freeradius для accel-ppp

1

1

Здравствуйте! Бьюсь над проблемой связки accel-ppp c freeradius. По отдельности все работает. Radlogon4 - видит сервер freeradius и тест коннекта проходит. Accel-ppp в минимальной конфигурации тоже пашет. Но когда правлю конфиг ассel для работы с freeradius, то тишина. VPN-клиент отваливается с ошибкой авторизации.В логах freeradius пусто. Т.е. до него дело не доходит даже. В логах Accel пишет, что типа ошибка авторизации пользователя. Вот такие дела. Я понимаю, что видимо где-то есть косяк, но найти сам не могу. Прошу дать знающих людей наставление что и как должно быть в конфигах прописано хотя бы примерно. Спасибо.

Ссылка

←	Большие потери пакетов

Не собирается Clamav

→

показывай конфиги + включи дебаг в pptp сервере.

ponch ★
(23.01.17 11:15:05 MSK)

Ответ на: комментарий от ponch 23.01.17 11:15:05 MSK

log accel

[2017-01-23 11:40:27]:   msg: accel-ppp version 1.11.0
[2017-01-23 11:40:53]:  info: pptp: new connection from 192.168.0.156
[2017-01-23 11:40:53]:  info: : recv [PPTP Start-Ctrl-Conn-Request <Version 1> <Framing 1> <Bearer 1> <Max-Chan 0>]
[2017-01-23 11:40:53]:  info: : send [PPTP Start-Ctrl-Conn-Reply <Version 1> <Result 1> <Error 0> <Framing 3> <Bearer 3> <Max$
[2017-01-23 11:40:53]:  info: : recv [PPTP Outgoing-Call-Request <Call-ID a3ca> <Call-Serial a> <Min-BPS 300> <Max-BPS 100000$
[2017-01-23 11:40:53]:  info: : send [PPTP Outgoing-Call-Reply <Call-ID a> <Peer-Call-ID a3ca> <Result 1> <Error 0> <Cause 0>$
[2017-01-23 11:40:53]: debug: : lcp_layer_init
[2017-01-23 11:40:53]: debug: : auth_layer_init
[2017-01-23 11:40:53]: debug: : ccp_layer_init
[2017-01-23 11:40:53]: debug: : ipcp_layer_init
[2017-01-23 11:40:53]: debug: : ipv6cp_layer_init
[2017-01-23 11:40:53]: debug: : ppp establishing
[2017-01-23 11:40:53]: debug: : lcp_layer_start
[2017-01-23 11:40:53]:  info: : send [LCP ConfReq id=1 <auth CHAP-md5> <mru 1436> <magic 6b8b4567>]
[2017-01-23 11:40:53]:  info: : recv [PPTP Set-Link-Info]
[2017-01-23 11:40:53]:  info: : recv [LCP ConfReq id=0 <mru 1400> <magic 6fff2ceb> <pcomp> <accomp> < d 3 6 >]
[2017-01-23 11:40:53]:  info: : send [LCP ConfRej id=0  <pcomp> <accomp> < d 3 6 >]
[2017-01-23 11:40:53]:  info: : recv [LCP ConfReq id=1 <mru 1400> <magic 6fff2ceb>]
[2017-01-23 11:40:53]:  info: : send [LCP ConfAck id=1 ]
[2017-01-23 11:40:56]: debug: : fsm timeout 9
[2017-01-23 11:40:56]:  info: : send [LCP ConfReq id=1 <auth CHAP-md5> <mru 1436> <magic 6b8b4567>]
[2017-01-23 11:40:56]:  info: : recv [LCP ConfAck id=1 <auth CHAP-md5> <mru 1436> <magic 6b8b4567>]

