Jump to content
Калькуляторы

Выборочное шифрование канала в MPD

Коллеги, подскажите, как посредством радиус авторизации указать NAS (на базе MPD5) для PPTP соединений: "Этому юзеру шифровать канал, а этому нет"?

 

Я пытался сделать это посредством создание 2-х бандлов: А и В, одним предусмотрено шифрование, другим, соответственно, нет.

Радиусом отвечаю:

"mpd-action:=bundle A" либо "mpd-action:=bundle B"

 

Но почему-то в обоих случаях трафик не шифруется...

Хотя бандлы назначаются разные...

 

Есть идеи, может у кого получалось?

Edited by _xxx_

Share this post


Link to post
Share on other sites

Может кто-то подскажет другой метод в MPD5, как указать какому пользователю шифровать канал, а какому нет???

Share this post


Link to post
Share on other sites

а смысл выборочного?

шифрование подразумевает передачу данных по публичной сети,

поэтому в вашей задаче врятли mpd выступает в роли концентратора у провайдера,

т.е. какая разница провайдеру до защиты данных абонента.

 

у вас машина что-ли настолько слаба чтобы 10-20-100 коннектов отшифровать?

 

ну и на стороне клиента есть настройки требовать шифрование.

отключите шифрование по умолчанию на сервера, а на нужных клиентах настройте это требование

если уж так надо.

конечно можно поковыряться в исходниках либо МАН-ах mpd и найти проблему.

Share this post


Link to post
Share on other sites

Вы не верно истолковали ситуацию. Ваши доводы я понял и они не лишены логики, но выходят за рамки обсуждаемого вопроса.

 

Речь идёт про концентраторы с онлайном до 800 на каждом и ТП до 8Мбит/с. Новые ТП будут до 25 Мбит/с. И шифровать такой трафик бессмысленно.

Но исторически сложилось, что у тысяч пользователей никто галочку не снимал и объяснить им это в сжатые сроки будет сложно.

 

Условием новых ТП будет отключение шифрования, но это легче сделать у тех кто меняет ТП или у новых узеров, а у всех поголовно будет сложно.

Поэтому и хочу добиться, чтобы у старых ТП оно было, а у новых нет.

 

И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

 

Share this post


Link to post
Share on other sites

Тобишь если в mpd не разрешать шифрование (оно там по умолчанию выключено) абоненты не будут подключаться?

 

Приведите конфиг, как вы пытались сделать с помошью mpd-action, попробую воспроизвести ситуацию.

 

Выходом из ситуации считаю быстрой установкой ещё дву-трёх машин.

И пусть шифруют, потом обозначить дату Х когда будет выключено шифрование

(например в офисе после оплаты давать информацию)

 

 

 

Вообще PPTP протокол не для аутентификации абонентов в провайдинге, а для объединения сетей,

либо доступа к сети (1-2-10-20 сотрудников)

для провайдинга есть PPPoE.

Share this post


Link to post
Share on other sites

Сделайте ещё один NAS, для абонентов с широкими тарифами.

Share this post


Link to post
Share on other sites
И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

А включать дебаг и читать логи IPCP нынче не модно ?

Share this post


Link to post
Share on other sites

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

 

А какие конфиги бандлов?

Edited by littlesavage

Share this post


Link to post
Share on other sites
_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться"

проверьте плиз, если есть на чем.

Share this post


Link to post
Share on other sites
_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

 

А какие конфиги бандлов?

Конфиги банлов кину чуть позже.

 

По поводу MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0, я перед этим это пробывал в разных вариациях, но оно не давало ни какого эффекта.

 

У вас это получалось? Просто если у вас это работало, тогда это можно выбрать за рабочий метод и от него отталкиваться.

 

 

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться"

проверьте плиз, если есть на чем.

Нет не пофиг, т.к. такие атрибуты будут выданы выборочно в зависимости от ТП. Т.е. только в новых ТП. Метод очень интересный я на него полночи дня 3 назад убил, но не получилось. МПД не реагировал на эти атрибуты. Я много вариантов с ними перепробывал. Но тут важно работало ли оно у кого либо. Потому что если да, тогда, возможно глюк у меня.

 

П.С. Использую МПД 5.3 в продакшене. Но тестил и на МПД 5.5 и на 5.3.

Share this post


Link to post
Share on other sites

Вот такие бандлы описываю:

# Create clonable bundle template named A
        create bundle template A
        set iface disable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp no vjcomp

        set bundle disable compression
        set ccp no mppc
        set mppc no e40
        set mppc no e128
        set bundle disable crypt-reqd
        set mppc no stateless

        set ipcp dns x.x.x.1 10.0.0.1

# Create clonable bundle template named B
        create bundle template B
        set iface disable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp no vjcomp

# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
# Enable Microsoft Point-to-Point encryption (MPPE)
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set bundle disable crypt-reqd
        set mppc yes stateless

        set ipcp dns x.x.x.1 10.0.0.1

Юзерам выдаю атрибут "mpd-action:=bundle A"

либо

"mpd-action:=bundle B"

 

МПД это принимает, но само шифрование не работает...

 

 

П.С. Ставить разные НАС для разных пользователей для меня не решение, увсех должно быть одно и то же доменное имя.

Это связано с балансировкой нагрузки.

Edited by _xxx_

Share this post


Link to post
Share on other sites

Уточню предыдущий пост. По логике у тех кому назначен "бандл А" шифрования быть не должно, а у тех у кого "бандл В", шифрование должно быть.

 

Меня, даже, больше интересует смог ли кто-либо добиться работоспособности такой схемы. Если она у вас работала, тогда хоть я буду знать что стоит дальше копать. Так что если у кого-либо работало - сообщите.

Share this post


Link to post
Share on other sites

C таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно?

Edited by littlesavage

Share this post


Link to post
Share on other sites

В бандле A все же стоит сделать set ccp yes mppc.

 

Share this post


Link to post
Share on other sites
_xxx_, действительно, MS-MPPE-Encryption-Policy только для Response пакетов.

Но с таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно?

ms-chap не отключал. Даже специально проверил, подключение проходит.

"MS-MPPE-Encryption-Policy только для Response пакетов" - это понятно.

 

Из любопытства "MS-MPPE-Encryption-Policy:=0" в таком формате даёте ответ? И, как следствие, шифрование отключается, даже если бандл предусматривает шифрование, и наоборот - "MS-MPPE-Encryption-Policy:=1", если не предусматривает?

 

С версией 5.3 этот атрибут совместим?

Share this post


Link to post
Share on other sites

_xxx_, работает именно без MS-MPPE-Encryption-Policy, достаточно mpd-action, как у вас в конфигах.

Share this post


Link to post
Share on other sites

Спасибо за участие, буду ковыряться.

Share this post


Link to post
Share on other sites

set ccp yes mppc

set bundle no crypt-reqd

set mppc yes e128

set mppc yes stateless

 

Достаточно одного бандла.

Хочет клиент шифрацию - будет ему шифрация, не хочет - серверу легче.

 

Share this post


Link to post
Share on other sites

Deac, у _xxx_ сейчас так и стоит. Он хочет именно отключить всем шифрование.

Плюс, с такими параметрами, если у клиента даже не установлена галка "требовать шифрование данных", винда, видя что сервер принимает шифрование, все равно его включит.

Share this post


Link to post
Share on other sites

Во первых у него "disable", а у меня "no" - это РАЗНЫЕ вещи и Архи когда-то проходился по тем, кто этого не понимает.

Во вторых надо ещё использовать "небезопасный пароль".

 

Edited by Deac

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this