herbrich19
Jun 04, 2017
view3171
view13
0
Goto Top

Aus Cisco Router ausgespeert

GermanQuestionLAN, WAN, WirelessNetworks
Hallo,

Ich habe für den Cisco zur Vereinfachung der Administration RADIUS eingerichtet. Nun ja, immer wen ich mich Anmelden möchte auf der CLI (telnet) sagt er: Passwort ist falsch. Dass kann aber nicht sein da ich mich mit den selben Passwort im Active Directory einloggen kann. Server IP,s sind korrekt und auch die Berechtigungs Gruppe ist gesetzt. (Cisco AV-Pair ist auf shell:priv-lvl=15 gestellt).

Und jetzt kommts :D Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein. Also denke ich mal das die Konfiguration des Switches ok ist. Nur irgendwie gibt's ein Problem mit der Shell.

Hier mal die Conf des Ciscos
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname w37-karow
!
aaa new-model
aaa group server radius JENNINET
 server 10.141.0.151 auth-port 1812 acct-port 1813
!
aaa authentication login default group JENNINET local
enable secret 5 
enable password 
!
ip subnet-zero
ip routing
ip dhcp relay information option
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/2
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/3
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/4
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/5
 switchport mode dynamic desirable
!
interface FastEthernet0/6
 switchport mode dynamic desirable
!
interface FastEthernet0/7
 switchport mode dynamic desirable
!
interface FastEthernet0/8
 switchport mode dynamic desirable
!
interface FastEthernet0/9
 switchport mode dynamic desirable
!
interface FastEthernet0/10
 switchport mode dynamic desirable
!
interface FastEthernet0/11
 switchport mode dynamic desirable
!
interface FastEthernet0/12
 switchport mode dynamic desirable
!
interface FastEthernet0/13
 switchport mode dynamic desirable
!
interface FastEthernet0/14
 switchport mode dynamic desirable
!
interface FastEthernet0/15
 switchport mode dynamic desirable
!
interface FastEthernet0/16
 switchport mode dynamic desirable
!
interface FastEthernet0/17
 switchport mode dynamic desirable
!
interface FastEthernet0/18
 switchport mode dynamic desirable
!
interface FastEthernet0/19
 switchport mode dynamic desirable
!
interface FastEthernet0/20
 switchport mode dynamic desirable
!
interface FastEthernet0/21
 switchport mode dynamic desirable
!
interface FastEthernet0/22
 switchport mode dynamic desirable
!
interface FastEthernet0/23
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/24
 switchport mode dynamic desirable
!
interface GigabitEthernet0/1
 switchport mode dynamic desirable
!
interface GigabitEthernet0/2
 switchport mode dynamic desirable
!
interface Vlan1
 ip address 10.141.0.40 255.255.252.0
!
interface Vlan11
 ip address 10.161.0.1 255.255.252.0
 ip access-group SecureJenniNet in
 ip helper-address 10.141.0.151
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.141.0.1
ip http server
!
ip access-list extended SecureJenniNet
 permit udp any host 10.141.0.151 eq domain
 permit udp any host 10.141.0.19 eq domain
 deny   ip 10.161.0.0 0.0.3.255 10.141.0.0 0.0.3.255 log
 permit tcp any any eq www
 permit tcp any any eq 443
ip radius source-interface Vlan1
!
!
snmp-server community  RO
radius-server host 10.141.0.151 auth-port 1812 acct-port 1813 key 1234
radius-server retransmit 3
!
line con 0
 exec-timeout 0 0
line vty 0 4
 password 
line vty 5 15
 password 
!
end

Aktuell ist es ehr eine Unannehmlichkeit als ein Problem zumal ich genau weiß das ich alles richtig eingestellt habe (Betreffend Radius) da ich mich sonst nicht mit Level15 auf der Homepage des Ciscos einloggen könnte.

Gruß an die IT-Welt,
J Herbrich
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 339817

Url: https://administrator.de/contentid/339817

Printed on: April 27, 2024 at 00:04 o'clock

13 Comments
Latest comment
Goto Top
Member: michi1983
michi1983 Jun 05, 2017 at 08:11:31 (UTC)
Goto Top
Hallo,

mit Speeren ist nicht zu scherzen, wenn du dich verletzt hast, ab ins Krankenhaus.

Gruß
heart1
Member: aqui
aqui Jun 05, 2017 updated at 10:42:32 (UTC)
Goto Top
Erstmal solltest du oben korrigieren das du KEINEN Router hast sondern einen Switch der Catalyst Serie...aber ist jetzt eher kosmetisch.
Der Switch hat auch keine "Shell" das ist Unsinn, sondern wie es sich für einen professionellen Switch gehört ein Command Line Interface !
http://www.coufal.info/cisco_ios/index.shtml
Was für ein "Problem" ist es denn ?? Wenn du dich per PuTTY oder TeraTerm per SSH oder Telnet einloggen willst ?
Kleiner Tip:
Cisco hat legendäre debug Kommandos ! Also einfach mal den Debugger anschmeissen und sehen was da passiert.
Dazu muss man als GUI Knecht aber auf die Konsole sei es seriell oder per Telnet oder SSH. Eine debug ? zeigt dir alle Optionen.
Bei letzterem dann term mon nicht vergessen sonst siehst du die Debug Outputs nicht.
Und ganz zum Schluss sollte ein u all nicht fehlen.
Und wenn du dich wirklich ausgespeert hast (Bearbeiten Button lässt grüßen...) dann hast du ja immer noch die Passwort Recovery Prozedur die alles wieder richtet:
http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-softwa ...
Member: brammer
brammer Jun 06, 2017 updated at 09:25:29 (UTC)
Goto Top
Hallo,

ausgespeert?
Interessant... Jetzt besteht schon Verletzungsgefahr bei Cisco Switchen face-smile
Über CLI kommst du nicht rein, aber über das Web Interface???
Interessant....