[2017-01-23 11:40:56]: debug: : lcp_layer_started
[2017-01-23 11:40:56]: debug: : auth_layer_start
[2017-01-23 11:40:56]:  info: : send [CHAP Challenge id=1 <1fa6cb9eece78e51b8bac1f2675b5620>]
[2017-01-23 11:40:56]:  info: : recv [PPTP Set-Link-Info]
[2017-01-23 11:40:56]:  info: : recv [LCP Ident id=2 <MSRASV5.20>]
[2017-01-23 11:40:56]:  info: : recv [LCP Ident id=3 <MSRAS-0-WINTEST>]
[2017-01-23 11:40:56]:  info: : recv [LCP Ident id=4 <D�7E�^HeO��A��|i!>]
[2017-01-23 11:40:56]:  info: : recv [CHAP Response id=1 <1c2263ed935ea5a9bcb31633771d0>, name="test"]
[2017-01-23 11:40:56]:  info: : send [CHAP Failure id=1 "Authentication failed"]
[2017-01-23 11:40:56]:  info: : test: authentication failed
[2017-01-23 11:40:56]:  info: test: authentication failed
[2017-01-23 11:40:56]: debug: : terminate
[2017-01-23 11:40:56]: debug: : lcp_layer_finish
[2017-01-23 11:40:56]:  info: : send [LCP TermReq id=3]
[2017-01-23 11:40:56]: debug: : auth_layer_finish
[2017-01-23 11:40:56]: debug: : auth_layer_finished
[2017-01-23 11:40:56]:  info: : recv [PPTP Set-Link-Info]
[2017-01-23 11:40:56]:  info: : recv [LCP TermAck id=3]
[2017-01-23 11:40:56]: debug: : lcp_layer_finished
[2017-01-23 11:40:56]: debug: : pptp: ppp finished
[2017-01-23 11:40:56]:  info: : send [PPTP Call-Disconnect-Notify <Call-ID caa3> <Result 3> <Error 0> <Cause 0>]
[2017-01-23 11:40:56]:  info: : send [PPTP Stop-Ctrl-Conn-Request <Reason 0>]
[2017-01-23 11:40:56]: debug: : lcp_layer_free
[2017-01-23 11:40:56]: debug: : auth_layer_free
[2017-01-23 11:40:56]: debug: : ccp_layer_free
[2017-01-23 11:40:56]: debug: : ipcp_layer_free
[2017-01-23 11:40:56]: debug: : ipv6cp_layer_free
[2017-01-23 11:40:56]:  info: : recv [PPTP Call-Clear-Request <Call-ID a3ca>]
[2017-01-23 11:40:56]:  info: : send [PPTP Call-Disconnect-Notify <Call-ID caa3> <Result 4> <Error 0> <Cause 0>]
[2017-01-23 11:40:57]:  info: : pptp: disconnect by peer
[2017-01-23 11:40:57]: debug: : pptp: disconnect
[2017-01-23 11:40:57]:  info: : disconnected
[2017-01-23 11:44:44]:  info: terminate, sig = 15

kerby ★
(23.01.17 11:52:11 MSK) автор топика

Ссылка

Ответ на: комментарий от ponch 23.01.17 11:15:05 MSK

freeradius users

test  Cleartext-Password := "test123"
       Service-Type = Framed-User,
       Framed-Protocol = PPP,
        Framed-MTU = 1500

clients.conf

 client 192.168.0.0/24 {
                secret = blabla
                nastype = cisco
        }

kerby ★
(23.01.17 11:55:07 MSK) автор топика

Ответ на: комментарий от kerby 23.01.17 11:55:07 MSK

nastype менял на other - не работает все равно

kerby ★
(23.01.17 11:56:24 MSK) автор топика

Ответ на: комментарий от kerby 23.01.17 11:56:24 MSK

а конфиг pptp сервера где?

ponch ★
(23.01.17 13:00:25 MSK)

Ответ на: комментарий от ponch 23.01.17 13:00:25 MSK

[radius]
dictionary=/usr/local/share/freeradius
nas-identifier=accel-ppp
nas-ip-address=192.168.0.147
#gw-ip-address=10.10.3.0
server=192.168.0.147,blabla,auth-port=1812,acct-port=1813,req-limit=50,fail-timeout=0,max-fail=10,weight=1
#dae-server=127.0.0.1:3799,testing123
verbose=5
#timeout=3
#max-try=3
#acct-timeout=120
#acct-delay-time=0
#acct-on=0
#attr-tunnel-type=My-Tunnel-Type

kerby ★
(23.01.17 13:05:43 MSK) автор топика

Ответ на: комментарий от kerby 23.01.17 13:05:43 MSK

это не весь конфиг же. сам модуль радиуса-то в секции modules прописан?

ponch ★
(23.01.17 13:22:12 MSK)

