forum.opennet.ru - "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"

Форум Информационная безопасность (VPN, IPSec / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"	+/–
Сообщение от hellion (ok) on 02-Апр-13, 09:33
Господа прошу помощи! Задача: настроить vpn для клиентов которые подключаются из интернетов, и смогут получить доступ к локальной сети компании (MS AD, т.е. подключаются используюя доменные логин пароль) Для этого поднят впн сервер, находится он за 2 натами, с этим проблем нет - простреливает. Пакеты openswan (2.6.38), xl2tpd (1.3.1-r2) и pppd (2.4.5-r3), все из портежа самые свежие. Код: Linux vpn03 3.8.4-gentoo #6 SMP Wed Mar 27 19:53:13 KRAT 2013 i686 Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz GenuineIntel GNU/Linux Вот конфиги: options.x2ltpd http://pastebin.com/f6U2UgvE x2ltpd.conf http://pastebin.com/Mv0KYY9w ipsec.conf http://pastebin.com/WDCk3HWK настройки /etc/ppp/radiusclient.conf приводить не буду там все тривиально. nat на машине настроен. IPsec verify везде говорит что все ок. xl2tpd -D дает такую инфу: Код: xl2tpd[7084]: Enabling IPsec SAref processing for L2TP transport mode SAs xl2tpd[7084]: IPsec SAref does not work with L2TP kernel mode yet, enabling forceuserspace=yes xl2tpd[7084]: setsockopt recvref[30]: Protocol not available xl2tpd[7084]: Using l2tp kernel support. xl2tpd[7084]: consider_pidfile: There's already a xl2tpd server running. Как я выяснил эти модули подгружать не стоит, тогда вообще работать ничего не будет. Тем не менее попробовать их загрузить не смог - в ядре их попросту нет или называются они как то по другому. Кстати о ядре. Большинство нужных вещей собраны модулями, на список нужных ориентировался по этому . Теперь собственно проблема: в винде(7/8) предварительно поправив ключ в реестре создаю подключение, выставляю обязательно шифрование и использование ms-chap-v2. Не подключается, если ставишь необязательное шифрование и chap - подключается. Политика на радиус сервере разрешает оба способа подключения. Итак логи когда отлупливает: /var/log/auth.log http://pastebin.com/sMQgTjPx /var/log/debug http://pastebin.com/jbMUKeEF Видно что проблема где то между xl2tpd и pppd. Сам ipsec думаю не при чем. Вообще суть работы всей этой шняги я понимаю так: клиент стучит на порт 4500 серверу, просыпается pluto они обмениваются ключами, потом пинается xl2tpd он поднимает тунель и пинает pppd который авторизует, т.е. по сути chap/mschapv2 и обязательное/необязательное роли не играет т.к. пароли летят уже по шифрованному тунелю(якобы). Но после многодневных чтений мануалов у меня закрались сомнения что: у меня нихера не секурно, а так же соединение можно поднять и без ipsec, что как бы неправильно. С почтением прошу людей секущих фишку вразумить дабы понять что я делаю не так и в чем не прав. Челом бью.
Ответить \| Правка \| Cообщить модератору

Оглавление

OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2, Loly, 12:05 , 02-Апр-13, (1)

OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2, hellion, 12:55 , 02-Апр-13, (2)

OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2, Loly, 11:42 , 03-Апр-13, (3)

OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2, hellion, 11:44 , 03-Апр-13, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2" +/–

Сообщение от Loly on 02-Апр-13, 12:05

Для просветления:
A. https://libreswan.org/ (https://download.libreswan.org/libreswan-3.1.tar.gz)
B. https://github.com/xelerance/Openswan/wiki/L2tp-ipsec-config...

> xl2tpd -D
Это стандартный вывод, ничего особенного.
x2ltpd.conf - Уберите в [global]:
ipsec saref = yes

options.x2ltpd:
nodeflate
require-mppe-128
require-mschap-v2
lock
auth
nobsdcomp
novj
novjccomp
proxyarp
crtscts
modem
ipcp-accept-local
ipcp-accept-remote
plugin /usr/lib/pppd/2.4.5/radius.so
plugin /usr/lib/pppd/2.4.5/radattr.so
nodefaultroute
debug

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2" +/–

Сообщение от hellion (ok) on 02-Апр-13, 12:55

>[оверквотинг удален]
> novjccomp
> proxyarp
> crtscts
> modem
> ipcp-accept-local
> ipcp-accept-remote
> plugin /usr/lib/pppd/2.4.5/radius.so
> plugin /usr/lib/pppd/2.4.5/radattr.so
> nodefaultroute
> debug
Почему убрать dns? Если ставить auth, сам впн сервер просит представиться, и начинает искать в chap/pap-secrets что мне в принципе не надо. Так проверял, результат тот же.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2" +/–

Сообщение от Loly on 03-Апр-13, 11:42

>>[оверквотинг удален]
Кратко - настройте для начала через файл chap-secrets что бы работало, дальше прикручивайте радиус.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2" +/–

Сообщение от hellion (ok) on 03-Апр-13, 11:44

>>>[оверквотинг удален]
> Кратко - настройте для начала через файл chap-secrets что бы работало, дальше
> прикручивайте радиус.
через файл делал, работает.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"	+/–
Сообщение от Loly on 02-Апр-13, 12:05
Для просветления: A. https://libreswan.org/ (https://download.libreswan.org/libreswan-3.1.tar.gz) B. https://github.com/xelerance/Openswan/wiki/L2tp-ipsec-config... > xl2tpd -D Это стандартный вывод, ничего особенного. x2ltpd.conf - Уберите в [global]: ipsec saref = yes options.x2ltpd: nodeflate require-mppe-128 require-mschap-v2 lock auth nobsdcomp novj novjccomp proxyarp crtscts modem ipcp-accept-local ipcp-accept-remote plugin /usr/lib/pppd/2.4.5/radius.so plugin /usr/lib/pppd/2.4.5/radattr.so nodefaultroute debug
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"	+/–
	Сообщение от hellion (ok) on 02-Апр-13, 12:55
	>[оверквотинг удален] > novjccomp > proxyarp > crtscts > modem > ipcp-accept-local > ipcp-accept-remote > plugin /usr/lib/pppd/2.4.5/radius.so > plugin /usr/lib/pppd/2.4.5/radattr.so > nodefaultroute > debug Почему убрать dns? Если ставить auth, сам впн сервер просит представиться, и начинает искать в chap/pap-secrets что мне в принципе не надо. Так проверял, результат тот же.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"	+/–
	Сообщение от Loly on 03-Апр-13, 11:42
	>>[оверквотинг удален] Кратко - настройте для начала через файл chap-secrets что бы работало, дальше прикручивайте радиус.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"	+/–
	Сообщение от hellion (ok) on 03-Апр-13, 11:44
	>>>[оверквотинг удален] > Кратко - настройте для начала через файл chap-secrets что бы работало, дальше > прикручивайте радиус. через файл делал, работает.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору