LINUX.ORG.RU
ФорумAdmin

cisco + radius + mppe


0

0

добрый день уважаемые.

есть nas (cisco 1841), туда по pptp коннектяться люди.
конфиг такой...
vpdn enable
vpdn ip udp ignore checksum
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip access-group 101 in
no ip proxy-arp
rate-limit input 192000 2000 4000 conform-action transmit exceed-action drop
rate-limit output 192000 2000 4000 conform-action transmit exceed-action drop
ip mroute-cache
peer default ip address pool lpool
ppp encrypt mppe auto
ppp authentication ms-chap

решил посадить этих людей в радиус, сделал вот, что
на 1841:
aaa authentication ppp default group radius
на радиусе (для примера):
test Auth-Type = Accept, Simultaneous-Use = 10
Service-Type = Framed-User,
Framed-Protocol = PPP,
MS-MPPE-Encryption-Policy = Encryption-Required
после чего никак не удаеться подконнектиться с mppe, клиент говорит, что нет согласия в выборе протоколов шифрования.
в логах циски вот что:
*Aug 4 09:57:24.296: ppp277 PPP: Using vpn set call direction
*Aug 4 09:57:24.296: ppp277 PPP: Treating connection as a callin
*Aug 4 09:57:24.296: ppp277 PPP: Session handle[D9000286] Session id[277]
*Aug 4 09:57:24.316: ppp277 PPP: Authorization required
*Aug 4 09:57:24.320: ppp277 MS-CHAP: O CHALLENGE id 1 len 27 from "router_name"
*Aug 4 09:57:24.328: ppp277 MS-CHAP: I RESPONSE id 1 len 60 from "test"
*Aug 4 09:57:24.328: ppp277 PPP: Sent MSCHAP LOGIN Request
*Aug 4 09:57:24.328: RADIUS/ENCODE(00000188):Orig. component type = VPDN
*Aug 4 09:57:24.328: RADIUS: AAA Unsupported Attr: interface [157] 15
*Aug 4 09:57:24.328: RADIUS: 55 6E 69 71 2D 53 65 73 73 2D 49 44 32 [Uniq-Sess-ID2]
*Aug 4 09:57:24.328: RADIUS(00000188): Config NAS IP: 0.0.0.0
*Aug 4 09:57:24.328: RADIUS/ENCODE(00000188): acct_session_id: 427
*Aug 4 09:57:24.328: RADIUS(00000188): sending
*Aug 4 09:57:24.328: RADIUS/ENCODE: Best Local IP-Address x.x.x.x for Radius-Server y.y.y.y
*Aug 4 09:57:24.328: RADIUS(00000188): Send Access-Request to y.y.y.y:1812 id 1645/172, len 149
*Aug 4 09:57:24.328: RADIUS: authenticator 20 18 D3 F6 C8 05 49 5A - 00 00 00 00 00 00 00 00
*Aug 4 09:57:24.328: RADIUS: Framed-Protocol [7] 6 PPP [1]
*Aug 4 09:57:24.328: RADIUS: User-Name [1] 8 "test"
*Aug 4 09:57:24.332: RADIUS: Vendor, Microsoft [26] 16
*Aug 4 09:57:24.332: RADIUS: MSCHAP_Challenge [11] 10
*Aug 4 09:57:24.332: RADIUS: 20 18 D3 F6 C8 05 49 5A [ ?????IZ]
*Aug 4 09:57:24.332: RADIUS: Vendor, Microsoft [26] 58
*Aug 4 09:57:24.332: RADIUS: MS-CHAP-Response [1] 52 *
*Aug 4 09:57:24.332: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
*Aug 4 09:57:24.332: RADIUS: NAS-Port [5] 6 277
*Aug 4 09:57:24.332: RADIUS: NAS-Port-Id [87] 17 "Uniq-Sess-ID277"
*Aug 4 09:57:24.332: RADIUS: Service-Type [6] 6 Framed [2]
*Aug 4 09:57:24.332: RADIUS: NAS-IP-Address [4] 6 x.x.x.x
*Aug 4 09:57:24.336: RADIUS: Received from id 1645/172 y.y.y.y:1812, Access-Accept, len 59
*Aug 4 09:57:24.336: RADIUS: authenticator 65 26 B2 4C 19 61 7E 6E - 7A C9 E6 B6 1B A1 9E 05
*Aug 4 09:57:24.336: RADIUS: Service-Type [6] 6 Framed [2]
*Aug 4 09:57:24.336: RADIUS: Framed-Protocol [7] 6 PPP [1]
*Aug 4 09:57:24.336: RADIUS: Vendor, Microsoft [26] 27
*Aug 4 09:57:24.336: RADIUS: MS-MPPE-Enc-Policy [7] 21
*Aug 4 09:57:24.336: RADIUS: 45 6E 63 72 79 70 74 69 6F 6E 2D 52 65 71 75 69 [Encryption-Requi]
*Aug 4 09:57:24.336: RADIUS: 72 65 64 [red]
*Aug 4 09:57:24.336: RADIUS(00000188): Received from id 1645/172
*Aug 4 09:57:24.336: ppp277 PPP: Received LOGIN Response PASS
*Aug 4 09:57:24.408: Vi4 Tnl/Sn 276/274 PPTP: Virtual interface created for unknown, bandwidth 100000 Kbps
*Aug 4 09:57:24.408: Vi4 Tnl/Sn 276/274 PPTP: VPDN session up
*Aug 4 09:57:24.412: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to up
*Aug 4 09:57:24.412: Vi4 MS-CHAP: O SUCCESS id 1 len 4
*Aug 4 09:57:26.156: Vi4 VPDN: Reseting interface
*Aug 4 09:57:27.412: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to down

т.е. аттрибут MS-MPPE-Encryption-Policy до циски честно доходит.
то же самое, если в радиусе добавляю MS-MPPE-Encryption-Type (с разными вариантами), в логах его видно, но согласования не происходит.

в качестве радиуса пробовал и gnuradius и freeradius, ситуация, абсолютно одинаковая.

в качестве типа аутентификации: и chap, и ms-chap, и ms-chap-v2

подскажите, что и где нужно сказать, чтобы mppe заработал с radius.
спасибо.

Re: cisco + radius + mppe

гы.

а решилось оставлением только ms-chap-v2 в ppp authentication
и обработка сего протокола радиусом.

chocholl ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.