MPD 5.0b1 + FreeRADIUS Version 1.1.7 ошибка 734

[paradox]

mschapv1.txt

Код: Выделить всё

#U
#Ubob	User-Password == "bob"
#U
User-Name = "bob", MS-CHAP-Challenge = 0xb9634adc358b2ab3, MS-CHAP-Response = 0xb9010000000000000000000000000000000000000000000000007a42408782f745ef90a86fd21b0d9294132750f4af66a419
#R
#Rrad_recv: Access-Accept packet
#R	MS-CHAP-MPPE-Keys = 0x4318b176c3d8e3de9a936faf344359a0f1e3c9b5585b9f1f0000000000000000
#R	MS-MPPE-Encryption-Policy = 0x00000001
#R	MS-MPPE-Encryption-Types = 0x00000006

rad_chapmsv2.txt

Код: Выделить всё

#!/bin/sh

server=1.1.1.1
secrets=key

name=vpn
chal=0xa08113aabed1720069da7a3bdfd656bb
resp=0x233644bcbf82f8ceaf2f90f6e1cf16a70000000000000000aeb2709fd2583d3a9609a5c10d33dfe2eb82fc19b36125e204


(
echo "User-Name = \"$name\""
echo "MS-CHAP-Challenge = \"$chal\""
echo "MS-CHAP2-Response =\"$resp\""
echo "Service-Type = \"Framed-User\""
) | radclient ${server} auth ${secrets}

сами разберетесь откуда взять челенж и респонз?)

а айпи естесно у тебя незначаеться
в mpd похоже все нормально...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[pawko]

сами разберетесь откуда взять челенж и респонз?)

Ги)) а можете написать? На разбирание уйдет много времени.. за патчи большое спасибо...
И можете написать как ими пользоваться... чтобы не глупил по началу) У меня уже умственный ступор начался

[paradox]

ну..... ммм
даже незнаю как вам сказать)))

вы mpd в какой авторизации поднимаете?chapms v1 Или v2

[pawko]

ну.... по скольку в логах я v1 не встречал, значит v2

[paradox]

AUTHPROTO CHAP MSOFTv2

включаешь полный дебаг в mpd
и вылавливаешь оттуда челенж и ренспонсе
конструируешь свой скрипт кторый отпарвляет все это радиусу
и проверяешь с разными пакетами auth start stop acct start alive stop
и все


по ответах радиуса будем дальше смотреть...

[pawko]

по второму прошло...
вот результат исполнения скрипта и радиуса в дебаге

kvhoit02# sh rad_chapmsv2.txt
Received response ID 81, code 2, length = 272
Session-Timeout = 7400
MS-MPPE-Encryption-Types = 0x00000006
Framed-IP-Address = 10.0.16.130
Framed-IP-Netmask = 255.255.255.0
MS-CHAP2-Success = 0x01533d41323934384231414646334335424233303237464545373733303434433841463832363832314534
MS-MPPE-Encryption-Policy = 0x00000001
MS-CHAP2-Success = 0x01533d41323934384231414646334335424233303237464545373733303434433841463832363832314534
MS-MPPE-Recv-Key = 0x88ab31ceb25bfba6b73458ce6d6e5dec
MS-MPPE-Send-Key = 0x270cda629cd8b1a110bae745d84c6898
MS-MPPE-Encryption-Policy = 0x00000001
MS-MPPE-Encryption-Types = 0x00000006
kvhoit02#

