05.06.2017

3394

Aus Cisco Router ausgespeert

Hallo,

Ich habe für den Cisco zur Vereinfachung der Administration RADIUS eingerichtet. Nun ja, immer wen ich mich Anmelden möchte auf der CLI (telnet) sagt er: Passwort ist falsch. Dass kann aber nicht sein da ich mich mit den selben Passwort im Active Directory einloggen kann. Server IP,s sind korrekt und auch die Berechtigungs Gruppe ist gesetzt. (Cisco AV-Pair ist auf shell:priv-lvl=15 gestellt).

Und jetzt kommts :D Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein. Also denke ich mal das die Konfiguration des Switches ok ist. Nur irgendwie gibt's ein Problem mit der Shell.

Hier mal die Conf des Ciscos

!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname w37-karow
!
aaa new-model
aaa group server radius JENNINET
 server 10.141.0.151 auth-port 1812 acct-port 1813
!
aaa authentication login default group JENNINET local
enable secret 5 
enable password 
!
ip subnet-zero
ip routing
ip dhcp relay information option
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/2
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/3
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/4
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/5
 switchport mode dynamic desirable
!
interface FastEthernet0/6
 switchport mode dynamic desirable
!
interface FastEthernet0/7
 switchport mode dynamic desirable
!
interface FastEthernet0/8
 switchport mode dynamic desirable
!
interface FastEthernet0/9
 switchport mode dynamic desirable
!
interface FastEthernet0/10
 switchport mode dynamic desirable
!
interface FastEthernet0/11
 switchport mode dynamic desirable
!
interface FastEthernet0/12
 switchport mode dynamic desirable
!
interface FastEthernet0/13
 switchport mode dynamic desirable
!
interface FastEthernet0/14
 switchport mode dynamic desirable
!
interface FastEthernet0/15
 switchport mode dynamic desirable
!
interface FastEthernet0/16
 switchport mode dynamic desirable
!
interface FastEthernet0/17
 switchport mode dynamic desirable
!
interface FastEthernet0/18
 switchport mode dynamic desirable
!
interface FastEthernet0/19
 switchport mode dynamic desirable
!
interface FastEthernet0/20
 switchport mode dynamic desirable
!
interface FastEthernet0/21
 switchport mode dynamic desirable
!
interface FastEthernet0/22
 switchport mode dynamic desirable
!
interface FastEthernet0/23
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/24
 switchport mode dynamic desirable
!
interface GigabitEthernet0/1
 switchport mode dynamic desirable
!
interface GigabitEthernet0/2
 switchport mode dynamic desirable
!
interface Vlan1
 ip address 10.141.0.40 255.255.252.0
!
interface Vlan11
 ip address 10.161.0.1 255.255.252.0
 ip access-group SecureJenniNet in
 ip helper-address 10.141.0.151
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.141.0.1
ip http server
!
ip access-list extended SecureJenniNet
 permit udp any host 10.141.0.151 eq domain
 permit udp any host 10.141.0.19 eq domain
 deny   ip 10.161.0.0 0.0.3.255 10.141.0.0 0.0.3.255 log
 permit tcp any any eq www
 permit tcp any any eq 443
ip radius source-interface Vlan1
!
!
snmp-server community  RO
radius-server host 10.141.0.151 auth-port 1812 acct-port 1813 key 1234
radius-server retransmit 3
!
line con 0
 exec-timeout 0 0
line vty 0 4
 password 
line vty 5 15
 password 
!
end

Aktuell ist es ehr eine Unannehmlichkeit als ein Problem zumal ich genau weiß das ich alles richtig eingestellt habe (Betreffend Radius) da ich mich sonst nicht mit Level15 auf der Homepage des Ciscos einloggen könnte.

Gruß an die IT-Welt,
J Herbrich

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 339817

Url: https://administrator.de/forum/aus-cisco-router-ausgespeert-339817.html

Ausgedruckt am: 27.04.2025 um 06:04 Uhr

13 Kommentare

Neuester Kommentar

Hallo,

mit Speeren ist nicht zu scherzen, wenn du dich verletzt hast, ab ins Krankenhaus.

Gruß

Erstmal solltest du oben korrigieren das du KEINEN Router hast sondern einen Switch der Catalyst Serie...aber ist jetzt eher kosmetisch.
Der Switch hat auch keine "Shell" das ist Unsinn, sondern wie es sich für einen professionellen Switch gehört ein Command Line Interface !
http://www.coufal.info/cisco_ios/index.shtml
Was für ein "Problem" ist es denn ?? Wenn du dich per PuTTY oder TeraTerm per SSH oder Telnet einloggen willst ?
Kleiner Tip:
Cisco hat legendäre debug Kommandos ! Also einfach mal den Debugger anschmeissen und sehen was da passiert.
Dazu muss man als GUI Knecht aber auf die Konsole sei es seriell oder per Telnet oder SSH. Eine debug ? zeigt dir alle Optionen.
Bei letzterem dann term mon nicht vergessen sonst siehst du die Debug Outputs nicht.
Und ganz zum Schluss sollte ein u all nicht fehlen.
Und wenn du dich wirklich ausgespeert hast (Bearbeiten Button lässt grüßen...) dann hast du ja immer noch die Passwort Recovery Prozedur die alles wieder richtet:
http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-softwa ...

Hallo,

ausgespeert?
Interessant... Jetzt besteht schon Verletzungsgefahr bei Cisco Switchen

Über CLI kommst du nicht rein, aber über das Web Interface???
Interessant....

Konnte man im Webinterface nicht eine CLI aufrufen?
Wenn das noch geht dann einfach einen lokalen USER mit Passwort konfigurieren

brammer

Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???
Vorne Hui hinten pfui....
CLI immer per ssh...und wenn überhaupt Webinterface dann wenigstens https...

brammer

Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???

Wenn man es richtig macht geht das....
Intuitiv hat er das ja mit aaa authentication login default group JENNINET local schon richtig gemacht.
Das "local" am Schluss ist der Notausstieg der besagt wenn der Radius mal weg ist oder nicht erreichbar, dann authentisiere nach Timeout eben lokal. Soweit so gut...
Allerdings hast du recht denn jetzt kommt das hinten pfui weil der TO eben die lokale User Passwort Angabe vergessen hat und dann rennt das ins Nirwana und der Passwort Recovery Prozess lässt grüßen

Fazit:
"Real networkers do CLI !!!"

Hallo,

das einzige Webinterface von Cisco das was getaugt hat war das ASDM für die ASA ....

Da der TO aber ursprünglich schon schrieb:

Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein

Sollte das nach konfigurieren des Users mit samt des Password ja kein Problem sein .... aus dem Webinterface das CLI aufrufen...

username admin privilege 15 secret <dein_password>

brammer

Hallo,

Und wie kann ich das Lokale Passwort angeben? Ich dachte er nutzt das bei der Installation eingestellte? Ich komme da irgndwie nicht weiter.

Ok, aber der Radius ist Online und konfiguriert, also wieso kann ich mich nicht mit meinen Windows Active Directory Konto einloggen??

Gruß an die IT-Welt,
J Herbrich

Hallo,

die Befehlszeile dafür steht doch oben....

lege eine User admin mit einem Passwort an....
Erst wenn die Radius Authentifizierung sauber geht kannst du den Admin User wieder löschen....

Hast du in deinem AD Account Passwort spezielle Sonderzeichen wie '| ! ?' ?
Teste mal mit einem Passwort nur mit Zahlen.

brammer

Großkleinschreibung und Zahlen. Also eig keine Sonderzeichen. Der Benutzername hat _ als sonderzeichen. Macht das der Cisco CLI Probleme?

Gruß an die IT-Welt,
J Herbrich

Macht das der Cisco CLI Probleme?

Nööö, ist doch Cisco und kein Microsoft

username admin password Geheim123

Hallo,

Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?`Habe Level15 Zugriff nur halt nicht von der Shell. Die Frage warum es via Webbrowser aber nicht via CLI geht ist ja immer noch offen?

Im Logfile des Radius Servers zeigt es wird eine Anfrage gesendet aber das war's auch?

Gruß an die IT-Welt,
J Herbrich

Hallo,

Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?`Habe Level15 Zugriff nur halt nicht von der Shell.

Enable Interface??

oder meinst du den enable Mode?

mit dem Befehl

enable

Da du noch ein enable Passwort konfiguriert hast dann musst du das eingeben...

enable secret 5  
enable password 

brammer

Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?

Am besten indem man endlich mal aufs Klicki Bunti GUI verzichtet mit no ip http server

Hallo,

Ja, ich will über den ip http Server die Konfiguration wieder in Ordnung bringen um wieder auf die CLI rauf zu kommen.

Gruß an die IT-Welt,
J Herbrich

Frage Netzwerke LAN, WAN, Wireless

Mehr von Herbrich19

Active Directory Domäne nach Crash neu einrichten EntryID ConnectorHerbrich19 - 4 Kommentare

Netzwerkbezogener oder instanzspezifischer Fehler beim Herstellen einer Verbindung mit SQL Server web.configHerbrich19 - 2 Kommentare

BingMaps Control 4 ASP.NETHerbrich19 - 2 Kommentare

Windows365 vnet ÄndernHerbrich19 - 3 Kommentare

Heiß diskutiert