Konnte man im Webinterface nicht eine CLI aufrufen?
Wenn das noch geht dann einfach einen lokalen USER mit Passwort konfigurieren

brammer

Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???
Vorne Hui hinten pfui....
CLI immer per ssh...und wenn überhaupt Webinterface dann wenigstens https...

brammer
Member: aqui
aqui Jun 06, 2017 updated at 13:55:17 (UTC)
Goto Top
Nachtrag: Eine Radius Authentifizierung ist was schönes... aber dann per Telnet und htt ???
Wenn man es richtig macht geht das....
Intuitiv hat er das ja mit aaa authentication login default group JENNINET local schon richtig gemacht.
Das "local" am Schluss ist der Notausstieg der besagt wenn der Radius mal weg ist oder nicht erreichbar, dann authentisiere nach Timeout eben lokal. Soweit so gut...
Allerdings hast du recht denn jetzt kommt das hinten pfui weil der TO eben die lokale User Passwort Angabe vergessen hat und dann rennt das ins Nirwana und der Passwort Recovery Prozess lässt grüßen face-wink

Fazit:
"Real networkers do CLI !!!"
Member: brammer
brammer Jun 06, 2017 at 14:08:05 (UTC)
Goto Top
Hallo,

das einzige Webinterface von Cisco das was getaugt hat war das ASDM für die ASA ....

Da der TO aber ursprünglich schon schrieb:

Wen ich mich über die IP im Webbrowser anmelden will komme ich mit meinen Active Directory Login ohne Probleme rein

Sollte das nach konfigurieren des Users mit samt des Password ja kein Problem sein .... aus dem Webinterface das CLI aufrufen...
username admin privilege 15 secret <dein_password>



brammer
zwischenablage01
Member: Herbrich19
Herbrich19 Jun 06, 2017 at 14:11:05 (UTC)
Goto Top
Hallo,

Und wie kann ich das Lokale Passwort angeben? Ich dachte er nutzt das bei der Installation eingestellte? Ich komme da irgndwie nicht weiter.

Ok, aber der Radius ist Online und konfiguriert, also wieso kann ich mich nicht mit meinen Windows Active Directory Konto einloggen??

Gruß an die IT-Welt,
J Herbrich
Member: brammer
brammer Jun 06, 2017 at 14:24:53 (UTC)
Goto Top
Hallo,

die Befehlszeile dafür steht doch oben....

lege eine User admin mit einem Passwort an....
Erst wenn die Radius Authentifizierung sauber geht kannst du den Admin User wieder löschen....

Hast du in deinem AD Account Passwort spezielle Sonderzeichen wie '| ! ?' ?
Teste mal mit einem Passwort nur mit Zahlen.

brammer
Member: Herbrich19
Herbrich19 Jun 06, 2017 at 14:26:56 (UTC)
Goto Top
Großkleinschreibung und Zahlen. Also eig keine Sonderzeichen. Der Benutzername hat _ als sonderzeichen. Macht das der Cisco CLI Probleme?

Gruß an die IT-Welt,
J Herbrich
Member: aqui
aqui Jun 06, 2017 at 14:43:50 (UTC)
Goto Top
Macht das der Cisco CLI Probleme?
Nööö, ist doch Cisco und kein Microsoft face-big-smile
username admin password Geheim123
Member: Herbrich19
Herbrich19 Jun 06, 2017 at 15:34:26 (UTC)
Goto Top
Hallo,

Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?`Habe Level15 Zugriff nur halt nicht von der Shell. Die Frage warum es via Webbrowser aber nicht via CLI geht ist ja immer noch offen?

Im Logfile des Radius Servers zeigt es wird eine Anfrage gesendet aber das war's auch?

Gruß an die IT-Welt,
J Herbrich
Member: brammer
brammer Jun 07, 2017 at 05:37:03 (UTC)
Goto Top
Hallo,

Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?`Habe Level15 Zugriff nur halt nicht von der Shell.


Enable Interface??

oder meinst du den enable Mode?

mit dem Befehl
enable

Da du noch ein enable Passwort konfiguriert hast dann musst du das eingeben...
enable secret 5  
enable password


brammer
Member: aqui
aqui Jun 07, 2017 at 06:48:48 (UTC)
Goto Top
Wie komm ich auf der Webschnitstelle aufs Enable Interface rein?
Am besten indem man endlich mal aufs Klicki Bunti GUI verzichtet mit no ip http server face-wink
Member: Herbrich19
Herbrich19 Jun 07, 2017 at 16:54:02 (UTC)
Goto Top
Hallo,

Ja, ich will über den ip http Server die Konfiguration wieder in Ordnung bringen um wieder auf die CLI rauf zu kommen.

Gruß an die IT-Welt,
J Herbrich
GermanQuestionLAN, WAN, WirelessNetworks