歡迎您光臨本站 註冊首頁

pptp+freeradius的vpn,xp自帶的vpn撥號程序只能用pap明文口令驗證,求教!

用windows xp自身的vpn撥號建立連接,只有在連接的「屬性」->「安全」->「高級」里設定唯一的「不加密的密碼pap」才能正確登錄,其他spap、eap、chap、mschap、mschap v2都不能登錄,而且radius的debug模式下,這幾種加密方式都有提示:
Login incorrect: (from client localhost port 0 cli 10.217.0.1)


radius的用戶用的是/etc/raddb/users配置文件的方式:
myuser        Auth-Type := Local, User-Password == "abc123"

其中Auth-Type指定維MSCHAP也依然是這樣
請各位大蝦指導小弟

這個是options.pptpd的配置
lock
#uncomment when testing:
#debug
name pptpd
proxyarp
asyncmap 0
require-pap
require-chap
require-mschap
require-eap
require-mschap-v2
lcp-echo-failure 30
lcp-echo-interval 5
ipcp-accept-local
ipcp-accept-remote
plugin radius.so
---------------------------


這是radius.conf:
prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
log_file = ${logdir}/radius.log
libdir = /usr/lib
pidfile = ${run_dir}/radiusd.pid
user = radiusd
group = radiusd
max_request_time = 30
delete_blocked_requests = no
cleanup_delay = 5
max_requests = 1024
bind_address = *
port = 0
hostname_lookups = no
allow_core_dumps = no
regular_expressions     = yes
extended_expressions    = yes
log_stripped_names = no
log_auth = yes
log_auth_badpass = yes
log_auth_goodpass = yes
usercollide = no
lower_user = no
lower_pass = no
nospace_user = no
nospace_pass = no
checkrad = ${sbindir}/checkrad
security {
        max_attributes = 200
        reject_delay = 1
        status_server = no
}
proxy_requests  = yes
$INCLUDE  ${confdir}/proxy.conf
$INCLUDE  ${confdir}/clients.conf
snmp    = no
$INCLUDE  ${confdir}/snmp.conf
thread pool {
        start_servers = 5
        max_servers = 32
        min_spare_servers = 3
        max_spare_servers = 10
        max_requests_per_server = 0
}
modules {
        pap {
                encryption_scheme = md5
                #encryption_scheme = clear
        }
        chap {
                authtype = CHAP
        }
        pam {
                pam_auth = radiusd
        }
        unix {
                cache = no
                cache_reload = 600
                shadow = /etc/shadow
                radwtmp = ${logdir}/radwtmp
        }
        $INCLUDE ${confdir}/eap.conf
        mschap {
                authtype = MS-CHAP
                use_mppe = yes
                require_encryption = yes
                require_strong = yes
        }
        ldap {
                server = "ldap.your.domain"
                basedn = "o=My Org,c=UA"
                filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
                start_tls = no
                access_attr = "dialupAccess"
                dictionary_mapping = ${raddbdir}/ldap.attrmap
                ldap_connections_number = 5
                timeout = 4
                timelimit = 3
                net_timeout = 1
        }
        realm IPASS {
                format = prefix
                delimiter = "/"
                ignore_default = no
                ignore_null = no
        }
        realm suffix {
                format = suffix
                delimiter = "@"
                ignore_default = no
                ignore_null = no
        }

        realm realmpercent {
                format = suffix
                delimiter = "%"
                ignore_default = no
                ignore_null = no
        }

        realm ntdomain {
                format = prefix
                delimiter = "\\"
                ignore_default = no
                ignore_null = no
        }

        checkval {
                item-name = Calling-Station-Id
                check-name = Calling-Station-Id
                data-type = string
        }

        preprocess {
                huntgroups = ${confdir}/huntgroups
                hints = ${confdir}/hints
                with_ascend_hack = no
                ascend_channels_per_line = 23
                with_ntdomain_hack = no
                with_specialix_jetstream_hack = no
                with_cisco_vsa_hack = no
        }

        files {
                usersfile = ${confdir}/users
                acctusersfile = ${confdir}/acct_users
                compat = no
        }
        detail {
                detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d
        }
        detail auth_log {
                 detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
        }
        acct_unique {
                key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
        }

