PPTPD + Radius NPS

0

1

Пытаюсь прикрутить pptpd сервер установленный на Debian 6 к Windows Server 2008 R2 Active Directory через NPS (RADIUS). Radius настроил по статье http://araihan.wordpress.com/2009/11/11/windows-server-2008-how-to-configure-... но для pptp сервера, а не l2tp.

Настройки pptpd:

/etc/pptpd.conf

option /etc/ppp/pptpd-options-radius
logwtmp
localip 172.16.0.1
remoteip 172.16.0.201-250
connections 50

/etc/ppp/pptpd-options-radius

debug
logfile /var/log/pptpd.log
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mppe-128
require-mschap-v2
ms-dns 172.16.0.4
ms-dns 172.16.0.5
proxyarp
nodefaultroute
lock
nobsdcomp
mtu 1200
mru 1200
plugin radius.so
plugin radattr.so
lcp-echo-failure 50

/etc/radiusclient/radiusclient.conf

auth_order      radius
login_tries     4
login_timeout   60
nologin         /etc/nologin
issue           /etc/radiusclient/issue
authserver      172.16.0.4
acctserver      172.16.0.4
servers         /etc/radiusclient/servers
dictionary      /etc/radiusclient/dictionary
login_radius    /usr/sbin/login.radius
seqfile         /var/run/radius.seq
mapfile         /etc/radiusclient/port-id-map
default_realm
radius_timeout  10
radius_retries  3
login_local     /bin/login

/etc/radiusclient/servers

172.16.0.4 password

Так же настройки:

/etc/radiusclient/dictionary.microsoft http://paste.pocoo.org/show/485156/

/etc/radiusclient/dictionary.merit http://paste.pocoo.org/show/485157/

/etc/radiusclient/dictionary http://paste.pocoo.org/show/485158/

При попытке подключиться к серверу в логах: http://paste.pocoo.org/show/485143/

Соединение обрывается, но не могу понять почему, авторизация проходит я так понимаю, но почему то обрывается соединение.

Кто нибудь сталкивался с такой задачей, посоветуйте как решить проблему.

Ссылка

←	apache2+mod_wsgi+debian 6

git over http

→

Авторизация судя по всему не проходит.

Вот у меня рабочий конфиг:

# cat /etc/ppp/options.pptpd
name pptpd
deflate 15,15
predictor1
vj-max-slots 16
ktune
mtu 1404
mru 1404
lcp-echo-interval 15
lcp-echo-failure 4
nomp
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
nomppe-stateful
ms-dns 10.1.0.4
ms-dns 10.1.0.10
ms-wins 10.1.0.4
ms-wins 10.1.0.10
proxyarp
lock
nologfd
plugin radius.so
plugin radattr.so
debug

# cat radiusclient.conf | egrep -v '^$|^#'
auth_order      radius
login_tries     4
login_timeout   60
nologin         /etc/nologin
issue           /etc/ppp/radius/issue
authserver      10.1.0.10:1812
acctserver      127.0.0.1:1813
servers         /etc/ppp/radius/servers
dictionary      /etc/ppp/radius/dictionary
login_radius    /usr/sbin/login.radius
seqfile         /var/run/radius.seq
mapfile         /etc/ppp/radius/port-id-map
default_realm
radius_timeout  5
radius_retries  3
nas_identifier  PPTPD
login_local     /bin/login

# cat servers
10.1.0.10 xxxxx

Работате как с PPTPD, так и XL2TPD.

У тебя клиент судя по всему пытается авторизоваться по EAP. Добавь refuse-eap к опциям pppd.

Каким клиентом подключаешься?

blind_oracle ★★★★★
(30.09.11 23:53:48 MSK)

Ответ на: комментарий от blind_oracle 30.09.11 23:53:48 MSK

Да стандартным клиентом из под 7 винды... у меня такое ощущение что я не правильно настроил сам Radius...

