URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14134
[ Назад ]
Исходное сообщение
"cisco +  + mppe"
Отправлено chocholl , 04-Авг-07 13:45 
добрый день уважаемые.
есть nas (cisco 1841), туда по pptp коннектяться люди.

конфиг такой...
vpdn enable
vpdn ip udp ignore checksum

vpdn-group 1
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip access-group 101 in
no ip proxy-arp
rate-limit input 192000 2000 4000 conform-action transmit exceed-action drop
rate-limit output 192000 2000 4000 conform-action transmit exceed-action drop
ip mroute-cache
peer default ip address pool lpool
ppp encrypt mppe auto
ppp authentication ms-chap


решил посадить этих людей в радиус, сделал вот, что
на 1841:
aaa authentication ppp default group radius

на радиусе (для примера):
test     Auth-Type = Accept, Simultaneous-Use = 10
         Service-Type = Framed-User,
         Framed-Protocol = PPP,
         MS-MPPE-Encryption-Policy = Encryption-Required

после чего никак не удаеться подконнектиться с mppe, клиент говорит, что нет согласия в выборе протоколов шифрования.

в логах циски вот что:
*Aug  4 09:57:24.296: ppp277 PPP: Using vpn set call direction
*Aug  4 09:57:24.296: ppp277 PPP: Treating connection as a callin
*Aug  4 09:57:24.296: ppp277 PPP: Session handle[D9000286] Session id[277]
*Aug  4 09:57:24.316: ppp277 PPP: Authorization required
*Aug  4 09:57:24.320: ppp277 MS-CHAP: O CHALLENGE id 1 len 27 from "router_name"
*Aug  4 09:57:24.328: ppp277 MS-CHAP: I RESPONSE id 1 len 60 from "test"
*Aug  4 09:57:24.328: ppp277 PPP: Sent MSCHAP LOGIN Request
*Aug  4 09:57:24.328: RADIUS/ENCODE(00000188):Orig. component type = VPDN
*Aug  4 09:57:24.328: RADIUS:  AAA Unsupported Attr: interface         [157] 15
*Aug  4 09:57:24.328: RADIUS:   55 6E 69 71 2D 53 65 73 73 2D 49 44 32           [Uniq-Sess-ID2]
*Aug  4 09:57:24.328: RADIUS(00000188): Config NAS IP: 0.0.0.0
*Aug  4 09:57:24.328: RADIUS/ENCODE(00000188): acct_session_id: 427
*Aug  4 09:57:24.328: RADIUS(00000188): sending
*Aug  4 09:57:24.328: RADIUS/ENCODE: Best Local IP-Address x.x.x.x for Radius-Server y.y.y.y
*Aug  4 09:57:24.328: RADIUS(00000188): Send Access-Request to y.y.y.y:1812 id 1645/172, len 149
*Aug  4 09:57:24.328: RADIUS:  authenticator 20 18 D3 F6 C8 05 49 5A - 00 00 00 00 00 00 00 00
*Aug  4 09:57:24.328: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Aug  4 09:57:24.328: RADIUS:  User-Name           [1]   8   "test"
*Aug  4 09:57:24.332: RADIUS:  Vendor, Microsoft   [26]  16
*Aug  4 09:57:24.332: RADIUS:   MSCHAP_Challenge   [11]  10
*Aug  4 09:57:24.332: RADIUS:   20 18 D3 F6 C8 05 49 5A                          [ ?????IZ]
*Aug  4 09:57:24.332: RADIUS:  Vendor, Microsoft   [26]  58
*Aug  4 09:57:24.332: RADIUS:   MS-CHAP-Response   [1]   52  *
*Aug  4 09:57:24.332: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Aug  4 09:57:24.332: RADIUS:  NAS-Port            [5]   6   277
*Aug  4 09:57:24.332: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID277"
*Aug  4 09:57:24.332: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Aug  4 09:57:24.332: RADIUS:  NAS-IP-Address      [4]   6   x.x.x.x
*Aug  4 09:57:24.336: RADIUS: Received from id 1645/172 y.y.y.y:1812, Access-Accept, len 59
*Aug  4 09:57:24.336: RADIUS:  authenticator 65 26 B2 4C 19 61 7E 6E - 7A C9 E6 B6 1B A1 9E 05
*Aug  4 09:57:24.336: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Aug  4 09:57:24.336: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Aug  4 09:57:24.336: RADIUS:  Vendor, Microsoft   [26]  27
*Aug  4 09:57:24.336: RADIUS:   MS-MPPE-Enc-Policy [7]   21
*Aug  4 09:57:24.336: RADIUS:   45 6E 63 72 79 70 74 69 6F 6E 2D 52 65 71 75 69  [Encryption-Requi]
*Aug  4 09:57:24.336: RADIUS:   72 65 64                                         [red]
*Aug  4 09:57:24.336: RADIUS(00000188): Received from id 1645/172
*Aug  4 09:57:24.336: ppp277 PPP: Received LOGIN Response PASS
*Aug  4 09:57:24.408: Vi4 Tnl/Sn 276/274 PPTP: Virtual interface created for unknown, bandwidth 100000 Kbps
*Aug  4 09:57:24.408: Vi4 Tnl/Sn 276/274 PPTP: VPDN session up
*Aug  4 09:57:24.412: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to up
*Aug  4 09:57:24.412: Vi4 MS-CHAP: O SUCCESS id 1 len 4
*Aug  4 09:57:26.156: Vi4 VPDN: Reseting interface
*Aug  4 09:57:27.412: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to down


т.е. аттрибут MS-MPPE-Encryption-Policy до циски честно доходит.
то же самое, если в радиусе добавляю MS-MPPE-Encryption-Type (с разными вариантами), в логах его видно, но согласования не происходит.

в качестве радиуса пробовал и gnuradius и freeradius, ситуация, абсолютно одинаковая.

подскажите, что и где нужно сказать, чтобы снова заработал mppe.
спасибо.

Содержание
Сообщения в этом обсуждении
"cisco +  + mppe"
Отправлено chocholl , 04-Авг-07 13:56 
вот сделал
debug ppp error

в логах вот что
*Aug  4 10:12:17.511: Vi3 MPPE: Required encryption not negotiated

"cisco +  + mppe"
Отправлено Vaso Petrovich , 04-Авг-07 16:58 
>вот сделал
>debug ppp error
>
>в логах вот что
>*Aug  4 10:12:17.511: Vi3 MPPE: Required encryption not negotiated

судя по этому логу, клиент не подерживает MPPE, поэтому не происходит соединение...

"cisco +  + mppe"
Отправлено Vaso Petrovich , 04-Авг-07 14:02 
чтобы заработал MPPE, нужно MSCHAP2 юзать, а не MSCHAP
"cisco +  + mppe"
Отправлено chocholl , 04-Авг-07 14:29 
>чтобы заработал MPPE, нужно MSCHAP2 юзать, а не MSCHAP

я пробовал убирать все, кроме MSCHAPV2, но ситуации это не меняет.

"cisco +  + mppe"
Отправлено Kostya Nikonenko , 25-Июн-09 19:06 
>>чтобы заработал MPPE, нужно MSCHAP2 юзать, а не MSCHAP
>
>я пробовал убирать все, кроме MSCHAPV2, но ситуации это не меняет.

заменить все строки ааа на

aaa authentication login default local group radius
aaa authentication ppp default local group radius
aaa authorization network default local group radius
aaa authorization auth-proxy default group radius