Résolution de problèmes sur l'authentification PPP (CHAP ou PAP) ccnp_cch ccnp_cch

Sommaire • Introduction - Terminologie - Prérequis • Diagramme pour résolution de problèmes - Est-ce-que le routeur réalise une authentification CHAP ou PAP? - Est-ce-que le routeur réalise une authentification unidirection- nelle ou bidirectionnelle? • Est-ce-que c'est un problème sur appel entrant? - Est-ce-que le "username" dans le challenge transmis ou dans la réponse est le même que le hostname? - Est-ce-que la machine distante à laquelle vous avez accès est un routeur Cisco? • Résolution des problèmes CHAP des appels sortants - Le routeur n'utilise pas AAA ou seulement un AAA local - Résolution de problèmes généraux basés sur les serveurs AAA ccnp_cch

Introduction Terminologie ccnp_cch Les problèmes d'authentification PPP sont une des causes les plus communes des échecs des appels pour accès distant. Ce document fourni quelques procédures pour la résolution des problèmes d'authentification PPP. Terminologie Machine Locale (Routeur local) : C'est le système sur lequel les commandes debug sont exécutées. Si ces commandes sont exécutées sur l'autre machine ou l'autre routeur, vous devrez appliquer le terme local à l'autre machine ou routeur. Distant (Peer) : L'autre extrémité de la liaison point à point. Cet équipement n'est pas la machine locale. Par exemple si on exécute la commande debug ppp negotiation sur le routeur A, celui-ci devient la machine locale et le routeur B est l'extrémité distante (Peer). Cependant si nous exécutons la même commande sur le routeur B, celui-ci devient la machine locale et le routeur A devient l'extémité diastante (Peer). Note: La notion de machine locale et de Peer n'empêche pas de relation client-serveur. Selon l'endroit où la commande debug est exécutée, le client pourra être la mchine locale ou le Peer. Prérequis • Exécution des commandes debug ppp negotiation et debug ppp authentication • Vous devez être capable de lire et de comprendre la sortie de la commande debug ppp negotiation. Reférez-vous au document ccnp_ppp_debug_negociation_output.ppt • La phase d'authentification PPP ne doit pas commencer tant que la phase LCP (Link Control Protocol) n'est pas complète et son état ouvert (Open). Si la commande debug ppp negotiation idique que LCP n'est pas ouvert, resolvez ce problème avant de continuer. • L'authentification PPP doit être configurée aux deux extrémités. Utilisez les commandes suivantes comme il se doit: - ppp authentication chap sur les deux routeurs pour une authentification CHAP bidirectionnelle. - ppp authentication chap callin sur le routeur appelant pour une authentifica- tion unidirectionnelle. - ppp authentication pap sur les deux routeurs pour une authentification PAP ccnp_cch

Diagramme de résolution de problèmes Ce document comporte quelques diagrammes pour apporter une aide à la résolution de problèmes. Note: Ne sautez aucune étape du diagramme L'authentification peut être faite par les deux extrémités ou par l'une ou l'autre des extrémités. Les échecs d'authentification sont les problèmes les plus courants rencontrés dans la négociation PPP. Note: Ce document suppose que l'état LCP est ouvert. Si ce n'est pas le cas, il vous faut résoudre ce problème avant de continuer. Exécutez les commandes debug ppp negotiation et debug ppp authentication Le routeur utilise une authentification CHAP ou PAP? Vérifiez si vous trouvez un des messages suivants: BRI0:1 PPP: Phase is AUTHENTICATING, by both Ceci indique que les routeurs exécutent une authentification bidirectionnelle. BRI0:1 PPP: Phase is AUTHENTICATING, by the peer ou BRI0:1 PPP: Phase is AUTHENTICATING, by this end les deux messages ci-dessus indiquent que les routeurs exécutent une authentification unidirectionnelle. Pour la résolution de problèmes relatifs à PAP, reférez-vous au document Configuring and Troubleshooting PPP Password Authentication Protocol (PAP) authentification unidirectionnelle ou bidirectionnelle Opérez sur les deux routeurs Opérez sur le routeur recevant l'appel 2 ccnp_cch

