_xxx_ Опубликовано 12 мая, 2010 (изменено) · Жалоба Коллеги, подскажите, как посредством радиус авторизации указать NAS (на базе MPD5) для PPTP соединений: "Этому юзеру шифровать канал, а этому нет"? Я пытался сделать это посредством создание 2-х бандлов: А и В, одним предусмотрено шифрование, другим, соответственно, нет. Радиусом отвечаю: "mpd-action:=bundle A" либо "mpd-action:=bundle B" Но почему-то в обоих случаях трафик не шифруется... Хотя бандлы назначаются разные... Есть идеи, может у кого получалось? Изменено 13 мая, 2010 пользователем _xxx_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 13 мая, 2010 · Жалоба Может кто-то подскажет другой метод в MPD5, как указать какому пользователю шифровать канал, а какому нет??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 13 мая, 2010 · Жалоба А зачем это вам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 13 мая, 2010 · Жалоба а смысл выборочного? шифрование подразумевает передачу данных по публичной сети, поэтому в вашей задаче врятли mpd выступает в роли концентратора у провайдера, т.е. какая разница провайдеру до защиты данных абонента. у вас машина что-ли настолько слаба чтобы 10-20-100 коннектов отшифровать? ну и на стороне клиента есть настройки требовать шифрование. отключите шифрование по умолчанию на сервера, а на нужных клиентах настройте это требование если уж так надо. конечно можно поковыряться в исходниках либо МАН-ах mpd и найти проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 13 мая, 2010 · Жалоба Вы не верно истолковали ситуацию. Ваши доводы я понял и они не лишены логики, но выходят за рамки обсуждаемого вопроса. Речь идёт про концентраторы с онлайном до 800 на каждом и ТП до 8Мбит/с. Новые ТП будут до 25 Мбит/с. И шифровать такой трафик бессмысленно. Но исторически сложилось, что у тысяч пользователей никто галочку не снимал и объяснить им это в сжатые сроки будет сложно. Условием новых ТП будет отключение шифрования, но это легче сделать у тех кто меняет ТП или у новых узеров, а у всех поголовно будет сложно. Поэтому и хочу добиться, чтобы у старых ТП оно было, а у новых нет. И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 14 мая, 2010 · Жалоба Тобишь если в mpd не разрешать шифрование (оно там по умолчанию выключено) абоненты не будут подключаться? Приведите конфиг, как вы пытались сделать с помошью mpd-action, попробую воспроизвести ситуацию. Выходом из ситуации считаю быстрой установкой ещё дву-трёх машин. И пусть шифруют, потом обозначить дату Х когда будет выключено шифрование (например в офисе после оплаты давать информацию) Вообще PPTP протокол не для аутентификации абонентов в провайдинге, а для объединения сетей, либо доступа к сети (1-2-10-20 сотрудников) для провайдинга есть PPPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.Scamp Опубликовано 14 мая, 2010 · Жалоба Сделайте ещё один NAS, для абонентов с широкими тарифами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 14 мая, 2010 · Жалоба И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал. А включать дебаг и читать логи IPCP нынче не модно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 14 мая, 2010 (изменено) · Жалоба _xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0 А какие конфиги бандлов? Изменено 14 мая, 2010 пользователем littlesavage Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 14 мая, 2010 · Жалоба _xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0 я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться" проверьте плиз, если есть на чем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 14 мая, 2010 · Жалоба _xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0 А какие конфиги бандлов? Конфиги банлов кину чуть позже. По поводу MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0, я перед этим это пробывал в разных вариациях, но оно не давало ни какого эффекта. У вас это получалось? Просто если у вас это работало, тогда это можно выбрать за рабочий метод и от него отталкиваться. _xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0 я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться" проверьте плиз, если есть на чем. Нет не пофиг, т.к. такие атрибуты будут выданы выборочно в зависимости от ТП. Т.е. только в новых ТП. Метод очень интересный я на него полночи дня 3 назад убил, но не получилось. МПД не реагировал на эти атрибуты. Я много вариантов с ними перепробывал. Но тут важно работало ли оно у кого либо. Потому что если да, тогда, возможно глюк у меня. П.С. Использую МПД 5.3 в продакшене. Но тестил и на МПД 5.5 и на 5.3. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 14 мая, 2010 (изменено) · Жалоба Вот такие бандлы описываю: # Create clonable bundle template named A create bundle template A set iface disable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp no vjcomp set bundle disable compression set ccp no mppc set mppc no e40 set mppc no e128 set bundle disable crypt-reqd set mppc no stateless set ipcp dns x.x.x.1 10.0.0.1 # Create clonable bundle template named B create bundle template B set iface disable proxy-arp set iface idle 1800 set iface enable tcpmssfix set ipcp no vjcomp # The five lines below enable Microsoft Point-to-Point encryption # (MPPE) using the ng_mppc(8) netgraph node type. # Enable Microsoft Point-to-Point encryption (MPPE) set bundle enable compression set ccp yes mppc set mppc yes e40 set mppc yes e128 set bundle disable crypt-reqd set mppc yes stateless set ipcp dns x.x.x.1 10.0.0.1 Юзерам выдаю атрибут "mpd-action:=bundle A" либо "mpd-action:=bundle B" МПД это принимает, но само шифрование не работает... П.С. Ставить разные НАС для разных пользователей для меня не решение, увсех должно быть одно и то же доменное имя. Это связано с балансировкой нагрузки. Изменено 14 мая, 2010 пользователем _xxx_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 14 мая, 2010 · Жалоба Уточню предыдущий пост. По логике у тех кому назначен "бандл А" шифрования быть не должно, а у тех у кого "бандл В", шифрование должно быть. Меня, даже, больше интересует смог ли кто-либо добиться работоспособности такой схемы. Если она у вас работала, тогда хоть я буду знать что стоит дальше копать. Так что если у кого-либо работало - сообщите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 14 мая, 2010 (изменено) · Жалоба C таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно? Изменено 14 мая, 2010 пользователем littlesavage Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.Scamp Опубликовано 14 мая, 2010 · Жалоба В бандле A все же стоит сделать set ccp yes mppc. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 14 мая, 2010 · Жалоба _xxx_, действительно, MS-MPPE-Encryption-Policy только для Response пакетов.Но с таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно? ms-chap не отключал. Даже специально проверил, подключение проходит."MS-MPPE-Encryption-Policy только для Response пакетов" - это понятно. Из любопытства "MS-MPPE-Encryption-Policy:=0" в таком формате даёте ответ? И, как следствие, шифрование отключается, даже если бандл предусматривает шифрование, и наоборот - "MS-MPPE-Encryption-Policy:=1", если не предусматривает? С версией 5.3 этот атрибут совместим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 14 мая, 2010 · Жалоба _xxx_, работает именно без MS-MPPE-Encryption-Policy, достаточно mpd-action, как у вас в конфигах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_xxx_ Опубликовано 14 мая, 2010 · Жалоба Спасибо за участие, буду ковыряться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 15 мая, 2010 · Жалоба set ccp yes mppc set bundle no crypt-reqd set mppc yes e128 set mppc yes stateless Достаточно одного бандла. Хочет клиент шифрацию - будет ему шифрация, не хочет - серверу легче. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 15 мая, 2010 · Жалоба Deac, у _xxx_ сейчас так и стоит. Он хочет именно отключить всем шифрование. Плюс, с такими параметрами, если у клиента даже не установлена галка "требовать шифрование данных", винда, видя что сервер принимает шифрование, все равно его включит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 15 мая, 2010 (изменено) · Жалоба Во первых у него "disable", а у меня "no" - это РАЗНЫЕ вещи и Архи когда-то проходился по тем, кто этого не понимает. Во вторых надо ещё использовать "небезопасный пароль". Изменено 15 мая, 2010 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...