Я настроил VPN (pptpd + pppd), подключаюсь к нему из-под винды (XP). Если ввести неправильный логин, то система ведёт себя как и положено: пишет "такие имя и пароль недопустимы в данном домене". Однако, если ввести логин правильно, а пароль - неправильно, то выскакивает совсем другое окошко! в котором написано, что "системе Windows не удалось подключиться к сети", и предлагается снова ввести логин, пароль и домен, который можно не вводить. С этим окошком связаны могие проблемы: оно страшное, ибо кнопки (ОК/отмена?) не помещаются в окошке (!), да и это просто несекьюрно (можно вычислять имена пользователей), но главное - если там ввести правильный логин-пароль, то он не подходит! Такое окошко выскакивает три раза, а потом выдаёт обычное "недопустимы в данном домене". На FreeBSD с mpd5 такого не было, значит, это - не нормальное поведение VPN.Я начал думать, что делать, попробовал поменять все значения, какие только нашёл, которые имели какое-то отношение к процессу аутентификации... В основном - из мана pppd (ведь это он заправляет этим процессом), те которые по умолчанию равняются трём (подумал - сделаю один, чтобы сразу было "фигвам", без трёх попыток). Но ничего не помогло. =/ То, какое окошко выдаёт Windows - это, конечно, его проблемы, но факт остаётся - при угаданном имени пользователя (т.е. присутствующим в chap-secrets) ошибка передаётся не такая, как просто при неугаданном логине/пароле, и ввод правильного пароля не подходит.
Это фича работы CHAP/VPN/pppd/чего-то ещё или так не должно быть и есть способ это пофиксить?..
>[оверквотинг удален]
> которые имели какое-то отношение к процессу аутентификации... В основном - из
> мана pppd (ведь это он заправляет этим процессом), те которые по
> умолчанию равняются трём (подумал - сделаю один, чтобы сразу было "фигвам",
> без трёх попыток). Но ничего не помогло. =/ То, какое окошко
> выдаёт Windows - это, конечно, его проблемы, но факт остаётся -
> при угаданном имени пользователя (т.е. присутствующим в chap-secrets) ошибка передаётся
> не такая, как просто при неугаданном логине/пароле, и ввод правильного пароля
> не подходит.
> Это фича работы CHAP/VPN/pppd/чего-то ещё или так не должно быть и есть
> способ это пофиксить?..Ж-ж-жесть..
Триллер на ночь глядя. Б-р-р-р.
> Ж-ж-жесть..
> Триллер на ночь глядя. Б-р-р-р.От этого окошка пользователи будут бросать в штаны и среди бела дня, а проблема в том что тонкости протоколов знают только гуру випиэна... Ведь явно как-то не так ведёт себя процесс проверки логина и пароля!.. Должен же быть способ настроить это...
> Ведь явно как-то не так ведёт себя процесс проверки логина и
> пароля!.. Должен же быть способ настроить это...используй радиус. у него не будет такой проблемы - там либо allow, либо deny
>[оверквотинг удален]
> которые имели какое-то отношение к процессу аутентификации... В основном - из
> мана pppd (ведь это он заправляет этим процессом), те которые по
> умолчанию равняются трём (подумал - сделаю один, чтобы сразу было "фигвам",
> без трёх попыток). Но ничего не помогло. =/ То, какое окошко
> выдаёт Windows - это, конечно, его проблемы, но факт остаётся -
> при угаданном имени пользователя (т.е. присутствующим в chap-secrets) ошибка передаётся
> не такая, как просто при неугаданном логине/пароле, и ввод правильного пароля
> не подходит.
> Это фича работы CHAP/VPN/pppd/чего-то ещё или так не должно быть и есть
> способ это пофиксить?..Конфиг то покажи. Ну и я так понял у тебя просто chap а не mschap2? Я бы таки использывал второй, как бы и секурней и ХР по умолчанию его пользовать хочет, вроде.
> Конфиг то покажи. Ну и я так понял у тебя просто chap
> а не mschap2? Я бы таки использывал второй, как бы и
> секурней и ХР по умолчанию его пользовать хочет, вроде.Я имел в виду mschap2. Вот, если поможет...
/etc/pptpd.conf:option /etc/ppp/pptpd-options
logwtmp
stimeout 5
localip 192.168.113.1
remoteip 192.168.113.112-119
/etc/ppp/pptpd-options:name testvpn
authrefuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128nodefaultroute
noreplacedefaultroute
multilink
logfile /var/log/pppd.log
lock
nobsdcomp