The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"gnu radius и MS-CHAP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 26-Май-05, 10:56  (MSK)
Всем здравствуйте. Есть следующая схема. cisco 2611 в качестве VPN сервера по протоколу pptp с авторизацией на radius по ms-chap-v2. Радиус-сервер - это gnu radius 1.3 на RH9. В списке клиентов радиуса:

kran            Auth-Type = Local, User-Password="*******"
                        Framed-Protocol = PPP,
                        MS-CHAP-MPPE-Keys = "",
                        Service-Type = Framed

Проверяю через локального радиус-клиента, все ОК. Но когда запрос приходит от роутера, дает реджект. В логе радиуса:

Framed-Protocol = PPP
        User-Name = kran
        MS-CHAP-Challenge = \356\162\337\115\337\204\266\207
        MS-CHAP-Response = \001\001\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\115\072\115\253\225\077\226\351\163\370\323\160\124\027\005\120\301\165\052\150\371\160\052\011
        NAS-Port-Type = 5
        NAS-Port-Id = 4
        Service-Type = Framed-User
        NAS-IP-Address = 10.10.10.x
        Timestamp = 1117086322
        Request-Authenticator = None

Кто подскажет, в какую сторону смотреть???

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "gnu radius и MS-CHAP" 
Сообщение от denn emailИскать по авторуВ закладки(??) on 26-Май-05, 11:22  (MSK)
>Всем здравствуйте. Есть следующая схема. cisco 2611 в качестве VPN сервера по
>протоколу pptp с авторизацией на radius по ms-chap-v2. Радиус-сервер - это
>gnu radius 1.3 на RH9. В списке клиентов радиуса:
>
>kran            
>Auth-Type = Local, User-Password="*******"
>            
>          
> Framed-Protocol = PPP,
>            
>          
> MS-CHAP-MPPE-Keys = "",
>            
>          
> Service-Type = Framed
>
>Проверяю через локального радиус-клиента, все ОК. Но когда запрос приходит от роутера,
>дает реджект. В логе радиуса:
>
>Framed-Protocol = PPP
>        User-Name = kran
>        MS-CHAP-Challenge = \356\162\337\115\337\204\266\207
>        MS-CHAP-Response = \001\001\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\115\072\115\253\225\077\226\351\163\370\323\160\124\027\005\120\301\165\052\150\371\160\052\011
>        NAS-Port-Type = 5
>        NAS-Port-Id = 4
>        Service-Type = Framed-User
>        NAS-IP-Address = 10.10.10.x
>        Timestamp = 1117086322
>        Request-Authenticator = None
>
>Кто подскажет, в какую сторону смотреть???

на циске все верно прописано?
+добавь в радиусе в конце пользователя Fall-Through = 1

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 26-Май-05, 11:38  (MSK)
>>Всем здравствуйте. Есть следующая схема. cisco 2611 в качестве VPN сервера по
>>протоколу pptp с авторизацией на radius по ms-chap-v2. Радиус-сервер - это
>>gnu radius 1.3 на RH9. В списке клиентов радиуса:
>>
>>kran            
>>Auth-Type = Local, User-Password="*******"
>>            
>>          
>> Framed-Protocol = PPP,
>>            
>>          
>> MS-CHAP-MPPE-Keys = "",
>>            
>>          
>> Service-Type = Framed
>>
>>Проверяю через локального радиус-клиента, все ОК. Но когда запрос приходит от роутера,
>>дает реджект. В логе радиуса:
>>
>>Framed-Protocol = PPP
>>        User-Name = kran
>>        MS-CHAP-Challenge = \356\162\337\115\337\204\266\207
>>        MS-CHAP-Response = \001\001\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\115\072\115\253\225\077\226\351\163\370\323\160\124\027\005\120\301\165\052\150\371\160\052\011
>>        NAS-Port-Type = 5
>>        NAS-Port-Id = 4
>>        Service-Type = Framed-User
>>        NAS-IP-Address = 10.10.10.x
>>        Timestamp = 1117086322
>>        Request-Authenticator = None
>>
>>Кто подскажет, в какую сторону смотреть???
>
>на циске все верно прописано?
>+добавь в радиусе в конце пользователя Fall-Through = 1

После добавления Fall-Through = 1, ничего не изменилось. На циске, думаю, все верно, но на всякий случай:

....
aaa new-model
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa session-id common
ip subnet-zero
ip cef
.....
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
local name ****
.....
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip tcp header-compression
ip mroute-cache
peer default ip address pool VPNpool
ppp authentication ms-chap
.......

