Jump to content

Выборочное шифрование канала в MPD

_xxx_
 Share

Recommended Posts

_xxx_

_xxx_

Posted
Posted (edited)

Коллеги, подскажите, как посредством радиус авторизации указать NAS (на базе MPD5) для PPTP соединений: "Этому юзеру шифровать канал, а этому нет"?

 

Я пытался сделать это посредством создание 2-х бандлов: А и В, одним предусмотрено шифрование, другим, соответственно, нет.

Радиусом отвечаю:

"mpd-action:=bundle A" либо "mpd-action:=bundle B"

 

Но почему-то в обоих случаях трафик не шифруется...

Хотя бандлы назначаются разные...

 

Есть идеи, может у кого получалось?

Edited by _xxx_
Giga-Byte

Giga-Byte

Posted
Posted

а смысл выборочного?

шифрование подразумевает передачу данных по публичной сети,

поэтому в вашей задаче врятли mpd выступает в роли концентратора у провайдера,

т.е. какая разница провайдеру до защиты данных абонента.

 

у вас машина что-ли настолько слаба чтобы 10-20-100 коннектов отшифровать?

 

ну и на стороне клиента есть настройки требовать шифрование.

отключите шифрование по умолчанию на сервера, а на нужных клиентах настройте это требование

если уж так надо.

конечно можно поковыряться в исходниках либо МАН-ах mpd и найти проблему.

_xxx_

_xxx_

Posted
  • Author
Posted

Вы не верно истолковали ситуацию. Ваши доводы я понял и они не лишены логики, но выходят за рамки обсуждаемого вопроса.

 

Речь идёт про концентраторы с онлайном до 800 на каждом и ТП до 8Мбит/с. Новые ТП будут до 25 Мбит/с. И шифровать такой трафик бессмысленно.

Но исторически сложилось, что у тысяч пользователей никто галочку не снимал и объяснить им это в сжатые сроки будет сложно.

 

Условием новых ТП будет отключение шифрования, но это легче сделать у тех кто меняет ТП или у новых узеров, а у всех поголовно будет сложно.

Поэтому и хочу добиться, чтобы у старых ТП оно было, а у новых нет.

 

И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

 

Giga-Byte

Giga-Byte

Posted
Posted

Тобишь если в mpd не разрешать шифрование (оно там по умолчанию выключено) абоненты не будут подключаться?

 

Приведите конфиг, как вы пытались сделать с помошью mpd-action, попробую воспроизвести ситуацию.

 

Выходом из ситуации считаю быстрой установкой ещё дву-трёх машин.

И пусть шифруют, потом обозначить дату Х когда будет выключено шифрование

(например в офисе после оплаты давать информацию)

 

 

 

Вообще PPTP протокол не для аутентификации абонентов в провайдинге, а для объединения сетей,

либо доступа к сети (1-2-10-20 сотрудников)

для провайдинга есть PPPoE.

jab

jab

Posted
Posted
И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

А включать дебаг и читать логи IPCP нынче не модно ?

Giga-Byte

Giga-Byte

Posted
Posted
_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться"

проверьте плиз, если есть на чем.

_xxx_

_xxx_

Posted
  • Author
Posted
_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

 

А какие конфиги бандлов?

Конфиги банлов кину чуть позже.

 

По поводу MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0, я перед этим это пробывал в разных вариациях, но оно не давало ни какого эффекта.

 

У вас это получалось? Просто если у вас это работало, тогда это можно выбрать за рабочий метод и от него отталкиваться.

 

 

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться"

проверьте плиз, если есть на чем.

Нет не пофиг, т.к. такие атрибуты будут выданы выборочно в зависимости от ТП. Т.е. только в новых ТП. Метод очень интересный я на него полночи дня 3 назад убил, но не получилось. МПД не реагировал на эти атрибуты. Я много вариантов с ними перепробывал. Но тут важно работало ли оно у кого либо. Потому что если да, тогда, возможно глюк у меня.

 

П.С. Использую МПД 5.3 в продакшене. Но тестил и на МПД 5.5 и на 5.3.

_xxx_

_xxx_

Posted
  • Author
Posted (edited)

Вот такие бандлы описываю:

# Create clonable bundle template named A
        create bundle template A
        set iface disable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp no vjcomp

        set bundle disable compression
        set ccp no mppc
        set mppc no e40
        set mppc no e128
        set bundle disable crypt-reqd
        set mppc no stateless

        set ipcp dns x.x.x.1 10.0.0.1

# Create clonable bundle template named B
        create bundle template B
        set iface disable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp no vjcomp

# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
# Enable Microsoft Point-to-Point encryption (MPPE)
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set bundle disable crypt-reqd
        set mppc yes stateless

        set ipcp dns x.x.x.1 10.0.0.1

Юзерам выдаю атрибут "mpd-action:=bundle A"

либо

"mpd-action:=bundle B"

 

МПД это принимает, но само шифрование не работает...

 

 

П.С. Ставить разные НАС для разных пользователей для меня не решение, увсех должно быть одно и то же доменное имя.

Это связано с балансировкой нагрузки.

Edited by _xxx_
_xxx_

_xxx_

Posted
  • Author
Posted

Уточню предыдущий пост. По логике у тех кому назначен "бандл А" шифрования быть не должно, а у тех у кого "бандл В", шифрование должно быть.

 

Меня, даже, больше интересует смог ли кто-либо добиться работоспособности такой схемы. Если она у вас работала, тогда хоть я буду знать что стоит дальше копать. Так что если у кого-либо работало - сообщите.

_xxx_

_xxx_

Posted
  • Author
Posted
_xxx_, действительно, MS-MPPE-Encryption-Policy только для Response пакетов.

Но с таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно?

ms-chap не отключал. Даже специально проверил, подключение проходит.

"MS-MPPE-Encryption-Policy только для Response пакетов" - это понятно.

 

Из любопытства "MS-MPPE-Encryption-Policy:=0" в таком формате даёте ответ? И, как следствие, шифрование отключается, даже если бандл предусматривает шифрование, и наоборот - "MS-MPPE-Encryption-Policy:=1", если не предусматривает?

 

С версией 5.3 этот атрибут совместим?

Deac

Deac

Posted
Posted

set ccp yes mppc

set bundle no crypt-reqd

set mppc yes e128

set mppc yes stateless

 

Достаточно одного бандла.

Хочет клиент шифрацию - будет ему шифрация, не хочет - серверу легче.

 

littlesavage

littlesavage

Posted
Posted

Deac, у _xxx_ сейчас так и стоит. Он хочет именно отключить всем шифрование.

Плюс, с такими параметрами, если у клиента даже не установлена галка "требовать шифрование данных", винда, видя что сервер принимает шифрование, все равно его включит.

Deac

Deac

Posted
Posted (edited)

Во первых у него "disable", а у меня "no" - это РАЗНЫЕ вещи и Архи когда-то проходился по тем, кто этого не понимает.

Во вторых надо ещё использовать "небезопасный пароль".

 

Edited by Deac

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.