The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"cisco +  + mppe"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"cisco +  + mppe"  +/
Сообщение от chocholl email(??) on 04-Авг-07, 13:45 
добрый день уважаемые.
есть nas (cisco 1841), туда по pptp коннектяться люди.

конфиг такой...
vpdn enable
vpdn ip udp ignore checksum

vpdn-group 1
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip access-group 101 in
no ip proxy-arp
rate-limit input 192000 2000 4000 conform-action transmit exceed-action drop
rate-limit output 192000 2000 4000 conform-action transmit exceed-action drop
ip mroute-cache
peer default ip address pool lpool
ppp encrypt mppe auto
ppp authentication ms-chap


решил посадить этих людей в радиус, сделал вот, что
на 1841:
aaa authentication ppp default group radius

на радиусе (для примера):
test     Auth-Type = Accept, Simultaneous-Use = 10
         Service-Type = Framed-User,
         Framed-Protocol = PPP,
         MS-MPPE-Encryption-Policy = Encryption-Required

после чего никак не удаеться подконнектиться с mppe, клиент говорит, что нет согласия в выборе протоколов шифрования.

в логах циски вот что:
*Aug  4 09:57:24.296: ppp277 PPP: Using vpn set call direction
*Aug  4 09:57:24.296: ppp277 PPP: Treating connection as a callin
*Aug  4 09:57:24.296: ppp277 PPP: Session handle[D9000286] Session id[277]
*Aug  4 09:57:24.316: ppp277 PPP: Authorization required
*Aug  4 09:57:24.320: ppp277 MS-CHAP: O CHALLENGE id 1 len 27 from "router_name"
*Aug  4 09:57:24.328: ppp277 MS-CHAP: I RESPONSE id 1 len 60 from "test"
*Aug  4 09:57:24.328: ppp277 PPP: Sent MSCHAP LOGIN Request
*Aug  4 09:57:24.328: RADIUS/ENCODE(00000188):Orig. component type = VPDN
*Aug  4 09:57:24.328: RADIUS:  AAA Unsupported Attr: interface         [157] 15
*Aug  4 09:57:24.328: RADIUS:   55 6E 69 71 2D 53 65 73 73 2D 49 44 32           [Uniq-Sess-ID2]
*Aug  4 09:57:24.328: RADIUS(00000188): Config NAS IP: 0.0.0.0
*Aug  4 09:57:24.328: RADIUS/ENCODE(00000188): acct_session_id: 427
*Aug  4 09:57:24.328: RADIUS(00000188): sending
*Aug  4 09:57:24.328: RADIUS/ENCODE: Best Local IP-Address x.x.x.x for Radius-Server y.y.y.y
*Aug  4 09:57:24.328: RADIUS(00000188): Send Access-Request to y.y.y.y:1812 id 1645/172, len 149
*Aug  4 09:57:24.328: RADIUS:  authenticator 20 18 D3 F6 C8 05 49 5A - 00 00 00 00 00 00 00 00
*Aug  4 09:57:24.328: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Aug  4 09:57:24.328: RADIUS:  User-Name           [1]   8   "test"
*Aug  4 09:57:24.332: RADIUS:  Vendor, Microsoft   [26]  16
*Aug  4 09:57:24.332: RADIUS:   MSCHAP_Challenge   [11]  10
*Aug  4 09:57:24.332: RADIUS:   20 18 D3 F6 C8 05 49 5A                          [ ?????IZ]
*Aug  4 09:57:24.332: RADIUS:  Vendor, Microsoft   [26]  58
*Aug  4 09:57:24.332: RADIUS:   MS-CHAP-Response   [1]   52  *
*Aug  4 09:57:24.332: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Aug  4 09:57:24.332: RADIUS:  NAS-Port            [5]   6   277
*Aug  4 09:57:24.332: RADIUS:  NAS-Port-Id         [87]  17  "Uniq-Sess-ID277"
*Aug  4 09:57:24.332: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Aug  4 09:57:24.332: RADIUS:  NAS-IP-Address      [4]   6   x.x.x.x
*Aug  4 09:57:24.336: RADIUS: Received from id 1645/172 y.y.y.y:1812, Access-Accept, len 59
*Aug  4 09:57:24.336: RADIUS:  authenticator 65 26 B2 4C 19 61 7E 6E - 7A C9 E6 B6 1B A1 9E 05
*Aug  4 09:57:24.336: RADIUS:  Service-Type        [6]   6   Framed                    [2]
*Aug  4 09:57:24.336: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
*Aug  4 09:57:24.336: RADIUS:  Vendor, Microsoft   [26]  27
*Aug  4 09:57:24.336: RADIUS:   MS-MPPE-Enc-Policy [7]   21
*Aug  4 09:57:24.336: RADIUS:   45 6E 63 72 79 70 74 69 6F 6E 2D 52 65 71 75 69  [Encryption-Requi]
*Aug  4 09:57:24.336: RADIUS:   72 65 64                                         [red]
*Aug  4 09:57:24.336: RADIUS(00000188): Received from id 1645/172
*Aug  4 09:57:24.336: ppp277 PPP: Received LOGIN Response PASS
*Aug  4 09:57:24.408: Vi4 Tnl/Sn 276/274 PPTP: Virtual interface created for unknown, bandwidth 100000 Kbps
*Aug  4 09:57:24.408: Vi4 Tnl/Sn 276/274 PPTP: VPDN session up
*Aug  4 09:57:24.412: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to up
*Aug  4 09:57:24.412: Vi4 MS-CHAP: O SUCCESS id 1 len 4
*Aug  4 09:57:26.156: Vi4 VPDN: Reseting interface
*Aug  4 09:57:27.412: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to down