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "gnu radius и MS-CHAP" 
Сообщение от denn emailИскать по авторуВ закладки(??) on 26-Май-05, 11:44  (MSK)
покажи запись для клиента еще раз.
radiusd -x и все что выводит
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 26-Май-05, 11:59  (MSK)
>покажи запись для клиента еще раз.
>radiusd -x и все что выводит


kran            Auth-Type = Local, User-Password="*****"
                        Framed-Protocol = PPP,
                        MS-CHAP-MPPE-Keys = "",
                        Service-Type = Framed,
                        Fall-Through = 1

debug для auth.c и request.c:

Май 26 09:45:22 request.c:392:request_handle: AUTH request 0 added to the list. 1 requests held.
Май 26 09:45:22 request.c:392:request_handle: AUTH request 0 added to the list. 1 requests held.
Май 26 09:45:22 auth.c:761:rad_authenticate: auth: kran
Май 26 09:45:22 auth.c:1017:sfn_validate: 1 -> 15
Май 26 09:45:22 auth.c:1304:sfn_reject_cleanup: 15 -> 14
Май 26 09:45:22 auth.c:1310:sfn_reject: REJECT: kran
Май 26 09:45:22 request.c:406:request_update: enter, pid=3741, ptr = (nil)
Май 26 09:45:22 request.c:418:request_update: exit

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "gnu radius и MS-CHAP" 
Сообщение от denn emailИскать по авторуВ закладки(??) on 26-Май-05, 13:35  (MSK)
radiusd -xx

попробуй

kran   Auth-Type = CHAP, User-Password=="*****"
       Fall-Through = 1


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 26-Май-05, 15:29  (MSK)
>radiusd -xx
>
>попробуй
>
>kran   Auth-Type = CHAP, User-Password=="*****"
>       Fall-Through = 1


Если сделать так, то в логе получаем:
"значение CHAP не объявлено для атрибута Auth-Type"
Если поставить Auth-Type = MS-CHAP, то в логах без ошибок, но ситуация с реджектом аккаунта та же самая. А файл radius.debug, если запустить демон, как radiusd -xx без указания отлаживаемых модулей, пустой. Может в конфиге что не так:

logging {
        prefix-hook "default_log_prefix";
        channel default {
                file "radius.log";
                print-category yes;
                print-level yes;
        };
        channel info {
                file "radius.info";
                print-pid yes;
        };
        channel debug {
                file "radius.debug";
        };
        category auth {
                print-auth yes;
                print-failed-pass yes;
        };
        category info {
                channel info;
        };
        category =debug {
                channel debug;
        };
        category * {
                channel default;
        };
};

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "gnu radius и MS-CHAP" 
Сообщение от denn emailИскать по авторуВ закладки(??) on 26-Май-05, 15:35  (MSK)
>>radiusd -xx
>>
>>попробуй
>>
>>kran   Auth-Type = CHAP, User-Password=="*****"
>>       Fall-Through = 1
>
>
>Если сделать так, то в логе получаем:
>"значение CHAP не объявлено для атрибута Auth-Type"
>Если поставить Auth-Type = MS-CHAP, то в логах без ошибок, но ситуация
>с реджектом аккаунта та же самая. А файл radius.debug, если запустить
>демон, как radiusd -xx без указания отлаживаемых модулей, пустой. Может в
>конфиге что не так:

думаю я просто не знаю эквивалент опции -х из фрирадиус в гну радиусе.
погляди radiusd -h
давай весь users поглядим. можешь в мыло

