The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 11-Мрт-05, 10:35 
Добрый день.
Возникла необходимость пускать людей в сеть через VPN который решили поднять на Cisco, при этом, что бы канал шифровался. На cisco.com написано что бы все заработало надо чтобы Radius сервер которым как я понимаю в Windows является IAS отдавал Framed-Protocol = PPP MS-CHAP-MPPE-Keys Service-Type = Framed вот в чем проблема не могу найти в IAS MS-CHAP-MPPE-Keys и вообще возможно ли сделать VPN на Cisco с авторизацией на IAS и шифрованием mppe 128. Если делать без IAS то есть локальная база имен паролей на Cisco то проблем с шифрацией нет.
Заранее благодарю за любую помощь.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от kir (??) on 11-Мрт-05, 12:23 
думаю если IAS неумеет отдать этот атрибут - значит ничего не получиться
воспользуйьесб другим radius serervom
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 11-Мрт-05, 12:29 
>думаю если IAS неумеет отдать этот атрибут - значит ничего не получиться
>
> воспользуйьесб другим radius serervom

не можете ли вы подсказать альтернативный RADIUS server который может отдавать этот параметр

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 11-Мрт-05, 17:02 
Поставил Steel-Belted Radius там есть такой параметр но все равно не работает. Может секрет есть какой.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от toor99 email(ok) on 12-Мрт-05, 10:04 
>Добрый день.
>Возникла необходимость пускать людей в сеть через VPN который решили поднять на
>Cisco, при этом, что бы канал шифровался. На cisco.com написано что
>бы все заработало надо чтобы Radius сервер которым как я понимаю
>в Windows является IAS отдавал Framed-Protocol = PPP MS-CHAP-MPPE-Keys Service-Type =
>Framed вот в чем проблема не могу найти в IAS MS-CHAP-MPPE-Keys

Вообще-то, должен быть.
"MPPE Encryption Keys
Encryption settings are configured on the Encryption tab of a remote access policy profile. Based on the settings, IAS returns the MS-MPPE-Encryption-Policy (RFC 2548, section 2.4.4) and MS-MPPE-Encryption-Types (RFC 2548, section 2.4.5) attributes. The access server should verify the values of the MS-MPPE-Encryption-Policy and MS-MPPE-Encryption-Types attributes with the settings of the configured encryption policy.
If the authentication protocol is MS-CHAP, the MS-CHAP-MPPE-Keys (RFC 2548, section 2.4.1) attribute is returned. The contents of the NT-Key sub-field of the MS-CHAP-MPPE-Keys attribute is incorrectly described in RFC 2548. Instead of the NtPasswordHash() function, use the HashNtPasswordHash() function to calculate the contents of the NT-Key sub-field. Both the NtPasswordHash() and HashNtPasswordHash() functions are described in RFC 2759. The MS-CHAP-MPPE-Keys attribute is encrypted using the same mechanism that is used to protect the User-Password attribute (RFC 2865)."
http://download.microsoft.com/download/a/4/6/a46193b8-4c6f-416b-a1d7-7366517f820a/IASVendorInterop.doc


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 14-Мрт-05, 11:50 
Добрый день.
Насколько я понял если Cisco работает по RFC 2548 то "sub-field of the MS-CHAP-MPPE-Keys attribute is incorrectly described in RFC 2548". Или я что то не правильно понял.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от toor99 email(ok) on 14-Мрт-05, 12:00 
>Добрый день.
>Насколько я понял если Cisco работает по RFC 2548 то "sub-field of
>the MS-CHAP-MPPE-Keys attribute is incorrectly described in RFC 2548". Или я
>что то не правильно понял.

Нет, все правильно, но это же документ для программистов. И, во всяком случае, явно следует что такой атрибут там, по крайней мере, есть.
А вообще да, меня это тоже позабавило. RFC идет не в ногу с Майкрософт, значит тем хуже для RFC :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от xRAMx on 14-Мрт-05, 12:26 
Критично что с шифрованием mppe 128 ?
VPN-клиент обязательно от MS?
Cisco VPN-клиент/IPSec + IAS. Авторизация аккаунтов в домене.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 14-Мрт-05, 12:30 
>Критично что с шифрованием mppe 128 ?
В принципе нет, так как 40 или 56 лучше чем ничего
>VPN-клиент обязательно от MS?
Не обязательно но желательно
>Cisco VPN-клиент/IPSec + IAS. Авторизация аккаунтов в домене.
Вот IPSec не хотелось бы
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 14-Мрт-05, 12:33 
Вот еще что в логах Cisco выловил

12w2d:  Vi3  CCP:  MPPC  Option  asks  for  neither  compression  nor  encryption
12w2d:  Vi3  MPPE:  Required  encryption  not  negotiated

Если это чем то поможет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от xRAMx on 14-Мрт-05, 15:11 
Посмотрите здесь:
http://www.cisco.com/en/US/tech/tk801/tk703/technologies_configuration_example09186a008009485e.shtml
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 14-Мрт-05, 16:20 
>Посмотрите здесь:
>http://www.cisco.com/en/US/tech/tk801/tk703/technologies_configuration_example09186a008009485e.shtml

У меня все так же и настоенно если только надо обязательно чтобы записи на Cisco совпадали с записями на RADIUS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от xRAMx on 14-Мрт-05, 17:04 
В примере
ppp encrypt mppe 40
ppp authentication ms-chap

Как у Вас настроено?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от EvgenyS email(ok) on 14-Мрт-05, 17:11 
Так работало когда база пользователей была локально сейчас так же
ppp  encrypt  mppe  128  required
ppp authentication ms-chap-v2

Пробовал менять как в примере тоже самое

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от mousemaster email on 17-Янв-07, 03:54 
про Steel-Belted radius и про другие тоже,
нужно в Return-list прописать: MS-CHAP-MPPE Keys и MS-CHAP-MPPE-Types=128Bit

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Как сделать на Cisco VPN с авторизацией на IAS и MPPE encryp..."  
Сообщение от Guest (??) on 17-Фев-07, 14:33 
>про Steel-Belted radius и про другие тоже,
>нужно в Return-list прописать: MS-CHAP-MPPE Keys и MS-CHAP-MPPE-Types=128Bit
а можно подробнее? Вылез тот же трабл. В Cisco-AV-Pair писать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру