_xxx_

Спасибо, вопрос закрыт.

Продам AS и 2 блока по 1024 IP. Кому интересно - пишите в личку.

Спасибо за участие, буду ковыряться.

ms-chap не отключал. Даже специально проверил, подключение проходит."MS-MPPE-Encryption-Policy только для Response пакетов" - это понятно. Из любопытства "MS-MPPE-Encryption-Policy:=0" в таком формате даёте ответ? И, как следствие, шифрование отключается, даже если бандл предусматривает шифрование, и наоборот - "MS-MPPE-Encryption-Policy:=1", если не предусматривает? С версией 5.3 этот атрибут совместим?

Уточню предыдущий пост. По логике у тех кому назначен "бандл А" шифрования быть не должно, а у тех у кого "бандл В", шифрование должно быть. Меня, даже, больше интересует смог ли кто-либо добиться работоспособности такой схемы. Если она у вас работала, тогда хоть я буду знать что стоит дальше копать. Так что если у кого-либо работало - сообщите.

Вот такие бандлы описываю: # Create clonable bundle template named A create bundle template A set iface disable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp no vjcomp set bundle disable compression set ccp no mppc set mppc no e40 set mppc no e128 set bundle disable crypt-reqd set mppc no stateless set ipcp dns x.x.x.1 10.0.0.1 # Create clonable bundle template named B create bundle template B set iface disable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp no vjcomp # The five lines below enable Microsoft Point-to-Point encryption # (MPPE) using the ng_mppc(8) netgraph node type. # Enable Microsoft Point-to-Point encryption (MPPE) set bundle enable compression set ccp yes mppc set mppc yes e40 set mppc yes e128 set bundle disable crypt-reqd set mppc yes stateless set ipcp dns x.x.x.1 10.0.0.1 Юзерам выдаю атрибут "mpd-action:=bundle A" либо "mpd-action:=bundle B" МПД это принимает, но само шифрование не работает... П.С. Ставить разные НАС для разных пользователей для меня не решение, увсех должно быть одно и то же доменное имя. Это связано с балансировкой нагрузки.

Конфиги банлов кину чуть позже. По поводу MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0, я перед этим это пробывал в разных вариациях, но оно не давало ни какого эффекта. У вас это получалось? Просто если у вас это работало, тогда это можно выбрать за рабочий метод и от него отталкиваться. я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться" проверьте плиз, если есть на чем. Нет не пофиг, т.к. такие атрибуты будут выданы выборочно в зависимости от ТП. Т.е. только в новых ТП. Метод очень интересный я на него полночи дня 3 назад убил, но не получилось. МПД не реагировал на эти атрибуты. Я много вариантов с ними перепробывал. Но тут важно работало ли оно у кого либо. Потому что если да, тогда, возможно глюк у меня. П.С. Использую МПД 5.3 в продакшене. Но тестил и на МПД 5.5 и на 5.3.

Вы не верно истолковали ситуацию. Ваши доводы я понял и они не лишены логики, но выходят за рамки обсуждаемого вопроса. Речь идёт про концентраторы с онлайном до 800 на каждом и ТП до 8Мбит/с. Новые ТП будут до 25 Мбит/с. И шифровать такой трафик бессмысленно. Но исторически сложилось, что у тысяч пользователей никто галочку не снимал и объяснить им это в сжатые сроки будет сложно. Условием новых ТП будет отключение шифрования, но это легче сделать у тех кто меняет ТП или у новых узеров, а у всех поголовно будет сложно. Поэтому и хочу добиться, чтобы у старых ТП оно было, а у новых нет. И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

Может кто-то подскажет другой метод в MPD5, как указать какому пользователю шифровать канал, а какому нет???

Коллеги, подскажите, как посредством радиус авторизации указать NAS (на базе MPD5) для PPTP соединений: "Этому юзеру шифровать канал, а этому нет"? Я пытался сделать это посредством создание 2-х бандлов: А и В, одним предусмотрено шифрование, другим, соответственно, нет. Радиусом отвечаю: "mpd-action:=bundle A" либо "mpd-action:=bundle B" Но почему-то в обоих случаях трафик не шифруется... Хотя бандлы назначаются разные... Есть идеи, может у кого получалось?

DNS+CARP. Т.е. имеем, к примеру, пару серверов 10.0.0.1 и 10.0.0.2 В DNS на имя vpn.x.x прописываем 2 адреса 10.0.0.1 и 10.0.0.2 Потом создаём CARP связку для обоих адресов 10.0.0.1 и 10.0.0.2, только в 1-м случае приоритет 1-му серверу, а во втором - второму. Балансировку обеспечиваем DNS, а отказоустойчивость CARP. Когда-то пробывал такую схему для теста - заработала, но под нагрузкой ещё не запускал. Использую только балансировку посредством DNS (не идеальна, но очень проста и работоспособна). Если найду немного свободного времени - поробую эту с-му под нагрузкой. А если кто пробывал - напишите.

Люди, реально надо. Помогите!

Пытался с вами связаться по данному вопросу через личку - ничего не вышло, она мне не доступна на данном форуме почему-то...Не могли бы вы мне в аську написать? Номер моей аськи 247755118. Буду очень признателен. Готов выразить материальную признательность за помощь в данном вопросе. Если кто-либо ещё может мне помочь, буду также признателен.

Похожая проблема. Люди добрые, если кто сталкивался, помогите решить проблему с лицензией разумными затратами. Необходимо Full L3 для 48si, 7i, а также advanced edge для 24e3.