        $INCLUDE  ${confdir}/sql.conf
        radutmp {
                filename = ${logdir}/radutmp
                username = %{User-Name}
                case_sensitive = yes
                check_with_nas = yes
                perm = 0600
                callerid = "yes"
        }

        radutmp sradutmp {
                filename = ${logdir}/sradutmp
                perm = 0644
                callerid = "no"
        }
        attr_filter {
                attrsfile = ${confdir}/attrs
        }
        counter daily {
                filename = ${raddbdir}/db.daily
                key = User-Name
                count-attribute = Acct-Session-Time
                reset = daily
                counter-name = Daily-Session-Time
                check-name = Max-Daily-Session
                allowed-servicetype = Framed-User
                cache-size = 5000
        }
        always fail {
                rcode = fail
        }
        always reject {
                rcode = reject
        }
        always ok {
                rcode = ok
                simulcount = 0
                mpp = no
        }
        expr {
        }
        digest {
        }
        exec {
                wait = yes
                input_pairs = request
        }
        exec echo {
                wait = yes
                program = "/bin/echo %{User-Name}"
                input_pairs = request
                output_pairs = reply
        }
        ippool main_pool {
                range-start = 192.168.1.1
                range-stop = 192.168.3.254
                netmask = 255.255.255.0
                cache-size = 800
                session-db = ${raddbdir}/db.ippool
                ip-index = ${raddbdir}/db.ipindex
                override = no
                maximum-timeout = 0
        }
}
instantiate {
        exec
        expr
}

#  Authorization. First preprocess (hints and huntgroups files),
authorize {
        preprocess
        auth_log
        attr_filter
        suffix
        eap
        files
        #chap
        #mschap
}

#  Authentication.
authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        unix
        #eap
        #mschap
        pap
}

preacct {
        preprocess
        acct_unique
        suffix
        files
}

accounting {
        detail
        unix
        radutmp
}

session {
        radutmp
}

post-auth {

}
pre-proxy {
}
post-proxy {
        eap
}
《解決方案》

我不熟悉,期待其他熱心網友來解答你的問題
《解決方案》

急切盼望有哪位大蝦能幫忙指導啊,也謝謝版主
《解決方案》

怎麼會沒有mppe
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
《解決方案》

加上了這個:
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
require-mppe-128
--------------------------------------
還是老樣子,只要我吧vpn撥號指定使用非明文pap的,radius.log裡面就會有這樣的記錄:
Login incorrect: (from client localhost port 0 cli 10.217.0.1)

對應的/var/log/messages裡面:
Mar  1 16:10:41 sina pptpd: CTRL: Client 10.217.15.177 control connection started
Mar  1 16:10:41 sina pptpd: CTRL: Starting call (launching pppd, opening GRE)
Mar  1 16:10:41 sina pppd: Plugin radius.so loaded.
Mar  1 16:10:41 sina pppd: RADIUS plugin initialized.
Mar  1 16:10:41 sina pppd: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Mar  1 16:10:41 sina pppd: pppd 2.4.3 started by root, uid 0
Mar  1 16:10:41 sina pppd: Using interface ppp0
Mar  1 16:10:41 sina pppd: Connect: ppp0 <--> /dev/pts/2
Mar  1 16:10:41 sina pptpd: GRE: Bad checksum from pppd.
Mar  1 16:10:44 sina pptpd: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Mar  1 16:10:44 sina pppd: rc_avpair_new: unknown attribute 11
Mar  1 16:10:44 sina pppd: rc_avpair_new: unknown attribute 25
Mar  1 16:10:54 sina pppd: Peer chenyang failed CHAP authentication
Mar  1 16:10:54 sina pppd: Connection terminated.
Mar  1 16:10:54 sina pppd: Exit.
Mar  1 16:10:54 sina pptpd: CTRL: Client 10.217.15.177 control connection finished
《解決方案》

不用radius,pptpd能夠加密連接嗎?千萬不要是你的內核不支持mppe。
《解決方案》

直接用pptp可以mppe加密認證通過,在chap-secrets里配置的
《解決方案》

lsmod結果里也包含mppe模塊:
ppp_deflate             5953  0
zlib_deflate           20825  1 ppp_deflate
ppp_mppe               13824  0
ppp_async              12353  0
crc_ccitt               2241  1 ppp_async
ppp_generic            34708  3 ppp_deflate,ppp_mppe,ppp_async
《解決方案》

require-mppe-128是傳輸的數據加密
pptp只能使用名文或ntpassword(微軟nt密碼)
《解決方案》

小弟希望用pptp+radius認證的時候,xp客戶端撥號能用mschap-v2的方式進行認證,懇請大家幫忙

[火星人 ] pptp+freeradius的vpn,xp自帶的vpn撥號程序只能用pap明文口令驗證,求教!已經有929次圍觀

http://coctec.com/docs/service/show-post-29046.html