Est-ce-que le routeur réalise une authentification CHAP ou PAP? Pour déteminer si le routeur réalise une authentification CHAP ou PAP, recherchez les lignes suivantes dans la sortie des commandes debug ppp negotiation et debug ppp authentication. CHAP Recherchez CHAP dans la phase AUTHENTICATING Jun 9 14:16:29:468 BR0:1 PPP: Phase is AUTHENTICATING, by this end Jun 9 14:16:29:468 BR0:1 CHAP: O CHALLENGE id 5 len 33 from "Cfi-N100" PAP Recherchez CHAP dans la phase AUTHENTICATING Jun 9 14:30:19:468 BR0:1 PPP: Phase is AUTHENTICATING, by both Jun 9 14:30:19:468 BR0:1 PAP: I AUTH-REQ id 1 len 23 from "Cfi-N101" Est-ce-que le routeur réalise une authentification unidirectionnelle ou bidirectionnelle? Recherchez un des messages suivants dans la sortie de la commande debug ppp negotiation. BR0:1 PPP: Phase is AUTHENTICATING, by both Le message ci-dessus indique que les routeurs utilise une authentification bidirectionnelle. L'un ou l'autre des messages suivants indique que les routeurs utilisent une authenti- fication unidirectionnelle. BR0:1 PPP: Phase is AUTHENTICATING, by this end ou BR0:1 PPP: Phase is AUTHENTICATING, by the peer ccnp_cch

Est-ce-que la machine distante est un routeur Cisco? Est-ce un échec sur appel entrant? 2 La machine distante échoue dans l'authentification du username et du mot de passe du routeur local. Cela peut être du à une mauvaise configuration du routeur local (username/password incorrects) ou sur le routeur distant Echec sur appel entrant? Non 3 Oui Recherchez la sortie suivante de la commande debug: BRO:1 CHAP: O CHALLENGE id 9 len 33 from "Cfi-N100" ou BRO:1 CHAP: O RESPONSE id 16 len 33 from "Cfi-N100" Dans cet exemple le username est "Cfi-N100" Vérifiez dans la commande ppp chap hostname username si username correspond bien au username du challenge ou reponse sortant. Notez le username et le mot de passe (ppp chap password), vous en aurez besoin pour la vérification sur le routeur distant Le username dans le Challenge ou la Response sortants est-il le même que le username du routeur? Non Oui Contactez l'administrateur du routeur distant pour vérifier le username et le mot de passe attendus. 1) Quel est le username attendu? Exécutez la commande ppp chap hostname pour corriger si nécessaire 2) Quel est le mot de passe attendu? Exécutez la commande ppp chap password pour corriger si nécessaire Est-ce-que la machine distante est un routeur Cisco? Non Oui Exécutez les commandes debug sur le routeur distant. 3 ccnp_cch

Vérifiez si vous avez reçu des messages termreq ou failure Vérifiez si vous avez reçu des messages termreq ou failure . Rappelez vous que "I" indique que le message est un message entrant ou reçu. BR0:1 LCP: I TERMREQ ou BR0:1 LCP: I FAILURE Un message d'échec entrant indique que le distant (peer) n'a pu authentifier le nom et/ou le mot de passe du routeur local. Ceci peut être du à une mauvaise configuration du routeur local ( en ne fournissant pas le usernamle et le mot de passe attendus par le routeur distant) ou sur le routeur distant. Est-ce-que le "username" dans le challenge transmis ou dans la réponse est le même que le hostname? Recherchez les messages suivants dans la sortie de la commande debug ppp negotiation. BR0:1 CHAP: O CHALLENGE id 9 len 33 from "Cfi-N100" ou BR0:1 CHAP: O RESPONSE id 16 len 33 from "Cfi-N100" Notez le "username" dans le message challenge ou response. Dans cet exemple c'est "Cfi-N100". Vous en avez besoin pour vérifier que le "username" et le mot de passe utilisés pour l'authentification sont ceux attendus par le routeur distant. Si le "username" dans le message challenge de sortie n'est pas le même que celui indiqué dans "hostname", cherchez si dans la commande ppp chap hostname username , si le username correspond au "username" utilisé dans le message challenge de sortie.. ccnp_cch

Est-ce-que la machine distante à laquelle vous avez accès est un routeur Cisco? Comme nous avons déterminé que le routeur local a reçu un message d'échec, nous savons que l'échec s"est produit sur le routeur distant. Si vous avez accès au routeur distant, résolvez le problème sur cet équipement. Si vous n'avez pas accès au routeur distant, contactez l'administrateur de ce routeur pour qu'il vérifie le "username" et le mot de passe attendus. Posez les questions suivantes: 1. Quel est le "username" attendu par le routeur distant ? Utilisez la commande ppp chap hostname <username> sous l'interface physique ou l'interface dialer pour configurer le username fourni par l'administrateur du routeur distant. Note: Le username est sensible à la casse 2. Quel est le mot de passe attendu par le routeur duistant? Utilisez la commande ppp chap password <password> sous l'interface physique ou l'interface dialer pour configurer le username fourni par l'administrateur du routeur distant. Note: Le mot de passe est sensible à la casse Pour plus d'informations reférez-vous au document PPP authentication Using the ppp hostname and ppp authentication chap callin Commands. ccnp_cch

Résolution des problèmes CHAP des appels sortants 3 Le distant détecte un message d'échec entrant, ceci signifie que le routeur local a échoué dans l'authentification du routeur distant. Par conséquent nous devons recherchez le problème sur le routeur qui affiche le message d'échec sortant. Les messages suivants émis par le routeur local indiquent un échec: BRO:1 CHAP O FAILURE id 10 len 26 msg is "Authentication failure" ou BRO:1 LCP O TERMREQ [Open]id 22 len 4 Est-ce-que le routeur local utilise un serveur AAA? Oui 4 Non Choisir parmi les messages suivants Configurez le username et le mot de passe pour le challenge CHAP. Utilisez la commande: username <username> password <password> Le username doit être le même que le username du message CHAP challenge entrant et le mot de passe doit être commun BRO:1 CHAP: I RESPONSE id 18 len 33 from "username" BRO:1 CHAP: Unable to validate Response. Username <username> not found BRO:1 CHAP: O FAILURE id 18 len 26 msg is "Authenti- cation failure" BRO:1 PPP: Phase is TERMINATING [0 sess, 0 load] Configurez le username et le mot de passe pour le challenge CHAP. Utilisez la commande: username <username> password <password> Le username doit être le même que le username du message CHAP challenge entrant et le mot de passe doit être commun BRO:1 CHAP: Username <username> not found BRO:1 CHAP: Unable to authenticate for peer BRO:1 PPP: Phase is TERMINATING [0 sess, 0 load] BRO:1 LCP: O TERMREQ [Open] id 22 len4 Retirez le username et le mot de passe actuels en utilisant la com- mande no username <username> où username correspond à celui du message CHAP BRO:1 CHAP: I RESPONSE id 16 len 33 from "username" BRO:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed" Configurez le username et le mot de passe . Utilisez la commande: username <username> password <password> .Le username doit être le même que celui du messa- ge CHAP ccnp_cch

Le routeur n'utilise pas AAA ou seulement un AAA local Si le routeur distant (peer) détecte un message d'échec entrant cela signifie que le routeur local n'a pu authentifier le routeur distant et a transmis un message d'échec. Maintenant nous devons rechercher le problème sur le routeur qui a transmis le message d'échec. Les messages suivants sur le routeur local indiquent un échec: BRO:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure" ou BRO:1 LCP O TERMREQ [Open]id 22 len 4 Le routeur n'utilise pas AAA ou seulement un AAA local Si le routeur n'utilise pas d'authentification , d'autorisation et d'accounting basée sur un serveur AAA (Radius ou TACACS+), le routeur peut utiliser un AAA local ou pas de AAA. Recherchez un des messages suivants dans la sortie de la commande debug: Unable to validate Response . Username <username> not found BRO:1 CHAP: I RESPONSE id 18 len 33 from "Cfi-N100" !-- Réponse CHAP entrante à notre Challenge !-- Le username utilisé dans la réponse est Cfi-N100 BRO:1 CHAP: Unable to validate Response.Username Cfi-N100 not found !-- Le username fourni par le distant n'est pas celui configuré sur !-- le routeur. !-- Nous supposons que le distant n'a pas le droit de se connecter BRO:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure" !-- Message d'échec CHAP émis !-- Le distant verra un message d'échec entrant BRO:1 PPP: Phase is TERMINATING [0 sess, 0 load] Une non-correspondance de username peut être causée par deux raisons: 1. Le distant ne fournit pas le username attendu par le routeur local. 2. Le routeur local n'a pas de username configuré. Si le username fournit par le routeur distant correspond à celui qui est attendu par le routeur local alors configurez le username et le mot de passe. Ce problème est très souvent rencontré quand le routeur distant utilise la commande ppp chap hostname pour configurer un username autre que le nom du routeur. Utilisez la commande username <username> password <password> dans laquelle <username> est remplacé par le username du message d'erreur ci-dessus. ccnp_cch

