Ilya Posted January 22, 2004 Posted January 22, 2004 Вконец замучился настраивать вышеупомянутый комплект. 1. Следуя инструкциям: http://poptop.sourceforge.net/dox/radius_mysql.html добавил в ядро поддержку mppe ( наглухо вкомпилил в ядро 2.4.24 ) 2. Собрал pppd 2.4.2 3. Настроил radiusclient так, чтобы виделся мой Radius сервер. В результате: все работает, но нестабильно. Может 5 раз подряд пустить клиента (mppe 128 бит шифрование, ms-chap v2) и позволит ему работать хоть целый день, а может не пустить ( не проходит ms-chap v2 авторизация ). Потом может еще 3 раза пустить, а потом снова не пускает... Бред какой то. При неудачной попытке авторизации в логах вижу: Connect: ppp1 <--> /dev/pts/3 pppd[5624]: sent [LCP ConfReq id=0x1 <asyncmap 0xa0000> <auth chap MS-v2> <magic 0xa061d pptpd[5623]: CTRL: Received PPTP Control Message (type: 15) pptpd[5623]: CTRL: Got a SET LINK INFO packet with standard ACCMs pppd[5624]: sent [LCP ConfReq id=0x1 <asyncmap 0xa0000> <auth chap MS-v2> <magic 0xa061d ast message repeated 8 times pppd[5624]: LCP: timeout sending Config-Requests pppd[5624]: Connection terminated. pppd[5624]: Exit. pptpd[5623]: GRE: read(fd=8,buffer=804da40,len=8196) from PTY failed: status = -1 error pptpd[5623]: CTRL: PTY read or GRE write failed (pty,gre)=(8,9) pptpd[5623]: CTRL: Client 192.168.1.195 control connection finished pptpd[5623]: CTRL: Exiting now И опаньки... Причем вдогонку можно попытаться еще раз - и оно сработает нормально. :( Пробовал pppd 2.4.1, 2.4.2b3, 2.4.2 poptop 1.1.3, 1.1.4b4 kernel 2.4.21, 2.4.24 - картина не меняется то работает то нет. Может кто подскажет - в какую сторону копать ?? содержимое options.pptpd: lock debug dump auth proxyarp mtu 1450 mru 1450 -pap -chap -mschap +mschap-v2 require-mppe require-mppe-40 require-mppe-128 ipcp-accept-local ipcp-accept-remote lcp-echo-failure 30 lcp-echo-interval 5 ms-dns 192.168.1.1 plugin radius.so plugin radattr.so Вставить ник Quote
vlad@ Posted January 23, 2004 Posted January 23, 2004 попробуй закомментировать: #plugin radius.so #plugin radattr.so добавить в chap-secrets юзера. если авторизация будет проходить нормально - дело в радиусе, нет - в PoPtoP'e Если дело в PoPtoP'e - сделай +pap -chap -mschap -mschap-v2 добавь в pap-secrets юзера. если авторизация будет проходить нормально - дело в MPPE+mschap-v2 (а нужны ли они???), нет - пройди авторизацию по простому pppd (без pptpd) - модемом на входящий звонок или терминалом. Вставить ник Quote
Ilya Posted January 24, 2004 Author Posted January 24, 2004 В том то и дело, что при возникновении ошибок pppd к радиусу вообще не стучится. :( PAP авторизация проходит на ура во всех сочетаниях. (Хоть через radius, хоть через pap-secrets). pppd сам по себе без poptop прекрасно работает. Но нужна именно связка MS-CHAP-v2 + 128 bit шифрование. Клиенты у меня: Windows 2000 Pro Rus + SP4. На microsoft.com никаких статеек о проблемах похожих на мою (вдруг дело все таки в кривом клиенте) не нашел. P.S. Пробовал более старый poptop 1.1.2 - те же глюки... Вставить ник Quote
vlad@ Posted January 24, 2004 Posted January 24, 2004 >>вдруг дело все таки в кривом клиенте cкорее - в кривом pppd У меня SuSE 8.2 pppd (2.4.1)+pptpd из дистрибутива, MS-CHAP-v2 + 128 bit шифрование. Радиуса нет (chap-secrets). Работает безошибочно. Клиенты - ХР portslave не пробовал? Вставить ник Quote
NuINu Posted February 9, 2004 Posted February 9, 2004 Да ну что вы?!! Здесь нет никаких глюков!! Смотрите лог. Там же видно что ответ на запрос авторизации вылетает по тайм-ауту. Не знаю как это в МС-Чапе, происходит но в чапе клиенту кидается некая строка которую он шифрует свом паролем и возвращает серваку. А вот дальше все зависит от настроек если есть радиус то результат передается ему, но здесь до результата дело не доходит, говорит нет ответа, т.е клиент не пошевелился и не снизошол до ответа серверу на его дурацкий запрос(да тот еще осмелился свой запрос повторить). Ну сервак обиделся и выкинул клиента. ИМХО. нужно что то попровбовать по ковырять с параметрами lcp и увеличить время для timeout или как то подстегнуть клиента. Вставить ник Quote
Ilya Posted February 9, 2004 Author Posted February 9, 2004 В том то и засада, что в 1 случае из 10 оно к радиусу вообще не стучится! Естественно при отсутствии запросов на авторизацию со стороны pppd ничего работать не будет. Вставить ник Quote
NuINu Posted February 9, 2004 Posted February 9, 2004 Не Ilya ты не понял, что я хотел сказать, оно вылетает еще до обращения к серверу РАДИУС, он и не должен в этом случае к нему обращаться, весь прием идентификации происходит ДО обращения к РАДИУСУ. Вот что говорит rfc2138 For CHAP, the NAS generates a random challenge (preferably 16 octets) and sends it to the user, who returns a CHAP response along with a CHAP ID and CHAP username. The NAS then sends an Access-Request packet to the RADIUS server with the CHAP username as the User-Name так вот юзер не отвечает именно NAS серверу. Вставить ник Quote
NuINu Posted February 9, 2004 Posted February 9, 2004 Пардон там еще дальше есть насчет всег остального, короче см. пункт 2.2. Вставить ник Quote
Guest Posted March 17, 2005 Posted March 17, 2005 Вконец замучился настраивать вышеупомянутый комплект. 1. Следуя инструкциям: http://poptop.sourceforge.net/dox/radius_mysql.html добавил в ядро поддержку mppe ( наглухо вкомпилил в ядро 2.4.24 ) 2. Собрал pppd 2.4.2 3. Настроил radiusclient так, чтобы виделся мой Radius сервер. В результате: все работает, но нестабильно. Может 5 раз подряд пустить клиента (mppe 128 бит шифрование, ms-chap v2) и позволит ему работать хоть целый день, а может не пустить ( не проходит ms-chap v2 авторизация ). Потом может еще 3 раза пустить, а потом снова не пускает... Бред какой то. При неудачной попытке авторизации в логах вижу: Connect: ppp1 <--> /dev/pts/3 pppd[5624]: sent [LCP ConfReq id=0x1 <asyncmap 0xa0000> <auth chap MS-v2> <magic 0xa061d pptpd[5623]: CTRL: Received PPTP Control Message (type: 15) pptpd[5623]: CTRL: Got a SET LINK INFO packet with standard ACCMs pppd[5624]: sent [LCP ConfReq id=0x1 <asyncmap 0xa0000> <auth chap MS-v2> <magic 0xa061d ast message repeated 8 times pppd[5624]: LCP: timeout sending Config-Requests pppd[5624]: Connection terminated. pppd[5624]: Exit. pptpd[5623]: GRE: read(fd=8,buffer=804da40,len=8196) from PTY failed: status = -1 error pptpd[5623]: CTRL: PTY read or GRE write failed (pty,gre)=(8,9) pptpd[5623]: CTRL: Client 192.168.1.195 control connection finished pptpd[5623]: CTRL: Exiting now И опаньки... Причем вдогонку можно попытаться еще раз - и оно сработает нормально. :( Пробовал pppd 2.4.1, 2.4.2b3, 2.4.2 poptop 1.1.3, 1.1.4b4 kernel 2.4.21, 2.4.24 - картина не меняется то работает то нет. Может кто подскажет - в какую сторону копать ?? содержимое options.pptpd: lock debug dump auth proxyarp mtu 1450 mru 1450 -pap -chap -mschap +mschap-v2 require-mppe require-mppe-40 require-mppe-128 ipcp-accept-local ipcp-accept-remote lcp-echo-failure 30 lcp-echo-interval 5 ms-dns 192.168.1.1 plugin radius.so plugin radattr.so Вставить ник Quote