Радиус вот что говорит -

rad_recv: Access-Request packet from host 127.0.0.1:64093, id=81, length=114
User-Name = "user"
MS-CHAP-Challenge = 0xbb1e68823fad0314d2c53e4f4fbd0554
MS-CHAP2-Response = 0x01000a6d1f18afebc721e1462b8bdfa59d6d00000000000000009f7c32b625c244009c347a346c746bf43df3488b1ef9ad40
Service-Type = Framed-User
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
modcall[authorize]: module "preprocess" returns ok for request 0
Exec-Program output: User-Password == "1234567890"
Exec-Program-Wait: value-pairs: User-Password == "1234567890"
Exec-Program: returned: 0
modcall[authorize]: module "pre_auth" returns ok for request 0
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 0
Using perl at 0x2040c136
User-Password == "1234567890"rlm_perl: Added pair Session-Timeout = 7400
rlm_perl: Added pair MS-MPPE-Encryption-Types = 0x00000006
rlm_perl: Added pair Framed-IP-Address = 10.0.16.130
rlm_perl: Added pair Framed-IP-Netmask = 255.255.255.0
rlm_perl: Added pair MS-CHAP2-SUCCESS = 0x01533d41323934384231414646334335424233303237464545373733303434433841463832363832314534
rlm_perl: Added pair MS-MPPE-Encryption-Policy = 0x00000001
rlm_perl: Added pair User-Password = 1234567890
rlm_perl: Added pair Auth-Type = MS-CHAP
modcall[authorize]: module "perl" returns ok for request 0
modcall: leaving group authorize (returns ok) for request 0
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 0
rlm_mschap: Told to do MS-CHAPv2 for user with NT-Password
rlm_mschap: adding MS-CHAPv2 MPPE keys
modcall[authenticate]: module "mschap" returns ok for request 0
modcall: leaving group MS-CHAP (returns ok) for request 0
Login OK: [user/<no User-Password attribute>] (from client 127.0.0.1 port 0)
Sending Access-Accept of id 81 to 127.0.0.1 port 64093
Session-Timeout = 7400
MS-MPPE-Encryption-Types = 0x00000006
Framed-IP-Address = 10.0.16.130
Framed-IP-Netmask = 255.255.255.0
MS-CHAP2-Success = 0x01533d41323934384231414646334335424233303237464545373733303434433841463832363832314534
MS-MPPE-Encryption-Policy = 0x00000001
MS-CHAP2-Success = 0x01533d41323934384231414646334335424233303237464545373733303434433841463832363832314534
MS-MPPE-Recv-Key = 0x88ab31ceb25bfba6b73458ce6d6e5dec
MS-MPPE-Send-Key = 0x270cda629cd8b1a110bae745d84c6898
MS-MPPE-Encryption-Policy = 0x00000001
MS-MPPE-Encryption-Types = 0x00000006
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 81 with timestamp 493e68c8
Nothing to do. Sleeping until we see a request.

При попытке протестить на V1 матюкаеться...

kvhoit02# sh mschapv1.txt
User-Name: not found

Вот сам файл...

Код: Выделить всё

#U
#Ubob   User-Password == "1234567890"
#U
User-Name = "user", User-Password == "1234567890", MS-CHAP-Challenge = 0xbb1e680f258a682e, MS-CHAP-Response = 0x010100000000000000000000000000000000000000000000000041d80c5e3cf058ca6731e521a3431f99cb0c2e6a5420faf6

#R
#rad_recv: Access-Request packet
 # MS-CHAP-MPPE-Keys = 0x0182bd0bd4444bf800ba26f010038b155b601b93e9bedb100000000000000000
 # MS-MPPE-Encryption-Policy = 0x00000001
 # MS-MPPE-Encryption-Types = 0x00000006

Какие будут предложения далее... как по мне на MS-CHAP2 все отрабатывает... или я не туда смотрю?

[paradox]

) | radclient ${server} auth ${secrets}

это была авторизация
теперть сделай acct
и поставь два разных пакета старт стоп и алив
и покажешь логи


зы
авторизация у тебя пашет нормально

[pawko]

вот сам файл rad_chapmsv2.txt

Код: Выделить всё

#!/bin/sh
server=127.0.0.1
secrets=radsecret

name=user
chal=0xbb1e68823fad0314d2c53e4f4fbd0554
resp=0x01000a6d1f18afebc721e1462b8bdfa59d6d00000000000000009f7c32b625c244009c347a346c746bf43df3488b1ef9ad40


