URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92717
[ Назад ]

Исходное сообщение
"Аутентификация pptpd / pppd"

Отправлено Призрак , 07-Дек-11 18:56 
Я настроил VPN (pptpd + pppd), подключаюсь к нему из-под винды (XP). Если ввести неправильный логин, то система ведёт себя как и положено: пишет "такие имя и пароль недопустимы в данном домене". Однако, если ввести логин правильно, а пароль - неправильно, то выскакивает совсем другое окошко! в котором написано, что "системе Windows не удалось подключиться к сети", и предлагается снова ввести логин, пароль и домен, который можно не вводить. С этим окошком связаны могие проблемы: оно страшное, ибо кнопки (ОК/отмена?) не помещаются в окошке (!), да и это просто несекьюрно (можно вычислять имена пользователей), но главное - если там ввести правильный логин-пароль, то он не подходит! Такое окошко выскакивает три раза, а потом выдаёт обычное "недопустимы в данном домене". На FreeBSD с mpd5 такого не было, значит, это - не нормальное поведение VPN.

Я начал думать, что делать, попробовал поменять все значения, какие только нашёл, которые имели какое-то отношение к процессу аутентификации... В основном - из мана pppd (ведь это он заправляет этим процессом), те которые по умолчанию равняются трём (подумал - сделаю один, чтобы сразу было "фигвам", без трёх попыток). Но ничего не помогло. =/ То, какое окошко выдаёт Windows - это, конечно, его проблемы, но факт остаётся - при угаданном имени пользователя (т.е. присутствующим в chap-secrets) ошибка передаётся не такая, как просто при неугаданном логине/пароле, и ввод правильного пароля не подходит.

Это фича работы CHAP/VPN/pppd/чего-то ещё или так не должно быть и есть способ это пофиксить?..


Содержание

Сообщения в этом обсуждении
"Аутентификация pptpd / pppd"
Отправлено михалыч , 07-Дек-11 20:10 
>[оверквотинг удален]
> которые имели какое-то отношение к процессу аутентификации... В основном - из
> мана pppd (ведь это он заправляет этим процессом), те которые по
> умолчанию равняются трём (подумал - сделаю один, чтобы сразу было "фигвам",
> без трёх попыток). Но ничего не помогло. =/ То, какое окошко
> выдаёт Windows - это, конечно, его проблемы, но факт остаётся -
> при угаданном имени пользователя (т.е. присутствующим в chap-secrets) ошибка передаётся
> не такая, как просто при неугаданном логине/пароле, и ввод правильного пароля
> не подходит.
> Это фича работы CHAP/VPN/pppd/чего-то ещё или так не должно быть и есть
> способ это пофиксить?..

Ж-ж-жесть..
Триллер на ночь глядя. Б-р-р-р.


"Аутентификация pptpd / pppd"
Отправлено Призрак , 07-Дек-11 20:25 
> Ж-ж-жесть..
> Триллер на ночь глядя. Б-р-р-р.

От этого окошка пользователи будут бросать в штаны и среди бела дня, а проблема в том что тонкости протоколов знают только гуру випиэна... Ведь явно как-то не так ведёт себя процесс проверки логина и пароля!.. Должен же быть способ настроить это...


"Аутентификация pptpd / pppd"
Отправлено Serge , 08-Дек-11 04:26 

> Ведь явно как-то не так ведёт себя процесс проверки логина и
> пароля!.. Должен же быть способ настроить это...

используй радиус. у него не будет такой проблемы - там либо allow, либо deny


"Аутентификация pptpd / pppd"
Отправлено Punck , 09-Дек-11 16:59 
>[оверквотинг удален]
> которые имели какое-то отношение к процессу аутентификации... В основном - из
> мана pppd (ведь это он заправляет этим процессом), те которые по
> умолчанию равняются трём (подумал - сделаю один, чтобы сразу было "фигвам",
> без трёх попыток). Но ничего не помогло. =/ То, какое окошко
> выдаёт Windows - это, конечно, его проблемы, но факт остаётся -
> при угаданном имени пользователя (т.е. присутствующим в chap-secrets) ошибка передаётся
> не такая, как просто при неугаданном логине/пароле, и ввод правильного пароля
> не подходит.
> Это фича работы CHAP/VPN/pppd/чего-то ещё или так не должно быть и есть
> способ это пофиксить?..

Конфиг то покажи. Ну и я так понял у тебя просто chap а не mschap2? Я бы таки использывал второй, как бы и секурней и ХР по умолчанию его пользовать хочет, вроде.


"Аутентификация pptpd / pppd"
Отправлено Призрак , 12-Дек-11 11:51 
> Конфиг то покажи. Ну и я так понял у тебя просто chap
> а не mschap2? Я бы таки использывал второй, как бы и
> секурней и ХР по умолчанию его пользовать хочет, вроде.

Я имел в виду mschap2. Вот, если поможет...


/etc/pptpd.conf:

option /etc/ppp/pptpd-options
logwtmp
stimeout 5
localip 192.168.113.1
remoteip 192.168.113.112-119


/etc/ppp/pptpd-options:

name testvpn
auth

refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128

nodefaultroute
noreplacedefaultroute
multilink
logfile /var/log/pppd.log
lock
nobsdcomp