Frozen Fido : RU.UNIX.BSD : mpd4 + pptp + eap

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene M. Zheganin                   2:5054/37.63   19 Jul 2007  17:39:58
 To : All
 Subject : mpd4 + pptp + eap
 --------------------------------------------------------------------------------

 
 Использую mpd4.2.2 в качестве vpn-сервера для pptp.
 Авторизация на freeradius (ну или пробовал на IAS). Оба настроены на eap, к ним 
 в продакшене цепляются wifi ap и прочие железяки по eap-tls (я считаю свою
 радиусную инсталляцию рабочей). Для проверки я цеплял к этому же радиусу кошку
 2821 по eap-tls на этот же eap. Врать не буду - клиент от кошки у меня отцепился
 со знаменитой 742 (не поднялось mppe), но сама аутентификация там прошла успешно
 (показало сертификат на клиенте и перешло в стадию получения адресов).
 
 Ради интереса попробовал настроить eap-tls через mpd4.
 
 Конфиги ниже, сначала вопрос.
 Пускает таким образом не всегда (хотя по ms-chap-v2/chap/pap - как из пушки),
 пускает один раз из трех.
 Судя по логам, валится что-то в области аутентификации до радиуса, до посылки
 Access-Accept.
 Хотелось бы, конечно, чтобы работало стабильно (иногда же работает).
 
 В логах вот это:
 
 Jul 19 17:03:16 ns mpd: [pptp0] EAP-RADIUS: Identity:emz@norma.com
 Jul 19 17:03:16 ns mpd: [pptp0] AUTH: Auth-Thread started
 Jul 19 17:03:16 ns mpd: [pptp0] RADIUS: rec'd RAD_ACCESS_CHALLENGE for user
 emz@norma.com
 Jul 19 17:03:16 ns mpd: [pptp0] RADIUS: RadiusGetParams: RAD_MESSAGE_AUTHENTIC
 Jul 19 17:03:16 ns mpd: [pptp0] AUTH: Auth-Thread finished normally
 Jul 19 17:03:16 ns mpd: [pptp0] EAP-RADIUS: RadiusEapProxyFinish: status
 undefined
 Jul 19 17:03:16 ns mpd: [pptp0] EAP-RADIUS: send  REQUEST  Type TLS #2 len:6
 Jul 19 17:03:16 ns mpd: [pptp0] EAP: rec'd RESPONSE Type TLS #2 len:76
 Jul 19 17:03:16 ns mpd: [pptp0] AUTH: Auth-Thread started
 Jul 19 17:03:16 ns mpd: [pptp0] RADIUS: rec'd RAD_ACCESS_CHALLENGE for user
 emz@norma.com
 Jul 19 17:03:16 ns mpd: [pptp0] RADIUS: RadiusGetParams: RAD_MESSAGE_AUTHENTIC
 Jul 19 17:03:16 ns mpd: [pptp0] AUTH: Auth-Thread finished normally
 Jul 19 17:03:16 ns mpd: [pptp0] EAP-RADIUS: RadiusEapProxyFinish: status
 undefined
 Jul 19 17:03:16 ns mpd: [pptp0] EAP-RADIUS: send  REQUEST  Type TLS #3 len:1496
 Jul 19 17:03:16 ns mpd: [pptp0] error writing len 1500 frame to bypass: Message 
 too long
 Jul 19 17:03:18 ns mpd: [pptp0] EAP-RADIUS: send  REQUEST  Type TLS #3 len:1496
 Jul 19 17:03:18 ns mpd: [pptp0] error writing len 1500 frame to bypass: Message 
 too long
 Jul 19 17:03:20 ns mpd: [pptp0] EAP-RADIUS: send  REQUEST  Type TLS #3 len:1496
 Jul 19 17:03:20 ns mpd: [pptp0] error writing len 1500 frame to bypass: Message 
 too long
 
 (в этом месте я нажимаю Cancel, ибо повторяться это может долго)
 
 Jul 19 17:03:35 ns mpd: [pptp0] LCP: rec'd Terminate Request #4 (Opened)
 Jul 19 17:03:35 ns mpd: [pptp0] LCP: state change Opened --> Stopping
 Jul 19 17:03:35 ns mpd: [pptp0] AUTH: Cleanup
 Jul 19 17:03:35 ns mpd: [pptp0] LCP: SendTerminateAck #120
 Jul 19 17:03:35 ns mpd: [pptp0] LCP: LayerDown
 
 Иногад, впрочем, пускает.
 В конфигах пробовал менять mtu для интерфейса и для линка на 1460, не помогает.
 
 Конфиги в части важного:
 ===Cut===
 pptp_standart:
     set iface disable on-demand
     set bundle enable multilink
     set link yes acfcomp protocomp
 
     set link enable pap chap chap-msv2 eap
     set eap accept md5
     set eap enable radius-proxy
 
     set link keep-alive 60 180
     set ipcp yes vjcomp
 
     set ipcp dns 192.168.3.1
     set ipcp nbns 192.168.3.6
 
     set bundle enable compression
 
     set iface enable tcpmssfix
     set pptp disable delayed-ack
     set pptp disable windowing
 
     set pptp enable incoming
     set pptp disable originate
 
     set ccp yes mppc
     set ccp yes mpp-e40
     set ccp yes mpp-e56
     set ccp yes mpp-e128
     set ccp yes mpp-stateless
 
     set iface mtu 1460
     set link mtu 1460
 
     load radius
 
 radius:
     set radius server 127.0.0.1 OghyflodryttAbr
     set radius retries 3
     set radius timeout 3
     set radius me 192.168.3.1
     set auth enable radius-auth
     set auth acct-update 300
 ===Cut===
                                     Hа этом остаюсь искренне Ваш, Евгений.
 --- GoldED+/BSD 1.1.5-b20061116
  * Origin:  Если drook оказался vdrook (c)  (2:5054/37.63)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
mpd4 + pptp + eap	Eugene M. Zheganin	19 Jul 2007 17:39:58
Re: mpd4 + pptp + eap	Alexander Motin	23 Jul 2007 12:11:43

Архивное /ru.unix.bsd/3374469f4fc7.html, оценка 3 из 5, голосов 10