Перейти к содержимому
Калькуляторы

Выборочное шифрование канала в MPD

Коллеги, подскажите, как посредством радиус авторизации указать NAS (на базе MPD5) для PPTP соединений: "Этому юзеру шифровать канал, а этому нет"?

 

Я пытался сделать это посредством создание 2-х бандлов: А и В, одним предусмотрено шифрование, другим, соответственно, нет.

Радиусом отвечаю:

"mpd-action:=bundle A" либо "mpd-action:=bundle B"

 

Но почему-то в обоих случаях трафик не шифруется...

Хотя бандлы назначаются разные...

 

Есть идеи, может у кого получалось?

Изменено пользователем _xxx_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кто-то подскажет другой метод в MPD5, как указать какому пользователю шифровать канал, а какому нет???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а смысл выборочного?

шифрование подразумевает передачу данных по публичной сети,

поэтому в вашей задаче врятли mpd выступает в роли концентратора у провайдера,

т.е. какая разница провайдеру до защиты данных абонента.

 

у вас машина что-ли настолько слаба чтобы 10-20-100 коннектов отшифровать?

 

ну и на стороне клиента есть настройки требовать шифрование.

отключите шифрование по умолчанию на сервера, а на нужных клиентах настройте это требование

если уж так надо.

конечно можно поковыряться в исходниках либо МАН-ах mpd и найти проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы не верно истолковали ситуацию. Ваши доводы я понял и они не лишены логики, но выходят за рамки обсуждаемого вопроса.

 

Речь идёт про концентраторы с онлайном до 800 на каждом и ТП до 8Мбит/с. Новые ТП будут до 25 Мбит/с. И шифровать такой трафик бессмысленно.

Но исторически сложилось, что у тысяч пользователей никто галочку не снимал и объяснить им это в сжатые сроки будет сложно.

 

Условием новых ТП будет отключение шифрования, но это легче сделать у тех кто меняет ТП или у новых узеров, а у всех поголовно будет сложно.

Поэтому и хочу добиться, чтобы у старых ТП оно было, а у новых нет.

 

И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тобишь если в mpd не разрешать шифрование (оно там по умолчанию выключено) абоненты не будут подключаться?

 

Приведите конфиг, как вы пытались сделать с помошью mpd-action, попробую воспроизвести ситуацию.

 

Выходом из ситуации считаю быстрой установкой ещё дву-трёх машин.

И пусть шифруют, потом обозначить дату Х когда будет выключено шифрование

(например в офисе после оплаты давать информацию)

 

 

 

Вообще PPTP протокол не для аутентификации абонентов в провайдинге, а для объединения сетей,

либо доступа к сети (1-2-10-20 сотрудников)

для провайдинга есть PPPoE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте ещё один NAS, для абонентов с широкими тарифами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И вроде бы метод нашёл, но у меня он не работает. Поэтому хочу услышать мнение тех кто такую проблему решал.

А включать дебаг и читать логи IPCP нынче не модно ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

 

А какие конфиги бандлов?

Изменено пользователем littlesavage

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться"

проверьте плиз, если есть на чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

 

А какие конфиги бандлов?

Конфиги банлов кину чуть позже.

 

По поводу MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0, я перед этим это пробывал в разных вариациях, но оно не давало ни какого эффекта.

 

У вас это получалось? Просто если у вас это работало, тогда это можно выбрать за рабочий метод и от него отталкиваться.

 

 

_xxx_, попробуй радиусом выдавать MS-MPPE-Encryption-Policy=0 + MS-MPPE-Encryption-Types=0

я думаю, пофиг, т.к. у клиента стоит галочка "Требовать шифрование иначе отключаться"

проверьте плиз, если есть на чем.

Нет не пофиг, т.к. такие атрибуты будут выданы выборочно в зависимости от ТП. Т.е. только в новых ТП. Метод очень интересный я на него полночи дня 3 назад убил, но не получилось. МПД не реагировал на эти атрибуты. Я много вариантов с ними перепробывал. Но тут важно работало ли оно у кого либо. Потому что если да, тогда, возможно глюк у меня.

 

П.С. Использую МПД 5.3 в продакшене. Но тестил и на МПД 5.5 и на 5.3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот такие бандлы описываю:

# Create clonable bundle template named A
        create bundle template A
        set iface disable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp no vjcomp

        set bundle disable compression
        set ccp no mppc
        set mppc no e40
        set mppc no e128
        set bundle disable crypt-reqd
        set mppc no stateless

        set ipcp dns x.x.x.1 10.0.0.1

# Create clonable bundle template named B
        create bundle template B
        set iface disable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set ipcp no vjcomp

# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
# Enable Microsoft Point-to-Point encryption (MPPE)
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set bundle disable crypt-reqd
        set mppc yes stateless

        set ipcp dns x.x.x.1 10.0.0.1

Юзерам выдаю атрибут "mpd-action:=bundle A"

либо

"mpd-action:=bundle B"

 

МПД это принимает, но само шифрование не работает...

 

 

П.С. Ставить разные НАС для разных пользователей для меня не решение, увсех должно быть одно и то же доменное имя.

Это связано с балансировкой нагрузки.

Изменено пользователем _xxx_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уточню предыдущий пост. По логике у тех кому назначен "бандл А" шифрования быть не должно, а у тех у кого "бандл В", шифрование должно быть.

 

Меня, даже, больше интересует смог ли кто-либо добиться работоспособности такой схемы. Если она у вас работала, тогда хоть я буду знать что стоит дальше копать. Так что если у кого-либо работало - сообщите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно?

Изменено пользователем littlesavage

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В бандле A все же стоит сделать set ccp yes mppc.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_xxx_, действительно, MS-MPPE-Encryption-Policy только для Response пакетов.

Но с таким же конфигом с mpd-action все работает. Вы ms-chap не отключили случайно?

ms-chap не отключал. Даже специально проверил, подключение проходит.

"MS-MPPE-Encryption-Policy только для Response пакетов" - это понятно.

 

Из любопытства "MS-MPPE-Encryption-Policy:=0" в таком формате даёте ответ? И, как следствие, шифрование отключается, даже если бандл предусматривает шифрование, и наоборот - "MS-MPPE-Encryption-Policy:=1", если не предусматривает?

 

С версией 5.3 этот атрибут совместим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

_xxx_, работает именно без MS-MPPE-Encryption-Policy, достаточно mpd-action, как у вас в конфигах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

set ccp yes mppc

set bundle no crypt-reqd

set mppc yes e128

set mppc yes stateless

 

Достаточно одного бандла.

Хочет клиент шифрацию - будет ему шифрация, не хочет - серверу легче.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Deac, у _xxx_ сейчас так и стоит. Он хочет именно отключить всем шифрование.

Плюс, с такими параметрами, если у клиента даже не установлена галка "требовать шифрование данных", винда, видя что сервер принимает шифрование, все равно его включит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во первых у него "disable", а у меня "no" - это РАЗНЫЕ вещи и Архи когда-то проходился по тем, кто этого не понимает.

Во вторых надо ещё использовать "небезопасный пароль".

 

Изменено пользователем Deac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.