Username not found. Unable to authenticate for peer BRO:1 CHAP: I CHALLENGE id 17 len 33 from "Cfi-N100" !-- Challenge CHAP entrant de Cfi-N100 !-- Le routeur doit chercher le username spécifié afin de créer !-- une réponse CHAP BRO:1 CHAP: Username Cfi-N100 not found !-- Le username Cfi-N100 fourni par le distant n'est pas configuré !-- localement BRO:1 CHAP: Unable to authenicate for peer !-- Comme le routeur ne reconnaît pas le username, il ne peut pas !-- créer de réponse CHAP BRO:1 PPP: Phase is TERMINATING [0 sess, 0 load] !-- L'authentification échoue. Une non-correspondance de username peut être causée par deux raisons: 1. Le distant ne fournit pas le username attendu par le routeur local. Vous pouvez configurer le username et le mot de passe transmis par le distant ou corriger la configuration du distant avec le username correct. 2. Le routeur local n'a pas de username configuré. Si le username fournit par le routeur distant correspond à celui qui est attendu par le routeur local alors configurez le username et le mot de passe. Ce problème est très souvent rencontré quand le routeur distant utilise la commande ppp chap hostname pour configurer un username autre que le nom du routeur. Utilisez la commande username <username> password <password> dans laquelle <username> est remplacé par le username du message d'erreur ci-dessus. MD/DES Compare failed BRO:1 CHAP: I RESPONSE id 16 len 33 from "Cfi-N100" BRO:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed" Cette erreur est causée par une non-correspondance de mot de passe . Ceci peut être causé par deux raisons: 1. Le routeur distant ne fournit pas le mot de passe attendu par le routeur local. Vous pouvez reconfigurer le username et le mot de passe transmis par le distant ou corriger la configuration du distant avec le mot de passe correct. 2. Le routeur local n'a pas de mot de passe correct configuré. Si vous avez vérifié que le mot de passe fourni par le routeur distant est correct alors reconfigurez le routeur local ccnp_cch

Solution: 1. Retirez le username et le mot de passe existants en utilisant la commande no username <username> <username> est remplacé par le username du message d'erreur . Dans cet exemple c'est Cfi-N100 2. Configurez le username et le mot de passe en utilisant la comande: username <username> password <password> Le username doit être le même que dans le message CHAP ci-dessus. Le mot de passe doit correspondre au mot de passe sur le routeur distant. ccnp_cch

Y-a-t-il un message Access-Accept? Résolution de problèmes généraux basés sur les serveurs AAA 4 Cette section fournit quelques résolutions de problèmes AAA simples Elle peut être utilisée pour la résolution de problèmes d'ahentification CHAP ou PAP Exécuter les commandes debug suivantes: debug aaa authentication et debug radius ou debug tacacs Note: Pour Radius avant l'IOS release 12.2XB, la sortie de debug aura besoin d'être décodée Dans la sortie de la commande debug radius/tacacs vérifiez si vous avez reçu un message Access-Accept du serveur. Par exemple: *Jun 9 05:07:40.310: RADIUS: Received from id 4 172.22.53.201:1645,Access-Accept,len 50 Vérifiez si vous avez un message Sendauth failure qui apparaît uniquement avec une authentification Radius bidirectionnelle. Exemple de sortie debug: AAA/AUTHEN/START(776188141): port='BRI0:1' list=" action=SENDAUTH service=PPP AAA/AUTHEN/START(776188141): using "default" list AAA/AUTHEN/START(776188141): Method=radius (radius) AAA/AUTHEN/SENDAUTH(776188141): missing password for Cfi-N100 AAA/AUTHEN/SENDAUTH(776188141): Failed sendauthen for Cfi-N100 AAA/AUTHEN(776188141): status=FAIL AAA/AUTHEN/START(776188141): no methods left to try AAA/AUTHEN(776188141): status=ERROR AAA/AUTHEN/START(776188141): faileed to authenticate BR0:1 CHAP: Username Cfi-N100: lookup failure Configurez l'authentification unidirectionnelle avec la commande ppp authentication chap callin sur le routeur appelant. Y-a-t-il un message Access-Accept? Oui Non Exécutez les étapes suivantes pour la résolution de problèmes: 1) Vérifiez si vous avez la connectivité avec le serveur AAA( utilisez la commande ping depuis le routeur local) 2) Vérifiez si le serveur AAA est correcte- ment spécifié par la commande radius server ou tacacs-server host. 3) Vérifiez si la clé secrète utilisée entre le routeur local et le serveur AAA est correcte (utilisez la commande radius- serer key ou tacacs-server key) 4) Vérifiez si le routeur local est correcte- ment identifié dans la configuration du serveur AAA 5) Vérifiez si le username et le mot de passe utilisés pour l'authentification sont bien configués sue le serveur AAA Si vous avez un message Access-Accept et que l'authentification échoue, contactez le TAC Cisco pour résoudre le problème. ccnp_cch

Note: Ce document n'est pas reconnu comme une ressource d'aide à la résolution de problèmes de AAA. Pour plus d'informations, reférez-vous aux ressources suivantes: • Diagnosis and Troubleshooting AAA Operations • RADIUS • TACACS ccnp_cch