Ответ на: комментарий от ponch 23.01.17 13:22:12 MSK

Да, раскомментировал

kerby ★
(23.01.17 14:12:13 MSK) автор топика

Ссылка

Ответ на: комментарий от ponch 23.01.17 13:22:12 MSK

[modules]
log_file
log_syslog
log_tcp
#log_pgsql

pptp
#l2tp
#pppoe
#ipoe

#auth_mschap_v2
#auth_mschap_v1
auth_chap_md5
#auth_pap

radius
#chap-secrets

kerby ★
(23.01.17 14:14:30 MSK) автор топика

Ответ на: комментарий от kerby 23.01.17 14:14:30 MSK

у тебя pptp и radius на одной машине? nas-ip-address (это не адрес радиус сервера, если что) тогда 127.0.0.1 укажи, на всякий случай. Какой дистрибутив? Accel точно собран с поддержкой радиуса?

ponch ★
(23.01.17 14:55:43 MSK)

Ответ на: комментарий от kerby 23.01.17 13:05:43 MSK

verbose=5 - откуда? там либо 1 либо 0 вроде было раньше.

ponch ★
(23.01.17 14:59:51 MSK)

Ссылка

Ответ на: комментарий от ponch 23.01.17 14:55:43 MSK

Debian 8. Cпасибо, пересобрал с поддержкой радиуса и заработало. Но для понимания, хочу уточнить. accel и freeradius на одной машине. Подключаюсь внутри сети 192.168.0.* с виндовых клиентов. Что все-таки означает nas? И какой ip должен быть у него?

kerby ★
(23.01.17 17:34:16 MSK) автор топика

Ответ на: комментарий от kerby 23.01.17 17:34:16 MSK

NAS-IP-Address - адрес nas'а, который терминирует клиентскую сессию и отправляет запросы на радиус сервер

ponch ★
(23.01.17 18:46:41 MSK)

Ответ на: комментарий от ponch 23.01.17 18:46:41 MSK

Тогда еще один вопрос. Вот у меня на дебиане запущен accel и freeradius. Адреса серверов получается 127.0.0.1. Аccel допустим должен выдавать адреса 10.10.3.*. В файле client.conf

client 192.168.0.0/24 {
                secret = blabla
                nastype = cisco
        }

Мне в этом файле указывать реальные ip клиентов, или ip которые должен выдавать accel? Дело в том, что вчера все заработало после пересборки accel. Читал, что если отваливается freeradius, то происходит отвал vpn-клиентов. Остановил freeradius. Соединение пашет. Пустил пинг на сервер с клиента. Все ОК. Заподозрил неладное. Заходил под юзером test и паролем test123. Попробовал на клиенте зайти с «левым» паролем test12345. Законнектилось. Чудеса. Сменил пароль в users (freeradius) и перезапустил accel и freeradius. И ВСЕ! Прежняя ошибка. Прошу растолковать принципы, если не сложно. Т.е. как я понимаю сейчас:есть понятие client для freeradius. Таковым выступает accel. Тогда в client.conf должно быть что-то вроде

client 10.10.3.0/24 { //если считать что 10.10.3.* - адреса выдаваемые vpn-клиентам
                secret = blabla
                nastype = other
        }

Тогда здесь должно быть так?

[radius]
dictionary=/usr/local/share/freeradius
nas-identifier=accel-ppp // здесь без разницы что писать??
nas-ip-address=127.0.0.1 // здесь адрес accel-ppp сервера?
#gw-ip-address=10.10.3.0
server=127.0.0.1,blabla,auth-port=1812,acct-port=1813,req-limit=50,fail-timeout=0,max-fail=10,weight=1 //это строка подключения к серверу freeradius
#dae-server=127.0.0.1:3799,testing123
verbose=5
#timeout=3
#max-try=3
#acct-timeout=120
#acct-delay-time=0
#acct-on=0
#attr-tunnel-type=My-Tunnel-Type

Поймите и простите, я просто запутался, что за что отвечает.

kerby ★
(24.01.17 10:01:34 MSK) автор топика

Ответ на: комментарий от kerby 24.01.17 10:01:34 MSK

Т.е на данный момент ничего опять не работает.

kerby ★
(24.01.17 10:03:14 MSK) автор топика

Ссылка

Ответ на: комментарий от kerby 24.01.17 10:01:34 MSK

Лучше почитать документацию по freeradius.

client в данном случае это не клиент, который за компом сидит. Это адрес nas'а. В твоем лучае - это локалхост (127.0.0.1)

Адреса клиентам выдаются через атрибут Framed-IP-Address в радуис профиле юзера (т.е. тебе нужно еще корректно сконфигурить профили в users)

ponch ★
(24.01.17 14:08:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Большие потери пакетов

Admin

Не собирается Clamav

→

Похожие темы