URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7454
[ Назад ]

Исходное сообщение
"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 11-Мрт-05 10:35

Добрый день.
Возникла необходимость пускать людей в сеть через VPN который решили поднять на Cisco, при этом, что бы канал шифровался. На cisco.com написано что бы все заработало надо чтобы Radius сервер которым как я понимаю в Windows является IAS отдавал Framed-Protocol = PPP MS-CHAP-MPPE-Keys Service-Type = Framed вот в чем проблема не могу найти в IAS MS-CHAP-MPPE-Keys и вообще возможно ли сделать VPN на Cisco с авторизацией на IAS и шифрованием mppe 128. Если делать без IAS то есть локальная база имен паролей на Cisco то проблем с шифрацией нет.
Заранее благодарю за любую помощь.

Содержание

Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,kir, 12:23 , 11-Мрт-05
- Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 12:29 , 11-Мрт-05
  - Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 17:02 , 11-Мрт-05
Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,toor99, 10:04 , 12-Мрт-05
- Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 11:50 , 14-Мрт-05
  - Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,toor99, 12:00 , 14-Мрт-05
Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,xRAMx, 12:26 , 14-Мрт-05
- Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 12:30 , 14-Мрт-05
  - Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 12:33 , 14-Мрт-05
  - Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,xRAMx, 15:11 , 14-Мрт-05
    - Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 16:20 , 14-Мрт-05
      - Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,xRAMx, 17:04 , 14-Мрт-05
        
        Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,EvgenyS, 17:11 , 14-Мрт-05
        
        Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,mousemaster, 03:54 , 17-Янв-07
        
        Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp...,Guest, 14:33 , 17-Фев-07

Сообщения в этом обсуждении

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено kir , 11-Мрт-05 12:23

думаю если IAS неумеет отдать этот атрибут - значит ничего не получиться
воспользуйьесб другим radius serervom

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 11-Мрт-05 12:29

>думаю если IAS неумеет отдать этот атрибут - значит ничего не получиться
>
> воспользуйьесб другим radius serervom
не можете ли вы подсказать альтернативный RADIUS server который может отдавать этот параметр

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 11-Мрт-05 17:02

Поставил Steel-Belted Radius там есть такой параметр но все равно не работает. Может секрет есть какой.

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено toor99 , 12-Мрт-05 10:04

>Добрый день.
>Возникла необходимость пускать людей в сеть через VPN который решили поднять на
>Cisco, при этом, что бы канал шифровался. На cisco.com написано что
>бы все заработало надо чтобы Radius сервер которым как я понимаю
>в Windows является IAS отдавал Framed-Protocol = PPP MS-CHAP-MPPE-Keys Service-Type =
>Framed вот в чем проблема не могу найти в IAS MS-CHAP-MPPE-Keys
Вообще-то, должен быть.
"MPPE Encryption Keys
Encryption settings are configured on the Encryption tab of a remote access policy profile. Based on the settings, IAS returns the MS-MPPE-Encryption-Policy (RFC 2548, section 2.4.4) and MS-MPPE-Encryption-Types (RFC 2548, section 2.4.5) attributes. The access server should verify the values of the MS-MPPE-Encryption-Policy and MS-MPPE-Encryption-Types attributes with the settings of the configured encryption policy.
If the authentication protocol is MS-CHAP, the MS-CHAP-MPPE-Keys (RFC 2548, section 2.4.1) attribute is returned. The contents of the NT-Key sub-field of the MS-CHAP-MPPE-Keys attribute is incorrectly described in RFC 2548. Instead of the NtPasswordHash() function, use the HashNtPasswordHash() function to calculate the contents of the NT-Key sub-field. Both the NtPasswordHash() and HashNtPasswordHash() functions are described in RFC 2759. The MS-CHAP-MPPE-Keys attribute is encrypted using the same mechanism that is used to protect the User-Password attribute (RFC 2865)."
http://download.microsoft.com/download/a/4/6/a46193b8-4c6f-4...

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 14-Мрт-05 11:50

Добрый день.
Насколько я понял если Cisco работает по RFC 2548 то "sub-field of the MS-CHAP-MPPE-Keys attribute is incorrectly described in RFC 2548". Или я что то не правильно понял.

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено toor99 , 14-Мрт-05 12:00

>Добрый день.
>Насколько я понял если Cisco работает по RFC 2548 то "sub-field of
>the MS-CHAP-MPPE-Keys attribute is incorrectly described in RFC 2548". Или я
>что то не правильно понял.
Нет, все правильно, но это же документ для программистов. И, во всяком случае, явно следует что такой атрибут там, по крайней мере, есть.
А вообще да, меня это тоже позабавило. RFC идет не в ногу с Майкрософт, значит тем хуже для RFC :)

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено xRAMx , 14-Мрт-05 12:26

Критично что с шифрованием mppe 128 ?
VPN-клиент обязательно от MS?
Cisco VPN-клиент/IPSec + IAS. Авторизация аккаунтов в домене.

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 14-Мрт-05 12:30

>Критично что с шифрованием mppe 128 ?
В принципе нет, так как 40 или 56 лучше чем ничего
>VPN-клиент обязательно от MS?
Не обязательно но желательно
>Cisco VPN-клиент/IPSec + IAS. Авторизация аккаунтов в домене.
Вот IPSec не хотелось бы

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 14-Мрт-05 12:33

Вот еще что в логах Cisco выловил
12w2d: Vi3 CCP: MPPC Option asks for neither compression nor encryption
12w2d: Vi3 MPPE: Required encryption not negotiated
Если это чем то поможет

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено xRAMx , 14-Мрт-05 15:11

Посмотрите здесь:
http://www.cisco.com/en/US/tech/tk801/tk703/technologies_con...

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 14-Мрт-05 16:20

>Посмотрите здесь:
>http://www.cisco.com/en/US/tech/tk801/tk703/technologies_con...
У меня все так же и настоенно если только надо обязательно чтобы записи на Cisco совпадали с записями на RADIUS

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено xRAMx , 14-Мрт-05 17:04

В примере
ppp encrypt mppe 40
ppp authentication ms-chap
Как у Вас настроено?

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено EvgenyS , 14-Мрт-05 17:11

Так работало когда база пользователей была локально сейчас так же
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
Пробовал менять как в примере тоже самое

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено mousemaster , 17-Янв-07 03:54

про Steel-Belted radius и про другие тоже,
нужно в Return-list прописать: MS-CHAP-MPPE Keys и MS-CHAP-MPPE-Types=128Bit

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Отправлено Guest , 17-Фев-07 14:33

>про Steel-Belted radius и про другие тоже,
>нужно в Return-list прописать: MS-CHAP-MPPE Keys и MS-CHAP-MPPE-Types=128Bit
а можно подробнее? Вылез тот же трабл. В Cisco-AV-Pair писать?