The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (VPN, IPSec / Linux)
Изначальное сообщение [ Отслеживать ]

"OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"  +/
Сообщение от hellion email(ok) on 02-Апр-13, 09:33 
Господа прошу помощи!

Задача: настроить vpn для клиентов которые подключаются из интернетов, и смогут получить доступ к локальной сети компании (MS AD, т.е. подключаются используюя доменные логин пароль) Для этого поднят впн сервер, находится он за 2 натами, с этим проблем нет - простреливает. Пакеты openswan (2.6.38), xl2tpd (1.3.1-r2) и pppd (2.4.5-r3), все из портежа самые свежие.
Код:
Linux vpn03 3.8.4-gentoo #6 SMP Wed Mar 27 19:53:13 KRAT 2013 i686 Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz GenuineIntel GNU/Linux


Вот конфиги:


options.x2ltpd   http://pastebin.com/f6U2UgvE
x2ltpd.conf      http://pastebin.com/Mv0KYY9w
ipsec.conf       http://pastebin.com/WDCk3HWK

настройки /etc/ppp/radiusclient.conf приводить не буду там все тривиально. nat на машине настроен. IPsec verify везде говорит что все ок.

xl2tpd -D дает такую инфу:
Код:

xl2tpd[7084]: Enabling IPsec SAref processing for L2TP transport mode SAs
xl2tpd[7084]: IPsec SAref does not work with L2TP kernel mode yet, enabling forceuserspace=yes
xl2tpd[7084]: setsockopt recvref[30]: Protocol not available
xl2tpd[7084]: Using l2tp kernel support.
xl2tpd[7084]: consider_pidfile: There's already a xl2tpd server running.


Как я выяснил эти модули подгружать не стоит, тогда вообще работать ничего не будет. Тем не менее попробовать их загрузить не смог - в ядре их попросту нет или называются они как то по другому. Кстати о ядре. Большинство нужных вещей собраны модулями, на список нужных ориентировался по этому . Теперь собственно проблема: в винде(7/8) предварительно поправив ключ в реестре создаю подключение, выставляю обязательно шифрование и использование ms-chap-v2. Не подключается, если ставишь необязательное шифрование и chap - подключается. Политика на радиус сервере разрешает оба способа подключения.

Итак логи когда отлупливает:

/var/log/auth.log   http://pastebin.com/sMQgTjPx
/var/log/debug      http://pastebin.com/jbMUKeEF

Видно что проблема где то между xl2tpd и pppd. Сам ipsec думаю не при чем. Вообще суть работы всей этой шняги я понимаю так: клиент стучит на порт 4500 серверу, просыпается pluto они обмениваются ключами, потом пинается xl2tpd он поднимает тунель и пинает pppd который авторизует, т.е. по сути chap/mschapv2 и обязательное/необязательное роли не играет т.к. пароли летят уже по шифрованному тунелю(якобы). Но после многодневных чтений мануалов у меня закрались сомнения что: у меня нихера не секурно, а так же соединение можно поднять и без ipsec, что как бы неправильно.

С почтением прошу людей секущих фишку вразумить дабы понять что я делаю не так и в чем не прав. Челом бью.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"  +/
Сообщение от Loly on 02-Апр-13, 12:05 
Для просветления:
A. https://libreswan.org/ (https://download.libreswan.org/libreswan-3.1.tar.gz)
B. https://github.com/xelerance/Openswan/wiki/L2tp-ipsec-config...


> xl2tpd -D

Это стандартный вывод, ничего особенного.

x2ltpd.conf - Уберите в [global]:
ipsec saref = yes


options.x2ltpd:

nodeflate
require-mppe-128
require-mschap-v2
lock
auth
nobsdcomp
novj
novjccomp
proxyarp
crtscts
modem
ipcp-accept-local
ipcp-accept-remote
plugin /usr/lib/pppd/2.4.5/radius.so
plugin /usr/lib/pppd/2.4.5/radattr.so
nodefaultroute
debug

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"  +/
Сообщение от hellion email(ok) on 02-Апр-13, 12:55 
>[оверквотинг удален]
> novjccomp
> proxyarp
> crtscts
> modem
> ipcp-accept-local
> ipcp-accept-remote
> plugin /usr/lib/pppd/2.4.5/radius.so
> plugin /usr/lib/pppd/2.4.5/radattr.so
> nodefaultroute
> debug

Почему убрать dns? Если ставить auth, сам впн сервер просит представиться, и начинает искать в chap/pap-secrets что мне в принципе не надо. Так проверял, результат тот же.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"  +/
Сообщение от Loly on 03-Апр-13, 11:42 
>>[оверквотинг удален]

Кратко - настройте для начала через файл chap-secrets что бы работало, дальше прикручивайте радиус.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "OpenS/Wan xl2tpd ipsec авторизация ms-chap-v2"  +/
Сообщение от hellion email(ok) on 03-Апр-13, 11:44 
>>>[оверквотинг удален]
> Кратко - настройте для начала через файл chap-secrets что бы работало, дальше
> прикручивайте радиус.

через файл делал, работает.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor