# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  Easy VPN με FreeRadius

## d.stathopoulos

Καλησπέρα, 

Προσπαθώ να configurάρω ένα 1841 με EasyVPN - αλλά θέλω το Phase 2 να γίνει από τον freeradius:

το config μου:


```
Router(config)# aaa new-model
Router(config)# aaa authentication login default group radius local
Router(config)# ip local pool VPNCLIENTS 172.16.2.100 172.16.2.200
Router(config)# aaa authorization network VPNAUTH local
Router(config)# crypto isakmp policy 10
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption aes 256
Router(config-isakmp)# group 2

Router(config)# crypto isakmp client configuration group ciscogroup
Router(config-isakmp-group)# key ΧΧΧΧ
Router(config-isakmp-group)# pool VPNCLIENTS
Router(config-isakmp-group)# acl 100
Router(config-isakmp-group)# netmask 255.255.255.0
Router(config)# access-list 100 permit ip 172.16.2.0 0.0.0.255 any

Router(config)# crypto ipsec transform-set mytrans esp-aes esp-sha-hmac
Router(config)# crypto dynamic-map mymap 10
Router(config-crypto-map)# set transform-set mytrans
Router(config-crypto-map)# reverse-route

Router(config)# crypto map mymap client configuration address respond
Router(config)# crypto map mymap isakmp authorization list VPNAUTH
Router(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

Router(config)#int Dialer 0 
Router(config-if)#crypto map mymap

Router(config)# crypto isakmp keepalive 30 5
Router(config)# aaa authentication login VPNAUTH radius

Router(config)# crypto isakmp xauth timeout 60
Router(config)# crypto map mymap client authentication list VPNAUTH
```

Η απορία μου είναι αν αυτό το κομμάτι:


```
Router(config)# crypto isakmp client configuration group ciscogroup
Router(config-isakmp-group)# key ΧΧΧΧ
Router(config-isakmp-group)# pool VPNCLIENTS
Router(config-isakmp-group)# acl 100
Router(config-isakmp-group)# netmask 255.255.255.0
Router(config)# access-list 100 permit ip 172.16.2.0 0.0.0.255 any
```

μπορεί να αντικατασταθεί ουτώς ώστε το key να το δίνει ο freeradius;

----------


## lacacitos

Δεν το έχω κάνει ποτέ, αλλά ρίξε μια ματιά εδώ:
http://www.cisco.com/c/en/us/td/docs...0-E1352BA0A202

Φαίνεται να είναι αυτό που θες

----------


## nextp

Αυτές τις ημέρες και εγώ προσπαθώ να κάνω το ίδιο . Δεν έχω βρεί ακόμη άκρη.
Μάλιστα ο NAP (2008 r2) μου δίνει error για discard του χρήστη διότι δεν μπορεί να κάνει validate το eap method που κάνει authorize.
Απο ότι φαίνεται είναι περίπλοκο.

Με Ipsec / vpn είναι εύκολο και γρήγορο αλλά με το eay vpn που θέλω και εγώ - όπως και εσύ να το κάνουμε - θέλει και κάτι ακόμη.

αυριο θα δοκιμασω αυτο

*Configuring Preshared Keys Using a AAA Server Example*The following example shows how to configure a dynamic crypto map that will query a AAA server for a preshared key:
aaa new-model

aaa authorization network mylist group radius



!This defines the AAA server used for authorization.



crypto dynamic-map foo 10

set security-association lifetime seconds 120

set transform-set proposal1 proposal2 

!

crypto map foo isakmp authorization list mylist

crypto map foo 10 ipsec-isakmp dynamic foo 



! This sets up a dynamic crypto-map, which will query AAA for a shared secret.

----------


## d.stathopoulos

Καλημέρα, 

προς το παρόν τα references που έχω βρεί είναι τα παρακάτω: 

http://blog.ine.com/2009/05/18/under...authorization/
http://osdir.com/ml/freeradius.user/.../msg00371.html
http://stevehaskew.blogspot.gr/2014/...reeradius.html
https://www.reddit.com/r/networking/...nticate_using/
https://supportforums.cisco.com/docu...-secure-acs-5x

Τα καλύτερα είναι τα 3 τελευταία - παρ' όλα αυτά δεν μπορώ να configurάρω σωστά το  Phase 2

----------


## lacacitos

Σε αυτό το config που έχεις αρχικά, έχει αυτό:


```
aaa authorization network VPNAUTH local
```

και πιο κάτω:


```
crypto map mymap isakmp authorization list VPNAUTH
```

Νομίζω ότι είναι σαν ζητάς να πάρει το config από local και όχι από το radius. 
Μάλλον θα έπρεπε να είναι:


```
aaa authorization network VPNAUTH group radius
```

Αν μπορείς βάλε κάτι σαν debug aaa authorization , debug radius authorization να δεις αν τουλάχιστον προσπαθεί να πάει στο radius

----------

