Aus Cisco Router ausgespeert
Hallo,
Ich habe für den Cisco zur Vereinfachung der Administration RADIUS eingerichtet. Nun ja, immer wen ich mich Anmelden möchte auf der CLI (telnet) sagt er: Passwort ist falsch. Dass kann aber nicht sein da ich mich mit den selben Passwort im Active Directory einloggen kann. Server IP,s sind korrekt und auch die Berechtigungs Gruppe ist gesetzt. (Cisco AV-Pair ist auf shell:priv-lvl=15 gestellt).
Und jetzt kommts :D Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein. Also denke ich mal das die Konfiguration des Switches ok ist. Nur irgendwie gibt's ein Problem mit der Shell.
Hier mal die Conf des Ciscos
Aktuell ist es ehr eine Unannehmlichkeit als ein Problem zumal ich genau weiß das ich alles richtig eingestellt habe (Betreffend Radius) da ich mich sonst nicht mit Level15 auf der Homepage des Ciscos einloggen könnte.
Gruß an die IT-Welt,
J Herbrich
Ich habe für den Cisco zur Vereinfachung der Administration RADIUS eingerichtet. Nun ja, immer wen ich mich Anmelden möchte auf der CLI (telnet) sagt er: Passwort ist falsch. Dass kann aber nicht sein da ich mich mit den selben Passwort im Active Directory einloggen kann. Server IP,s sind korrekt und auch die Berechtigungs Gruppe ist gesetzt. (Cisco AV-Pair ist auf shell:priv-lvl=15 gestellt).
Und jetzt kommts :D Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein. Also denke ich mal das die Konfiguration des Switches ok ist. Nur irgendwie gibt's ein Problem mit der Shell.
Hier mal die Conf des Ciscos
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname w37-karow
!
aaa new-model
aaa group server radius JENNINET
server 10.141.0.151 auth-port 1812 acct-port 1813
!
aaa authentication login default group JENNINET local
enable secret 5
enable password
!
ip subnet-zero
ip routing
ip dhcp relay information option
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/4
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/5
switchport mode dynamic desirable
!
interface FastEthernet0/6
switchport mode dynamic desirable
!
interface FastEthernet0/7
switchport mode dynamic desirable
!
interface FastEthernet0/8
switchport mode dynamic desirable
!
interface FastEthernet0/9
switchport mode dynamic desirable
!
interface FastEthernet0/10
switchport mode dynamic desirable
!
interface FastEthernet0/11
switchport mode dynamic desirable
!
interface FastEthernet0/12
switchport mode dynamic desirable
!
interface FastEthernet0/13
switchport mode dynamic desirable
!
interface FastEthernet0/14
switchport mode dynamic desirable
!
interface FastEthernet0/15
switchport mode dynamic desirable
!
interface FastEthernet0/16
switchport mode dynamic desirable
!
interface FastEthernet0/17
switchport mode dynamic desirable
!
interface FastEthernet0/18
switchport mode dynamic desirable
!
interface FastEthernet0/19
switchport mode dynamic desirable
!
interface FastEthernet0/20
switchport mode dynamic desirable
!
interface FastEthernet0/21
switchport mode dynamic desirable
!
interface FastEthernet0/22
switchport mode dynamic desirable
!
interface FastEthernet0/23
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/24
switchport mode dynamic desirable
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 10.141.0.40 255.255.252.0
!
interface Vlan11
ip address 10.161.0.1 255.255.252.0
ip access-group SecureJenniNet in
ip helper-address 10.141.0.151
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.141.0.1
ip http server
!
ip access-list extended SecureJenniNet
permit udp any host 10.141.0.151 eq domain
permit udp any host 10.141.0.19 eq domain
deny ip 10.161.0.0 0.0.3.255 10.141.0.0 0.0.3.255 log
permit tcp any any eq www
permit tcp any any eq 443
ip radius source-interface Vlan1
!
!
snmp-server community RO
radius-server host 10.141.0.151 auth-port 1812 acct-port 1813 key 1234
radius-server retransmit 3
!
line con 0
exec-timeout 0 0
line vty 0 4
password
line vty 5 15
password
!
end
Aktuell ist es ehr eine Unannehmlichkeit als ein Problem zumal ich genau weiß das ich alles richtig eingestellt habe (Betreffend Radius) da ich mich sonst nicht mit Level15 auf der Homepage des Ciscos einloggen könnte.
Gruß an die IT-Welt,
J Herbrich
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339817
Url: https://administrator.de/forum/aus-cisco-router-ausgespeert-339817.html
Ausgedruckt am: 06.04.2025 um 22:04 Uhr
13 Kommentare
Neuester Kommentar
Erstmal solltest du oben korrigieren das du KEINEN Router hast sondern einen Switch der Catalyst Serie...aber ist jetzt eher kosmetisch.
Der Switch hat auch keine "Shell" das ist Unsinn, sondern wie es sich für einen professionellen Switch gehört ein Command Line Interface !
http://www.coufal.info/cisco_ios/index.shtml
Was für ein "Problem" ist es denn ?? Wenn du dich per PuTTY oder TeraTerm per SSH oder Telnet einloggen willst ?
Kleiner Tip:
Cisco hat legendäre debug Kommandos ! Also einfach mal den Debugger anschmeissen und sehen was da passiert.
Dazu muss man als GUI Knecht aber auf die Konsole sei es seriell oder per Telnet oder SSH. Eine debug ? zeigt dir alle Optionen.
Bei letzterem dann term mon nicht vergessen sonst siehst du die Debug Outputs nicht.
Und ganz zum Schluss sollte ein u all nicht fehlen.
Und wenn du dich wirklich ausgespeert hast (Bearbeiten Button lässt grüßen...) dann hast du ja immer noch die Passwort Recovery Prozedur die alles wieder richtet:
http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-softwa ...
Der Switch hat auch keine "Shell" das ist Unsinn, sondern wie es sich für einen professionellen Switch gehört ein Command Line Interface !
http://www.coufal.info/cisco_ios/index.shtml
Was für ein "Problem" ist es denn ?? Wenn du dich per PuTTY oder TeraTerm per SSH oder Telnet einloggen willst ?
Kleiner Tip:
Cisco hat legendäre debug Kommandos ! Also einfach mal den Debugger anschmeissen und sehen was da passiert.
Dazu muss man als GUI Knecht aber auf die Konsole sei es seriell oder per Telnet oder SSH. Eine debug ? zeigt dir alle Optionen.
Bei letzterem dann term mon nicht vergessen sonst siehst du die Debug Outputs nicht.
Und ganz zum Schluss sollte ein u all nicht fehlen.
Und wenn du dich wirklich ausgespeert hast (Bearbeiten Button lässt grüßen...) dann hast du ja immer noch die Passwort Recovery Prozedur die alles wieder richtet:
http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-softwa ...
Hallo,
ausgespeert?
Interessant... Jetzt besteht schon Verletzungsgefahr bei Cisco Switchen
Über CLI kommst du nicht rein, aber über das Web Interface???
Interessant....
Konnte man im Webinterface nicht eine CLI aufrufen?
Wenn das noch geht dann einfach einen lokalen USER mit Passwort konfigurieren
brammer
Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???
Vorne Hui hinten pfui....
CLI immer per ssh...und wenn überhaupt Webinterface dann wenigstens https...
brammer
ausgespeert?
Interessant... Jetzt besteht schon Verletzungsgefahr bei Cisco Switchen
Über CLI kommst du nicht rein, aber über das Web Interface???
Interessant....
Konnte man im Webinterface nicht eine CLI aufrufen?
Wenn das noch geht dann einfach einen lokalen USER mit Passwort konfigurieren
brammer
Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???
Vorne Hui hinten pfui....
CLI immer per ssh...und wenn überhaupt Webinterface dann wenigstens https...
brammer
Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???
Wenn man es richtig macht geht das....Intuitiv hat er das ja mit aaa authentication login default group JENNINET local schon richtig gemacht.
Das "local" am Schluss ist der Notausstieg der besagt wenn der Radius mal weg ist oder nicht erreichbar, dann authentisiere nach Timeout eben lokal. Soweit so gut...
Allerdings hast du recht denn jetzt kommt das hinten pfui weil der TO eben die lokale User Passwort Angabe vergessen hat und dann rennt das ins Nirwana und der Passwort Recovery Prozess lässt grüßen
Fazit:
"Real networkers do CLI !!!"
Hallo,
das einzige Webinterface von Cisco das was getaugt hat war das ASDM für die ASA ....
Da der TO aber ursprünglich schon schrieb:
Sollte das nach konfigurieren des Users mit samt des Password ja kein Problem sein .... aus dem Webinterface das CLI aufrufen...
brammer

das einzige Webinterface von Cisco das was getaugt hat war das ASDM für die ASA ....
Da der TO aber ursprünglich schon schrieb:
Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein
Sollte das nach konfigurieren des Users mit samt des Password ja kein Problem sein .... aus dem Webinterface das CLI aufrufen...
1
username admin privilege 15 secret <dein_password>
brammer

Hallo,
die Befehlszeile dafür steht doch oben....
lege eine User admin mit einem Passwort an....
Erst wenn die Radius Authentifizierung sauber geht kannst du den Admin User wieder löschen....
Hast du in deinem AD Account Passwort spezielle Sonderzeichen wie '| ! ?' ?
Teste mal mit einem Passwort nur mit Zahlen.
brammer
die Befehlszeile dafür steht doch oben....
lege eine User admin mit einem Passwort an....
Erst wenn die Radius Authentifizierung sauber geht kannst du den Admin User wieder löschen....
Hast du in deinem AD Account Passwort spezielle Sonderzeichen wie '| ! ?' ?
Teste mal mit einem Passwort nur mit Zahlen.
brammer
Hallo,
Enable Interface??
oder meinst du den enable Mode?
mit dem Befehl
Da du noch ein enable Passwort konfiguriert hast dann musst du das eingeben...
brammer
Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?`Habe Level15 Zugriff nur halt nicht von der Shell.
Enable Interface??
oder meinst du den enable Mode?
mit dem Befehl
1
enable
Da du noch ein enable Passwort konfiguriert hast dann musst du das eingeben...
1
2
2
enable secret 5
enable password
brammer