Здравстуйте.

Имеется LAN (192.168.11.0/24) с граничным роутером cisco 2821 (192.168.11.1), на котором настроен Easy VPN Server с локальной авторизацией удаленных пользователей, использующих для подключения Cisco VPN Client v 5.0. Все работает. В той же LAN имеется MS Windows Server 2012 Essensial в качестве DC AD.

Возникла необходимость перенести авторизацию удаленных пользователей на RADIUS сервер. В качестве RADIUS сервера хочется использовать MS Network Policy Server (NPS) 2012 Essensial (192.168.11.9).

На сервере поднята соответствующая политика, NPS сервер зарегистрирован в AD, создан RADIUS-клиент (192.168.11.1), настроена Сетевая политика. В AD создана группа VPN-USERS, в которую помимо удаленных пользователей добавлен служебный пользователь EasyVPN с паролем "cisco".

-----------

Ниже выдежка из сонфига cisco 2821:

aaa new-model

aaa authentication login rausrs local

aaa authentication login VPN-XAUTH group radius

aaa authorization network ragrps local

aaa authorization network VPN-GROUP local

aaa session-id common

crypto isakmp policy 10

encr aes 256

authentication pre-share

group 2

crypto isakmp client configuration address-pool local RAPOOL

crypto isakmp client configuration group ra1grp

key key-for-remote-access

domain domain.local

pool RAPOOL

acl split-acl

split-dns 192.168.11.9

crypto isakmp client configuration group EasyVPN

key qwerty123456

domain domain.local

pool RAPOOL

acl split-acl

split-dns 192.168.11.9

crypto isakmp profile RA-profile

   description profile for remote access VPN

   match identity group ra1grp

   client authentication list rausrs

   isakmp authorization list ragrps

   client configuration address respond

crypto isakmp profile VPN-IKMP-PROFILE

   description profile for remote access VPN via RADIUS

   match identity group EasyVPN

   client authentication list VPN-XAUTH

   isakmp authorization list VPN-GROUP

   client configuration address respond

crypto ipsec transform-set tset1 esp-aes esp-sha-hmac

crypto dynamic-map dyn-cmap 100

set transform-set tset1

set isakmp-profile RA-profile

reverse-route

crypto dynamic-map dyn-cmap 101

set transform-set tset1

set isakmp-profile VPN-IKMP-PROFILE

reverse-route

crypto map stat-cmap 100 ipsec-isakmp dynamic dyn-cmap

int Gi0/1

descrition -- to WAN --

crypto map stat-cmap

--------

В результате на cisco вылезает следующая ошибка (выделено жирным):

RADIUS/ENCODE(000089E0):Orig. component type = VPN_IPSEC

RADIUS:  AAA Unsupported Attr: interface         [157] 14

RADIUS:   31 39 34 2E 38 38 2E 31 33 39 2E 31              [194.88.139.1]

RADIUS(000089E0): Config NAS IP: 192.168.11.1

RADIUS/ENCODE(000089E0): acct_session_id: 35296

RADIUS(000089E0): sending

RADIUS(000089E0): Send Access-Request to 192.168.11.9:1645 id 1645/61, len 103

RADIUS:  authenticator 4A B1 DB 2D B7 58 B2 BF - 7F 12 6F 96 01 99 32 91

RADIUS:  User-Name           [1]   9   "EasyVPN"

RADIUS:  User-Password       [2]   18  *

RADIUS:  Calling-Station-Id  [31]  16  "aaa.bbb.ccc.137"

RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]

RADIUS:  NAS-Port            [5]   6   1

RADIUS:  NAS-Port-Id         [87]  16  "aaa.bbb.ccc.136"

RADIUS:  Service-Type        [6]   6   Outbound                  [5]

RADIUS:  NAS-IP-Address      [4]   6   192.168.11.1

RADIUS: Received from id 1645/61 192.168.11.9:1645, Access-Reject, len 20

RADIUS:  authenticator A8 08 69 44 44 8B 13 A5 - 06 C2 95 8D B4 C4 E9 01

RADIUS(000089E0): Received from id 1645/61

-------

MS NAS выдает ошибку 6273:

Сервер сетевых политик отказал пользователю в доступе.

За дополнительными сведениями обратитесь к администратору сервера сетевых политик.

Пользователь:

    ИД безопасности:            domain\VladimirK

    Имя учетной записи:            VladimirK

    Домен учетной записи:           domain

    Полное имя учетной записи:   domain.local/Users/VladimirK

Компьютер клиента:

    ИД безопасности:            NULL SID

    Имя учетной записи:            -

    Полное имя учетной записи:    -

    Версия ОС:            -

    Идентификатор вызываемой станции:        -

    Идентификатор вызывающей станции:       aaa.bbb.ccc.137

NAS:

    Адрес IPv4 NAS:        192.168.11.1

    Адрес IPv6 NAS:        -

    Идентификатор NAS:            -

    Тип порта NAS:            Виртуальная

    Порт NAS:            0

RADIUS-клиент:

    Понятное имя клиента:        Cisco2821

    IP-адрес клиента:            192.168.11.1

Сведения о проверке подлинности:

    Имя политики запроса на подключение:    Использовать проверку подлинности Windows для всех пользователей

    Имя сетевой политики:        Подключения к другим серверам доступа

    Поставщик проверки подлинности:        Windows

    Сервер проверки подлинности:        DC01.domain.local

    Тип проверки подлинности:        PAP

    Тип EAP:            -

    Идентификатор сеанса учетной записи:        -

    Результаты входа в систему:            Сведения об учетных данных были записаны в локальный файл журнала.

    Код причины:            66

    Причина:                Пользователь пытался применить способ проверки подлинности, не включенный в соответствующей сетевой политике.

------------

Игры с Cisco AV Pairs и прочими параметрами настройки Сетевой политики на RADIUS выдают аналогичный результат.

Штудирование "Network Policy Server Technical Reference" и "Configuring IPSec Between a Cisco IOS Router and a Cisco VPN Client 4.x for Windows Using RADIUS for User Authentication" Document ID: 21060 ответа не дали.

Если кто практиковал подобное, прошу дать направление для поиска решения.