Ugnich Anton Posted March 17, 2005 Posted March 17, 2005 Вконец замучился настраивать вышеупомянутый комплект. 1. Следуя инструкциям: http://poptop.sourceforge.net/dox/radius_mysql.html добавил в ядро поддержку mppe ( наглухо вкомпилил в ядро 2.4.24 ) 2. Собрал pppd 2.4.2 3. Настроил radiusclient так, чтобы виделся мой Radius сервер. В результате: все работает, но нестабильно. Может 5 раз подряд пустить клиента (mppe 128 бит шифрование, ms-chap v2) и позволит ему работать хоть целый день, а может не пустить ( не проходит ms-chap v2 авторизация ). Потом может еще 3 раза пустить, а потом снова не пускает... Бред какой то. При неудачной попытке авторизации в логах вижу: Connect: ppp1 <--> /dev/pts/3 pppd[5624]: sent [LCP ConfReq id=0x1 <asyncmap 0xa0000> <auth chap MS-v2> <magic 0xa061d pptpd[5623]: CTRL: Received PPTP Control Message (type: 15) pptpd[5623]: CTRL: Got a SET LINK INFO packet with standard ACCMs pppd[5624]: sent [LCP ConfReq id=0x1 <asyncmap 0xa0000> <auth chap MS-v2> <magic 0xa061d ast message repeated 8 times pppd[5624]: LCP: timeout sending Config-Requests pppd[5624]: Connection terminated. pppd[5624]: Exit. pptpd[5623]: GRE: read(fd=8,buffer=804da40,len=8196) from PTY failed: status = -1 error pptpd[5623]: CTRL: PTY read or GRE write failed (pty,gre)=(8,9) pptpd[5623]: CTRL: Client 192.168.1.195 control connection finished pptpd[5623]: CTRL: Exiting now И опаньки... Причем вдогонку можно попытаться еще раз - и оно сработает нормально. :( Пробовал pppd 2.4.1, 2.4.2b3, 2.4.2 poptop 1.1.3, 1.1.4b4 kernel 2.4.21, 2.4.24 - картина не меняется то работает то нет. Может кто подскажет - в какую сторону копать ?? Абсолютно та же хрень была... ASP9.2, все пакеты из дистрибутива - работает через раз. Собрал из сырцов, тоже через раз, но уже чаще. :) Иногда проходило авторизацию, но потом показывало (на клиенте) ошибку, что-то про заворачивание на самого себя. radius, шифрование и сжатие не использовались, пароли в chap-secrets, авторизация MS-CHAPv2. Сейчас стоит Fedora3 (ядро 2.6), пакеты из дистрибутива (pptpd из ASP10). Работает без проблем. Вставить ник Quote
[-Alt-] Posted March 19, 2005 Posted March 19, 2005 Я бы советовал попробовать патчи mppe отсюда: http://www.polbox.com/h/hs001/ + использовать pppd-2.4.3 и pptpd-1.2.3 (последний кстати научился передавать ip подключающегося в ipparam, что легким движением руки превращается в remotenumber, который в свою очередь pppd передает радиусу как Calling-Station-Id) Эта связка работает сейчас на сервере с пиком под 400 сессий ppp, вроде глюков особых нету. з.ы. Легким движением руки это: --- pptpd-1.2.3.orig/pptpctrl.c 2004-04-28 15:36:07.000000000 +0400 +++ pptpd-1.2.3/pptpctrl.c 2004-09-29 14:52:10.804365459 +0400 @@ -728,7 +728,7 @@ #endif if (!noipparam) { - pppd_argv[an++] = "ipparam"; + pppd_argv[an++] = "remotenumber"; pppd_argv[an++] = inet_ntoa(inetaddrs[1]); } Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.