т.е. аттрибут MS-MPPE-Encryption-Policy до циски честно доходит.
то же самое, если в радиусе добавляю MS-MPPE-Encryption-Type (с разными вариантами), в логах его видно, но согласования не происходит.

в качестве радиуса пробовал и gnuradius и freeradius, ситуация, абсолютно одинаковая.

подскажите, что и где нужно сказать, чтобы снова заработал mppe.
спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • cisco +  + mppe, chocholl, 13:56 , 04-Авг-07, (1)  
    • cisco +  + mppe, Vaso Petrovich, 16:58 , 04-Авг-07, (4)  
  • cisco +  + mppe, Vaso Petrovich, 14:02 , 04-Авг-07, (2)  
    • cisco +  + mppe, chocholl, 14:29 , 04-Авг-07, (3)  
      • cisco +  + mppe, Kostya Nikonenko, 19:06 , 25-Июн-09, (5)  

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco +  + mppe"  +/
Сообщение от chocholl email(??) on 04-Авг-07, 13:56 
вот сделал
debug ppp error

в логах вот что
*Aug  4 10:12:17.511: Vi3 MPPE: Required encryption not negotiated

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "cisco +  + mppe"  +/
Сообщение от Vaso Petrovich on 04-Авг-07, 16:58 
>вот сделал
>debug ppp error
>
>в логах вот что
>*Aug  4 10:12:17.511: Vi3 MPPE: Required encryption not negotiated

судя по этому логу, клиент не подерживает MPPE, поэтому не происходит соединение...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "cisco +  + mppe"  +/
Сообщение от Vaso Petrovich on 04-Авг-07, 14:02 
чтобы заработал MPPE, нужно MSCHAP2 юзать, а не MSCHAP
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "cisco +  + mppe"  +/
Сообщение от chocholl email(??) on 04-Авг-07, 14:29 
>чтобы заработал MPPE, нужно MSCHAP2 юзать, а не MSCHAP

я пробовал убирать все, кроме MSCHAPV2, но ситуации это не меняет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "cisco +  + mppe"  +/
Сообщение от Kostya Nikonenko on 25-Июн-09, 19:06 
>>чтобы заработал MPPE, нужно MSCHAP2 юзать, а не MSCHAP
>
>я пробовал убирать все, кроме MSCHAPV2, но ситуации это не меняет.

заменить все строки ааа на

aaa authentication login default local group radius
aaa authentication ppp default local group radius
aaa authorization network default local group radius
aaa authorization auth-proxy default group radius

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру