OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2

0

1

Господа прошу помощи!

Задача: настроить vpn для клиентов которые подключаются из инетернетов, и смогут получить доступ к локальной сети компании (MS AD, т.е. подключаются используюя доменные логин пароль) Для этого поднят впн сервер, находится он за 2 натами, с этим проблем нет - простреливает. Пакеты openswan, xl2tpd и pppd, все из портежа самые свежие. Linux vpn03 3.8.4-gentoo #6 SMP Wed Mar 27 19:53:13 KRAT 2013 i686 Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz GenuineIntel GNU/Linux Вот конифги:

http://pastebin.com/7tVh5QhP - options.x2ltpd

http://pastebin.com/ahM3iV3p - x2ltpd.conf

http://pastebin.com/furSEkx8 - ipsec.conf

настройки /etc/ppp/radiusclient.conf приводить не буду там все тривиально. nat на машине настроен. IPsec verify везде говорит что все ок.

xl2tpd -D дает такую инфу: xl2tpd[4624]: setsockopt recvref[30]: Protocol not available

xl2tpd[4624]: L2TP kernel support not detected (try modprobing l2tp_ppp and pppol2tp)

xl2tpd[4624]: consider_pidfile: There's already a xl2tpd server running.

Как я выяснил эти модули подгружать не стоит, тогда вообще работать ничего не будет. Тем не менее попробовать их загрузить не смог - в ядре их попросту нет или называются они как то по другому. Кстати о ядре. Большинство нужных вещей собраны модулями, на список нужных ориентировался по этому: http://blackpenguins.ru/?p=151. Теперь собственно проблема: в винде(7/8) предварительно поправив ключ в реестре создаю подключение, выставляю обязательно шифрование и использование ms-chap-v2. Не подключается, если ставишь необязательное шифрование и chap - подключается. Политика на радиус сервере разрешает оба способа подключения.

Итак логи когда отлупливает:

/var/log/auth.log http://pastebin.com/fZwk09D6 (x.x.x.x и c.c.c.c это vpn ip наружу и внутри)

/var/log/messages http://pastebin.com/kp0WBDzc

/var/log/debug http://pastebin.com/73iFN9tE

plutolog который указан в ipsec.conf тупо молчит. Но видно что проблема где то между xl2tpd и pppd. Поэтому сам ipsec думаю не при чем. Вообще суть работы всей этой шняги я понимаю так: клиент стучит на порт 4500 серверу, просыпается pluto они обмениваются ключами, потом пинается xl2tpd он поднимает тунель и пинает pppd который авторизует, т.е. по сути chap/mschapv2 и обязательное/необязательное роли не играет т.к. пароли летят уже по шифрованному тунелю(якобы). Но после многодневных чтений мануалов у меня закрались сомнения что: у меня нихера не секурно, а так же соединение можно поднять и без ipsec, что как бы неправильно.

С почтением прошу людей секущих фишку вразумить дабы понять что я делаю не так и в чем не прав. Челом бью.

Ссылка

←	Засунуть программу в фон

После входа звонка в очередь в CDR ANSWERED

→

гуру вы где?

hellionX
(28.03.13 11:44:54 MSK) автор топика

Ссылка

L2TP - клиент

dbzer0
(28.03.13 12:01:07 MSK)

Ответ на: комментарий от dbzer0 28.03.13 12:01:07 MSK

Внимательно изучил ссылку, ничего полезного для себя не нашел.

hellionX
(28.03.13 12:19:36 MSK) автор топика

Ответ на: комментарий от hellionX 28.03.13 12:19:36 MSK

Модули точно загружены? Без них, судя по всему, работать не будет

Pinkbyte ★★★★★
(28.03.13 16:55:47 MSK)

Ответ на: комментарий от Pinkbyte 28.03.13 16:55:47 MSK

Можно подробнее? Какие модули Вы имеете ввиду? Вы по ссылке http://blackpenguins.ru/?p=151 ходили которую я в топике привел? У автора той темы собрано в ядро почти все. Я пробовал и так и модулями результат одинаковый. Подключение то происходит, авторизацию проходит, пакеты бегают впн пашет НО без опций обязательное шифрование и использование ms-chap-v2.

hellionX
(28.03.13 17:05:15 MSK) автор топика

Ответ на: комментарий от hellionX 28.03.13 17:05:15 MSK

Ходил, там старая инфа, с новыми ядрами немного по-другому вроде.

Покажи

zcat /proc/config.gz | grep L2TP

Pinkbyte ★★★★★
(28.03.13 17:06:54 MSK)

Ответ на: комментарий от Pinkbyte 28.03.13 17:06:54 MSK

vpn03 ~ # zcat /proc/config.gz | grep L2TP CONFIG_L2TP=y CONFIG_L2TP_DEBUGFS=y CONFIG_L2TP_V3=y CONFIG_L2TP_IP=y CONFIG_L2TP_ETH=y CONFIG_PPPOL2TP=m

держи

hellionX
(28.03.13 17:25:18 MSK) автор топика

Ответ на: комментарий от Pinkbyte 28.03.13 17:06:54 MSK

Настройка везде типична, перерыл просто кучу манов. Перечитал разные багтрекеры, на одном кстати один парниша так и написал, что такая вещь (pppd + windows radius + шифрование и mschap2) не работает, и не заработает сетуя на то - а зачем оно нужно когда там и так все по шифрованному тонелю летит уже после проверки PSK ключа. Но тогда вопрос как сделать так чтоб не подключались к xl2tpd просто? Закрыть файрволом?

hellionX
(28.03.13 17:44:08 MSK) автор топика

Ссылка

Ответ на: комментарий от hellionX 28.03.13 17:25:18 MSK

версия xl2tpd?

P.S. Ссылки на pastebin протухли

Pinkbyte ★★★★★
(28.03.13 17:53:56 MSK)
Последнее исправление: Pinkbyte 28.03.13 17:56:54 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 28.03.13 17:53:56 MSK

vpn03 ~ # emerge -pv xl2tpd

These are the packages that would be merged, in order:

Calculating dependencies... done! [ebuild R ] net-dialup/xl2tpd-1.3.1-r2 USE=«dnsretry kernel» 0 kB

Ссылки поправлю, уно моменто

hellionX
(28.03.13 18:01:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 28.03.13 17:53:56 MSK

options.xl2tpd http://pastebin.com/WBepGyQ2
xl2tpd.conf http://pastebin.com/WekEXvYA
ipsec.conf http://pastebin.com/wirvUt7q

В логах особо ничего интересного, непосредственно перед обрывом дает такое:


 vpn03 pluto: adjusting ipsec.d to /etc/ipsec.d
 vpn03 xl2tpd[32325]: Connection established to 46.166.107.106, 1701.  Local: 11023, Remote: 14 (ref=0/0).  LNS session is 'default'
 vpn03 xl2tpd[32325]: Call established with 46.166.107.106, Local: 22929, Remote: 1, Serial: 0
 vpn03 pppd[32697]: Plugin /usr/lib/pppd/2.4.5/radius.so loaded.
 vpn03 pppd[32697]: RADIUS plugin initialized.
 vpn03 pppd[32697]: Plugin /usr/lib/pppd/2.4.5/radattr.so loaded.
 vpn03 pppd[32697]: RADATTR plugin initialized.
 vpn03 pppd[32697]: Plugin pppol2tp.so loaded.
 vpn03 pppd[32697]: pppd 2.4.5 started by hellion, uid 0
 vpn03 pppd[32697]: Using interface ppp0
 vpn03 pppd[32697]: Connect: ppp0 <-->
 vpn03 pppd[32697]: Overriding mtu 1500 to 1410
 vpn03 pppd[32697]: Overriding mru 1500 to mtu value 1410
 vpn03 xl2tpd[32325]: control_finish: Connection closed to 46.166.107.106, serial 0 ()
 vpn03 pppd[32697]: Terminating on signal 15
 vpn03 xl2tpd[32325]: control_finish: Connection closed to 46.166.107.106, port 1701 (), Local: 11023, Remote: 14
 vpn03 pppd[32697]: Connection terminated.
 vpn03 pppd[32697]: Modem hangup
 vpn03 pppd[32697]: Exit.

hellionX
(28.03.13 18:13:09 MSK) автор топика

Ответ на: комментарий от hellionX 28.03.13 18:13:09 MSK

может для начала MTU починишь? :-)

Pinkbyte ★★★★★
(28.03.13 18:16:26 MSK)

Ответ на: комментарий от Pinkbyte 28.03.13 18:16:26 MSK

убрал в опциях оверрайд на 1410. Тот же хэнгап, но валить стал больше всякой чуши, действительно :)

Mar 28 22:50:58 vpn03 pppd[345]: pppd 2.4.5 started by hellion, uid 0
Mar 28 22:50:58 vpn03 pppd[345]: using channel 34
Mar 28 22:50:58 vpn03 pppd[345]: Using interface ppp0
Mar 28 22:50:58 vpn03 pppd[345]: Connect: ppp0 <-->
Mar 28 22:50:58 vpn03 pppd[345]: PPPoL2TP options: debugmask 0
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x5eaa668e> <pcomp> <accomp> <callback CBCP>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfRej id=0x1 <callback CBCP>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x1 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x2 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfReq id=0x2 <mru 1400> <magic 0x5eaa668e> <pcomp> <accomp>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfAck id=0x2 <mru 1400> <magic 0x5eaa668e> <pcomp> <accomp>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x2 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x3 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x3 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x4 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x4 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x5 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x5 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x6 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x6 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x7 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x7 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x8 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x8 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0x9 <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0x9 <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0xa <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP ConfNak id=0xa <auth chap MS-v2>]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP ConfReq id=0xb <asyncmap 0x0> <magic 0xacdb33d3>]
Mar 28 22:51:00 vpn03 pppd[345]: rcvd [LCP TermReq id=0x3 "^\37777777652f\37777777616\000<\37777777715t\000\000\002\37777777734"]
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP TermAck id=0x3]
Mar 28 22:51:00 vpn03 xl2tpd[32325]: control_finish: Connection closed to 46.166.106.158, serial 0 ()
Mar 28 22:51:00 vpn03 xl2tpd[32325]: Terminating pppd: sending TERM signal to pid 345
Mar 28 22:51:00 vpn03 pppd[345]: Terminating on signal 15
Mar 28 22:51:00 vpn03 pppd[345]: sent [LCP TermReq id=0xc "User request"]
Mar 28 22:51:00 vpn03 xl2tpd[32325]: control_finish: Connection closed to 46.166.106.158, port 1701 (), Local: 1662, Remote: 15
Mar 28 22:51:03 vpn03 pppd[345]: sent [LCP TermReq id=0xd "User request"]
Mar 28 22:51:06 vpn03 pppd[345]: Connection terminated.
Mar 28 22:51:06 vpn03 pppd[345]: Modem hangup
Mar 28 22:51:06 vpn03 pppd[345]: RADATTR plugin removed file /var/run/radattr.ppp0.

hellionX
(28.03.13 18:53:26 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 28.03.13 18:16:26 MSK

пошел гуглить sent [LCP TermReq id=0xd «User request»]

hellionX
(28.03.13 18:58:17 MSK) автор топика

Ответ на: комментарий от hellionX 28.03.13 18:58:17 MSK

он у тебя авторизовываться отказывается(ConfNak на mschapv2)

Pinkbyte ★★★★★
(28.03.13 20:05:05 MSK)

Ответ на: комментарий от Pinkbyte 28.03.13 20:05:05 MSK

в чем может быть причина или как её отследить?

hellionX
(29.03.13 02:57:35 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 28.03.13 20:05:05 MSK

не проходит вторую фазу:

08:06:02.238280 IP а.а.а.а.500 > b.b.b.b.500: isakmp: phase 1 I ident
08:06:02.239349 IP b.b.b.b.500 > а.а.а.а.500: isakmp: phase 1 R ident
08:06:02.314684 IP а.а.а.а.500 > b.b.b.b.500: isakmp: phase 1 I ident
08:06:02.319651 IP b.b.b.b.500 > а.а.а.а.500: isakmp: phase 1 R ident
08:06:02.343618 IP а.а.а.а.500 > b.b.b.b.500: isakmp: phase 1 I ident[E]
08:06:02.344021 IP b.b.b.b.500 > а.а.а.а.500: isakmp: phase 1 R ident[E]
08:06:02.345521 IP а.а.а.а.500 > b.b.b.b.500: isakmp: phase 2/others I oakley-quick[E]
08:06:02.346872 IP b.b.b.b.500 > а.а.а.а.500: isakmp: phase 2/others R oakley-quick[E]
08:06:02.348283 IP а.а.а.а.500 > b.b.b.b.500: isakmp: phase 2/others I oakley-quick[E]

hellionX
(29.03.13 04:08:00 MSK) автор топика

Ссылка

В этой теме у коллеги проблемы похожие были, он думал на фаерволл. У меня просто включен маскарадинг, фаерволл внешний. Но даже внутри сети клиенты не подключаются.

hellionX
(29.03.13 04:20:38 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Засунуть программу в фон

Admin

После входа звонка в очередь в CDR ANSWERED

→

Похожие темы