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 26-Май-05, 15:54  (MSK)
>>>radiusd -xx
>>>
>>>попробуй
>>>
>>>kran   Auth-Type = CHAP, User-Password=="*****"
>>>       Fall-Through = 1
>>
>>
>>Если сделать так, то в логе получаем:
>>"значение CHAP не объявлено для атрибута Auth-Type"
>>Если поставить Auth-Type = MS-CHAP, то в логах без ошибок, но ситуация
>>с реджектом аккаунта та же самая. А файл radius.debug, если запустить
>>демон, как radiusd -xx без указания отлаживаемых модулей, пустой. Может в
>>конфиге что не так:
>
>думаю я просто не знаю эквивалент опции -х из фрирадиус в гну
>радиусе.
>погляди radiusd -h
>давай весь users поглядим. можешь в мыло

а в users у меня больше и нет ничего. Тут я еще вот какой момент накопал. На gnu-radius-help вроде бы народ пишет, что в gnu radius вообще нет поддержки ms-chap. И что для авторизации по ms-chap надо переходить на freeradius.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "gnu radius и MS-CHAP" 
Сообщение от denn emailИскать по авторуВ закладки(??) on 26-Май-05, 16:02  (MSK)
>>>>radiusd -xx
>>>>
>>>>попробуй
>>>>
>>>>kran   Auth-Type = CHAP, User-Password=="*****"
>>>>       Fall-Through = 1
>>>
>>>
>>>Если сделать так, то в логе получаем:
>>>"значение CHAP не объявлено для атрибута Auth-Type"
>>>Если поставить Auth-Type = MS-CHAP, то в логах без ошибок, но ситуация
>>>с реджектом аккаунта та же самая. А файл radius.debug, если запустить
>>>демон, как radiusd -xx без указания отлаживаемых модулей, пустой. Может в
>>>конфиге что не так:
>>
>>думаю я просто не знаю эквивалент опции -х из фрирадиус в гну
>>радиусе.
>>погляди radiusd -h
>>давай весь users поглядим. можешь в мыло
>
>а в users у меня больше и нет ничего. Тут я еще
>вот какой момент накопал. На gnu-radius-help вроде бы народ пишет, что
>в gnu radius вообще нет поддержки ms-chap. И что для авторизации
>по ms-chap надо переходить на freeradius.

ну, на фрирадиус сразу надо было переходить. хорошая штука, согласен с советом.
либо пробуй просто chap

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 26-Май-05, 16:33  (MSK)
>>>>>radiusd -xx
>>>>>
>>>>>попробуй
>>>>>
>>>>>kran   Auth-Type = CHAP, User-Password=="*****"
>>>>>       Fall-Through = 1
>>>>
>>>>
>>>>Если сделать так, то в логе получаем:
>>>>"значение CHAP не объявлено для атрибута Auth-Type"
>>>>Если поставить Auth-Type = MS-CHAP, то в логах без ошибок, но ситуация
>>>>с реджектом аккаунта та же самая. А файл radius.debug, если запустить
>>>>демон, как radiusd -xx без указания отлаживаемых модулей, пустой. Может в
>>>>конфиге что не так:
>>>
>>>думаю я просто не знаю эквивалент опции -х из фрирадиус в гну
>>>радиусе.
>>>погляди radiusd -h
>>>давай весь users поглядим. можешь в мыло
>>
>>а в users у меня больше и нет ничего. Тут я еще
>>вот какой момент накопал. На gnu-radius-help вроде бы народ пишет, что
>>в gnu radius вообще нет поддержки ms-chap. И что для авторизации
>>по ms-chap надо переходить на freeradius.
>
>ну, на фрирадиус сразу надо было переходить. хорошая штука, согласен с советом.
>
>либо пробуй просто chap


Ладно, буду работать в этом направлении. В любом случае спасибо за помощь

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "gnu radius и MS-CHAP" 
Сообщение от kran emailИскать по авторуВ закладки(??) on 27-Май-05, 00:01  (MSK)
Действительно, перетащил все на freeradius и все поехало. Спасибо всем, кто откликнулся


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру