LINUX.ORG.RU
ФорумAdmin

Проблема связки VPN + RADIUS


0

0

Замучился уже, не знаю что дальше делать. Отдельно и radius и vpn работают, а вместе не хотят. Работу радиуса проверял

[root@mnk raddb]# radtest vova tima 172.16.130.19 0 doit2me Sending Access-Request of id 117 to 172.16.130.19:1812 User-Name = "vova" User-Password = "tima" NAS-IP-Address = mnk.volmed.org.ru NAS-Port = 0 rad_recv: Access-Accept packet from host 172.16.130.19:1812, id=117, length=71 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 172.16.3.33 Framed-IP-Netmask = 255.255.255.0 Framed-Routing = Broadcast-Listen Filter-Id = "std.ppp" Framed-MTU = 1500 Framed-Compression = Van-Jacobson-TCP-IP

и тогда радиус выдает

rad_recv: Access-Request packet from host 172.16.130.19:32925, id=158, length=56 User-Name = "vova" User-Password = "tima" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 Processing the authorize section of radiusd.conf modcall: entering group authorize for request 2 modcall[authorize]: module "preprocess" returns ok for request 2 modcall[authorize]: module "chap" returns noop for request 2 modcall[authorize]: module "mschap" returns noop for request 2 rlm_realm: No '@' in User-Name = "vova", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 2 users: Matched entry vova at line 80 modcall[authorize]: module "files" returns ok for request 2 modcall: group authorize returns ok for request 2 rad_check_password: Found Auth-Type Local auth: type Local auth: user supplied User-Password matches local User-Password Login OK: [vova] (from client misha port 0) Sending Access-Accept of id 158 to 172.16.130.19:32925 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 172.16.3.33 Framed-IP-Netmask = 255.255.255.0 Framed-Routing = Broadcast-Listen Framed-Filter-Id = "std.ppp" Framed-MTU = 1500 Framed-Compression = Van-Jacobson-TCP-IP Finished request 2

VPN - CHAP авторизация А при совместной работе, вместо пароля в текстовом формате выдает

rad_recv: Access-Request packet from host 127.0.0.1:32923, id=226, length=69 Service-Type = Framed-User Framed-Protocol = PPP User-Name = "vova" CHAP-Password = 0x6fffcb45a3cb0f53b27ef493b60b2053e1 NAS-IP-Address = 127.0.0.1 NAS-Port = 1 Processing the authorize section of radiusd.conf modcall: entering group authorize for request 1 modcall[authorize]: module "preprocess" returns ok for request 1 rlm_chap: Setting 'Auth-Type := CHAP' modcall[authorize]: module "chap" returns ok for request 1 modcall[authorize]: module "mschap" returns noop for request 1 rlm_realm: No '@' in User-Name = "vova", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 1 users: Matched entry vova at line 80 modcall[authorize]: module "files" returns ok for request 1 modcall: group authorize returns ok for request 1 rad_check_password: Found Auth-Type Local auth: type Local auth: user supplied CHAP-Password does NOT match local User-Password auth: Failed to validate the user. Login incorrect: [vova/<CHAP-Password>] (from client localhost port 1) Delaying request 1 for 1 seconds Finished request 1

Т е или надо в options.pptpd что-то подправить, или в настройках радиуса (склоняюсь к последнему). Подскажите, не дайте погибнуть. Михаил

anonymous

Вы бы хоть отформатировали, читать тяжело.

>VPN - CHAP авторизация А при совместной работе, вместо пароля в текстовом формате выдает

При CHAP авторизации он пароля в текстовом виде и не покажет. :)

А проблемы вам лог конкретно выводит:

>modcall: entering group authorize for request 1
>modcall[authorize]: module "preprocess" returns ok for request 1
>rlm_chap: Setting 'Auth-Type := CHAP'
>modcall[authorize]: module "chap" returns ok for request 1

Т.е. CHAP нормально отрабатывает и тут бы уже нужно выходить, но почему-то radius продолжает проверку еще и по Local:

>rad_check_password: Found Auth-Type Local
>auth: type Local
>auth: user supplied CHAP-Password does NOT match local User-Password
>auth: Failed to validate the user.
>Login incorrect: [vova/<CHAP-Password>]

qwe ★★★
()
Ответ на: комментарий от qwe

Спасибо, что указали в какую сторону копать. А может и подскажете в чем моя ошибка и где надо подправить. Сам тоже буду копать и если получиться, то отпишусь.

anonymous
()
Ответ на: комментарий от anonymous

Попробовал подсоеденить MYSQL. И вот что интересно: ppp]# radtest dima dima mnk 0 doit2me >Sending Access-Request of id 228 to 127.0.0.1:1812 > User-Name = "dima" > User-Password = "dima" > NAS-IP-Address = mnk.volmed.org.ru > NAS-Port = 0 >rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=228, >length=44 > Framed-IP-Address = 172.16.130.150 > Framed-Protocol = PPP > Service-Type = Framed-User > Framed-Compression = Van-Jacobson-TCP-IP mnk - это тоже что и 127.0.0.1 или localhost При этом radiusd -X выдает (вырезаю только важное) > User-Name = "dima" > User-Password = "dima" > NAS-IP-Address = 255.255.255.255 > NAS-Port = 0 > Processing the authorize section of radiusd.conf >rlm_sql (sql): Released sql socket id: 4 > modcall[authorize]: module "sql" returns ok for request 0 >modcall: group authorize returns ok for request 0 >auth: type Local >auth: user supplied User-Password matches local User-Password >Login OK: [dima] (from client dima port 0) >Sending Access-Accept of id 246 to 172.16.130.19:32934 > Framed-IP-Address := 172.16.130.150 > Framed-Protocol := PPP > Service-Type := Framed-User > Framed-Compression := Van-Jacobson-TCP-IP >Finished request 0 Теперь использую VPN запрос >rad_recv: Access-Request packet from host 127.0.0.1:32934, id=243, >length=69 > Service-Type = Framed-User > Framed-Protocol = PPP > User-Name = "vova" > CHAP-Password = 0xb77561125a5f336e124b88862a79624a37 > NAS-IP-Address = 127.0.0.1 > NAS-Port = 1 > Processing the authorize section of radiusd.conf >modcall: entering group authorize for request 0 > modcall[authorize]: module "preprocess" returns ok for request 0 > rlm_chap: Setting 'Auth-Type := CHAP'

>modcall[authorize]: module "sql" returns ok for request 0 >modcall: group authorize returns ok for request 0 > rad_check_password: Found Auth-Type Chap >auth: type "CHAP" > Processing the authenticate section of radiusd.conf >modcall: entering group Auth-Type for request 0 > rlm_chap: login attempt by "vova" with CHAP password > rlm_chap: Using clear text password vova for user vova >authentication. Те он пишет, что для Chap авторизации нужно использовать пароль- чистый текст, что и видим в первом случае. > rlm_chap: Pasword check failed > modcall[authenticate]: module "chap" returns reject for request 0 >modcall: group Auth-Type returns reject for request 0 >auth: Failed to validate the user. >Login incorrect (rlm_chap: Wrong user password): [vova/<CHAP->Password>] (from client localhost port 1) >Delaying request 0 for 1 seconds >Finished request 0

anonymous
()
Ответ на: комментарий от anonymous

Вот блин, опять все слилось, хотя при вводе было нормально.Какой тип TeX надо выбирать?

anonymous
()
Ответ на: комментарий от anonymous

>А может и подскажете в чем моя ошибка и где надо подправить.

Уже очень давно не настраивал RADIUS (тем более, насколько понимаю, у Вас freeradius, с которым общался очень недолго), посему ничего подсказать не могу.

>CHAP-Password = 0xb77561125a5f336e124b88862a79624a37

Не обращайте внимания, при CHAP аутенцификации пароли в открытом виде не передаются. :)

>Какой тип TeX надо выбирать?

User line break.

qwe ★★★
()
Ответ на: комментарий от qwe

>Не обращайте внимания, при CHAP аутенцификации пароли в открытом виде не передаются. :)
Так, ответьте тогда какие должны быть арибуты пароля в таблице radcheck?
У меня для пользователя vova
mysql> select * from radcheck;
+----+----------+-----------+----+-------+
| id | UserName | Attribute | op | Value |
+----+----------+-----------+----+-------+
| 7 | vova | Auth-Type | := | Chap |
| 6 | vova | Password | == | vova |
+----+----------+-----------+----+-------+
Пробовал CHAP-Password, тоже не работает.

anonymous
()
Ответ на: комментарий от anonymous

>какие должны быть арибуты пароля в таблице radcheck?

Абсолютно без понятия. Когда этим занимался, то использовал PostgreSQL ,собственную структуру таблицы и собственный SQL запрос, а не те что шли в примерах к freeradius.

qwe ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.