LINUX.ORG.RU
ФорумAdmin

Помогите пожалуйста продиагностировать freeradius


0

0

Настраивал биллинг по инструкции http://iglooom.livejournal.com/3739.html

Делал всё чётко по ней, и вроде особых вопросов по ходу настройки не возникало, и вроде всё поднялось.

Но при подключении к серверу по VPN, Windows выдаёт ошибку: Error 691: Access wa denied becaue the uername and/or password was invalid on the domain.

Шифрование MPPE я не настраивал, поэтому я позаботился об отсутствии галочки шифрования в настройках VPN соединения Windows.

При запуске freeradius параметром -X, с дальнейшим подключением VPN-соединения, выдаётся следующий лог:

[... не нужную по моему мнению часть лога здесь удалил ...]

radutmp: perm = 384
radutmp: callerid = yes
Module: Instantiated radutmp (radutmp)
Listening on authentication *:1812
Listening on accounting *:1813
Ready to process requests.

[после этой строки начинается лог, который появлятся после подключения по VPN]

rad_recv: Access-Request packet from host 127.0.0.1:35683, id=182, length=50
        Service-Type = Framed-User
        Framed-Protocol = PPP
        User-Name = "test"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
  modcall[authorize]: module "preprocess" returns ok for request 0
    users: Matched entry DEFAULT at line 219
  modcall[authorize]: module "files" returns ok for request 0
modcall: leaving group authorize (returns ok) for request 0
  rad_check_password:  Found Auth-Type Accept
  rad_check_password: Auth-Type = Accept, accepting the user
Exec-Program output: Acct-Interim-Interval = 60, Session-Timeout = 378531, Octets-Direction = 0, Framed-IP-Address = 10.0.0.101, Session-Octets-Limit = 2146435072, Framed-IP-Netmask = 255.255.255.255,
Exec-Program-Wait: value-pairs: Acct-Interim-Interval = 60, Session-Timeout = 378531, Octets-Direction = 0, Framed-IP-Address = 10.0.0.101, Session-Octets-Limit = 2146435072, Framed-IP-Netmask = 255.255.255.255,
Exec-Program: returned: 0
Sending Access-Accept of id 182 to 127.0.0.1 port 35683
        Acct-Interim-Interval = 60
        Session-Timeout = 378531
        Octets-Direction = Route-IP-No
        Framed-IP-Address = 10.0.0.101
        Session-Octets-Limit = 2146435072
        Framed-IP-Netmask = 255.255.255.255
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 182 with timestamp 4b60b54d
Nothing to do.  Sleeping until we see a request.

Хотел выложить лог pppoe-server.log (на других форумах где люди обращались с такой же ошибкой, обычно выкладывали этот лог наряду с вышеприведённым от фрирадиуса), но я напрочь позабыл где он находится, а Google ничего толкового по его местонахождению не выдаёт (в /var/log этого файла нет)

Подскажите пожалуйста в каком направлении двигаться? Спасибо!

При использовании команды radtest на сервере, выдаётся следующее:

root@cv-gw-com:/etc# radtest test 123456 127.0.0.1:1812 0 radsecret 0 127.0.0.1
Sending Access-Request of id 139 to 127.0.0.1 port 1812
        User-Name = "test"
        User-Password = "123456"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
        Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=139, length=56
        Acct-Interim-Interval = 60
        Session-Timeout = 376092
        Octets-Direction = Route-IP-No
        Framed-IP-Address = 10.0.0.235
        Session-Octets-Limit = 2146435072
        Framed-IP-Netmask = 255.255.255.255

Как я понял это значит, что с авторизацией клиента всё впорядке и всё вроде должно работать, но почему тогда мне всё ещё не удаётся подсоединиться с соседней машины по VPN из Windows?

Fanees ()
Ответ на: комментарий от Fanees

Я поэкспериментировал с галочками протоколов VPN в настройках клиента VPN в Windows, и при выборе протоколов PAP, SPAP, CHAP, MS-CHAP, соединение VPN выдаёт ошибку подключения:

Error 734: The PPP link control protocol was terminated.
при этом в логе /var/log/messages от pppd пишет:
Jan 27 17:54:37 cv-gw-com pppd[6263]: Plugin radius.so loaded.
Jan 27 17:54:37 cv-gw-com pppd[6263]: RADIUS plugin initialized.
Jan 27 17:54:37 cv-gw-com pppd[6263]: Plugin radattr.so loaded.
Jan 27 17:54:37 cv-gw-com pppd[6263]: RADATTR plugin initialized.
Jan 27 17:54:37 cv-gw-com pppd[6263]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jan 27 17:54:37 cv-gw-com pppd[6263]: pptpd-logwtmp: $Version$
Jan 27 17:54:37 cv-gw-com pppd[6263]: pppd 2.4.4 started by root, uid 0
Jan 27 17:54:37 cv-gw-com pppd[6263]: Using interface ppp0
Jan 27 17:54:37 cv-gw-com pppd[6263]: Connect: ppp0 <--> /dev/pts/2
Jan 27 17:54:40 cv-gw-com pppd[6263]: peer refused to authenticate: terminating link
Jan 27 17:54:40 cv-gw-com pppd[6263]: Connection terminated.
Jan 27 17:54:40 cv-gw-com pppd[6263]: Exit.

А при выборе MS-CHAP v2, соединение VPN выдаёт ошибку подключения:

Error 691: Access was denied because the username and/or password was invalid on the domain.
при этом в логе /var/log/messages от pppd пишет:
Jan 27 17:55:45 cv-gw-com pppd[6275]: Plugin radius.so loaded.
Jan 27 17:55:45 cv-gw-com pppd[6275]: RADIUS plugin initialized.
Jan 27 17:55:45 cv-gw-com pppd[6275]: Plugin radattr.so loaded.
Jan 27 17:55:45 cv-gw-com pppd[6275]: RADATTR plugin initialized.
Jan 27 17:55:45 cv-gw-com pppd[6275]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jan 27 17:55:45 cv-gw-com pppd[6275]: pptpd-logwtmp: $Version$
Jan 27 17:55:45 cv-gw-com pppd[6275]: pppd 2.4.4 started by root, uid 0
Jan 27 17:55:45 cv-gw-com pppd[6275]: Using interface ppp0
Jan 27 17:55:45 cv-gw-com pppd[6275]: Connect: ppp0 <--> /dev/pts/2
Jan 27 17:55:49 cv-gw-com pppd[6275]: Peer walley failed CHAP authentication
Jan 27 17:55:49 cv-gw-com pppd[6275]: Connection terminated.
Jan 27 17:55:49 cv-gw-com pppd[6275]: Exit.

Fanees ()
Ответ на: комментарий от ventilator

691 - это ошибка авторизации, вы используете чап - допишите вызов чап с соответствующей секции конфига радиуса.

Но в инструкции http://iglooom.livejournal.com/3739.html и ещё в ряде других инструкций написанно о том, что нужно отключить CHAP:

В /etc/freeradius/radiusd.conf комментируем строки mschap и eap в разделе authorize
authorize {
  preprocess
  #chap
  #counter
  #attr_filter
  #eap
  suffix
  files
  #etc_smbpasswd
  #sql
  #mschap
}
В любом случае спасибо за ответ, я попытаюсь побольше почитать и поэкспериментировать с этой секцией

Fanees ()
Ответ на: комментарий от Fanees

Ну если в радисе отключили то и на сервере доступа отключайте. вон у вас что пппд говорит

Peer walley failed CHAP authentication 

Покажите вывод radsniff при попытке коннекта пользователя, а не при тесте радтестом

ventilator ★★★ ()
Ответ на: комментарий от ventilator

У меня нет утилиты radsniff, среди доступных утилит, в папке /usr/bin лежат только:

radclient     radlast   radsqlrelay  radwho
radeapclient  radrelay  radtest      radzap

Fanees ()
Ответ на: комментарий от ventilator

Читаю информацию о tcpdump, и необходимых портах freeradius, так как вообще не имею понятия о чём идёт речь (пока не понятно что из себя конкретно представляет NAS и как взаимодействуют порты freeradius с другими частями биллинговой системы и приложениями). Если есть какие-нибудь рекомендации, буду благодарен.

Fanees ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.