-set ACO_encryption_mid esp-3des esp-sha-hmac comp-lzs
!
crypto dynamic-map cdynmap 10
 set transform-set ACO_encryption_high ACO_encryption_mid ACO_encryption_low
 reverse-route
!
!
crypto map aco_vpn_ra client authentication list radius-vpn
crypto map aco_vpn_ra isakmp authorization list vpn
crypto map aco_vpn_ra client configuration address respond
crypto map aco_vpn_ra 10 ipsec-isakmp dynamic cdynmap
!
! Konfiguracija interfacea. Crypto tunel ide na outside link i to onaj za kojeg želite da preko njega ide vpn tunel.
!
interface FastEthernet1
 description VIPNet Link$ETH-LAN$
 ip address staticka.ip.adresa.linka odgovarajuca.subnet.maska
 ip nbar protocol-discovery
 ip nat outside
 crypto map aco_vpn_ra
!
! Treba konfigurirati pool adresa koje ce se dodjeljivati VPN korisnicima. Moze biti u bilo kojem subnetu i moze pocinjati sa .1. Pozeljno je da se moze u cjelosti pokriti sa nekom subnet
! maskom (olaksava izradu prikladnog ACL-a).
ip local pool vpnclient pocetni.ip.koji.zelimo.dodjeliti.vpn.klijentima zavrsni.ip.koji.zelimo.dodjeliti.vpn.klijentima
ip route 0.0.0.0 0.0.0.0 ip_adresa_sljedeceg_hopa_na_drugom_linku
! Ne znam zasto ignoriraju moje route-mape, ali kad se uspostavi vpn tunel, izgleda da koristi samo defaultne rute, pa je bitno da ona ruta preko koje se handlea vpn tunel ima veci prioritet, sto postizem podizanjem metrike alternativne rute
ip route 0.0.0.0 0.0.0.0 Dialer0 2
! U postojecu access-listu koja definira koji promet ide prema VPN linku dodati obavezno pravilo koje ce obuhvatiti sav VPN promet
ip access-list extended NAT_EXT2VIP
 permit ip any 192.168.5.0 0.0.0.255
! Treba nam ACL koji ce definirati koji se promet enkriptira, tako da korisnik moze istovremeno surfati i pristupit korporativnoj mrezi. Ovo je veliki sigurnosni problem, zato bi se na tom laptopu trebale primjenjivati nesto jace sigurnosne police, kako bi se nesto nezeljeno ne bi nakrcalo i pristupilo podacima u korporativnoj mrezi.
ip access-list extended encrypt_vpn_traffic
 permit ip subnet_kojem_zelimo_pristupiti subnet_iz_kojeg_dolaze_ip_adrese_koje_dodjeljujemo_vpn_klijentima
! Ovu listu koristim za NAT (kroz route-mape) i tu treba izuzeti da bilo kakav promet koji prolazi kroz enkriptirani tunel, prolazi kroz NAT. Znaci to je pravilo identicno onome za enkripciju prometa, samo sto umjesto permit koristimo deny
access-list 101 deny   ip subnet_kojem_zelimo_pristupiti subnet_iz_kojeg_dolaze_ip_adrese_koje_dodjeljujemo_vpn_klijentima
! Konfiguracija interfacea da koriste autentifikaciju putem radiusa, odnosno napravljene radius-login liste
line vty 0 4
 access-class 100 in
 privilege level 15
 login authentication radius-login
 transport input telnet ssh
line vty 5 15
 access-class 100 in
 privilege level 15
 login authentication radius-login
 transport input telnet ssh

Evo, nadam se da će nekome pomoći kad bude radio VPN server u sličnoj konfiguraciji. Ja nisam našao ništa konkretno na NET-u vezano na tu temu i trebalo je dosta pokušaja i pogrešaka dok sam našao pravu kombinaciju.