вот с твоими настройками:

Oct  1 00:52:53 gateway pppd[911]: Plugin radius.so loaded.
Oct  1 00:52:53 gateway pppd[911]: RADIUS plugin initialized.
Oct  1 00:52:53 gateway pppd[911]: Plugin radattr.so loaded.
Oct  1 00:52:53 gateway pppd[911]: RADATTR plugin initialized.
Oct  1 00:52:53 gateway pppd[911]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Oct  1 00:52:53 gateway pppd[911]: pptpd-logwtmp: $Version$
Oct  1 00:52:53 gateway pppd[911]: pptpd-logwtmp: $Version$
Oct  1 00:52:53 gateway pppd[911]: pppd 2.4.5 started by root, uid 0
Oct  1 00:52:53 gateway pppd[911]: Using interface ppp1
Oct  1 00:52:53 gateway pppd[911]: Connect: ppp1 <--> /dev/pts/4
Oct  1 00:52:57 gateway pppd[911]: Peer marat failed CHAP authentication
Oct  1 00:52:57 gateway pppd[911]: Connection terminated.
Oct  1 00:52:57 gateway pppd[911]: Exit.

mrtmexx
(01.10.11 01:02:10 MSK) автор топика

Ответ на: комментарий от mrtmexx 01.10.11 01:02:10 MSK

Вот, тут уже видно что радиус не дает авторизацию. Смотри логи винды на предмет NPS или как там его. Там будет достаточно подробно расписано по какой причине доступ отклонён.

blind_oracle ★★★★★
(01.10.11 16:19:03 MSK)

Ответ на: комментарий от blind_oracle 01.10.11 16:19:03 MSK

Так и не понимаю как правилно настроит этот долбанный NPS. Настроики network police в NPS

http://saveimg.ru/show-image.php?id=ad9d88405fa72bef3d5a7285c85240dd

Логи NPS при попытки подключения клиента!

http://saveimg.ru/show-image.php?id=2d095f92b0e4f2634dd5288497dd14bd

А как ты настраивал NPS?

mrtmexx
(03.10.11 10:09:18 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 01.10.11 16:19:03 MSK

вот поигрался с настройками NPS вот что теперь получилось

Oct  3 16:36:26 gateway pppd[14160]: Plugin radius.so loaded.
Oct  3 16:36:26 gateway pppd[14160]: RADIUS plugin initialized.
Oct  3 16:36:26 gateway pppd[14160]: Plugin radattr.so loaded.
Oct  3 16:36:26 gateway pppd[14160]: Plugin radattr.so loaded.
Oct  3 16:36:26 gateway pppd[14160]: RADATTR plugin initialized.
Oct  3 16:36:26 gateway pppd[14160]: RADATTR plugin initialized.
Oct  3 16:36:26 gateway pppd[14160]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Oct  3 16:36:26 gateway pppd[14160]: pptpd-logwtmp: $Version$
Oct  3 16:36:26 gateway pppd[14160]: pppd 2.4.5 started by root, uid 0
Oct  3 16:36:26 gateway pppd[14160]: Using interface ppp1
Oct  3 16:36:26 gateway pppd[14160]: Connect: ppp1 <--> /dev/pts/5
Oct  3 16:36:34 gateway pppd[14160]: rc_avpair_gen: received unknown attribute 25 of length 44: 0x5A7705F20000013700010200AC10000400000000000000000000000001CC818FA6B7FDAA0000000000000015
Oct  3 16:36:35 gateway pppd[14160]: Connection terminated.
Oct  3 16:36:35 gateway pppd[14160]: Connect time 0.2 minutes.
Oct  3 16:36:35 gateway pppd[14160]: Sent 0 bytes, received 0 bytes.
Oct  3 16:36:36 gateway pppd[14160]: Exit.

mrtmexx
(03.10.11 16:57:09 MSK) автор топика

Ответ на: комментарий от mrtmexx 03.10.11 16:57:09 MSK

У тебя какая-то куча Conditions.

У меня только:
- Windows Group: ну тут понятно
- Client IPv4 Address: айпишник, с которого PPTP сервер обращается к радиусу
- NAS Identifier: PPTPD, значение параметра nas_identifier из radiusclient.conf

В Settings:
- Access Permission: Grant Access
- Auth Method: MS-CHAP v2
- NAP Enforcement: Allow full ...
- Update Noncompliant... : True
- Framed-Protocol: PPP
- Service-Type: Framed
- Encryption Policy: Enabled
- Encryption: MPPE-128

blind_oracle ★★★★★
(04.10.11 20:16:33 MSK)

Ответ на: комментарий от blind_oracle 04.10.11 20:16:33 MSK

NPS настроил одним параметром в Conditions «Day and Time restrictions».

Что заметил если включить require-mppe-128 то не происходит подключение, если отключить то нормально все... не могу понять почему!

Теперь стоит задача прикрутить АД к OpenVPN

mrtmexx
(07.10.11 14:14:36 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	apache2+mod_wsgi+debian 6

Admin

git over http

→

Похожие темы