(
echo "User-Name = \"$name\""
echo "MS-CHAP-Challenge = \"$chal\""
echo "MS-CHAP2-Response =\"$resp\""
echo "Service-Type = \"Framed-User\""
) | radclient ${server} [b]acct[/b] ${secrets}

и вывод радиуса в дебаге

Ready to process requests.
rad_recv: Accounting-Request packet from host 127.0.0.1:64546, id=76, length=114
User-Name = "user"
MS-CHAP-Challenge = 0xbb1e68823fad0314d2c53e4f4fbd0554
MS-CHAP2-Response = 0x01000a6d1f18afebc721e1462b8bdfa59d6d00000000000000009f7c32b625c244009c347a346c746bf43df3488b1ef9ad40
Service-Type = Framed-User
Processing the preacct section of radiusd.conf
modcall: entering group preacct for request 0
modcall[preacct]: module "preprocess" returns noop for request 0
rlm_acct_unique: WARNING: Attribute NAS-Port was not found in request, unique ID MAY be inconsistent
rlm_acct_unique: WARNING: Attribute Acct-Session-Id was not found in request, unique ID MAY be inconsistent
rlm_acct_unique: Hashing ',Client-IP-Address = 127.0.0.1,NAS-IP-Address = 127.0.0.1,,User-Name = "user"'
rlm_acct_unique: Acct-Unique-Session-ID = "d682e081eb40aaed".
modcall[preacct]: module "acct_unique" returns ok for request 0
modcall: leaving group preacct (returns ok) for request 0
Processing the accounting section of radiusd.conf
modcall: entering group accounting for request 0
Invalid Accounting Packet
modcall[accounting]: module "perl" returns invalid for request 0
modcall: leaving group accounting (returns invalid) for request 0
Finished request 0
Going to the next request
--- Walking the entire request list ---
Cleaning up request 0 ID 76 with timestamp 493fcefe
Nothing to do. Sleeping until we see a request.

получилось только с acct, а куда другие пакеты типа старт стоп и алив писать? Не понимаю... подскажи;) ткни пальцем

[paradox]

))
челенж респонз это в auth есть
в acct нет таких атрибутов
убирай их
там атрибут тип и он принимает параметры старт стоп алив

посмотри атрибуты в радиусе все
они описаны
там же и rfc есть

[pawko]

Я тупой!! В упор не могу наити описание атрибутов... уже все подставлял... а оно материться... вот все исходя из чего я конструирую скрипт
Вот сам скрипт, на данный момент и вывод радиуса

Код: Выделить всё

#!/bin/sh
server=127.0.0.1
secrets=radsecret

name=user
#chal=0xbb1e68823fad0314d2c53e4f4fbd0554
#resp=0x01000a6d1f18afebc721e1462b8bdfa59d6d00000000000000009f7c32b625c244009c347a346c746bf43df3488b1ef9ad40

Acct_Status_Type=start

(
echo "User-Name = \"$name\""
echo "MS-CHAP-Challenge = \"$chal\""
echo "MS-CHAP2-Response =\"$resp\""
echo "Service-Type = \"Framed-User\""
) | radclient ${server} acct ${secrets}

Радиус -

Ready to process requests.
rad_recv: Accounting-Request packet from host 127.0.0.1:54690, id=173, length=32
User-Name = "user"
Service-Type = Framed-User
Processing the preacct section of radiusd.conf
modcall: entering group preacct for request 0
modcall[preacct]: module "preprocess" returns noop for request 0
rlm_acct_unique: WARNING: Attribute NAS-Port was not found in request, unique ID MAY be inconsistent
rlm_acct_unique: WARNING: Attribute Acct-Session-Id was not found in request, unique ID MAY be inconsistent
rlm_acct_unique: Hashing ',Client-IP-Address = 127.0.0.1,NAS-IP-Address = 127.0.0.1,,User-Name = "user"'
rlm_acct_unique: Acct-Unique-Session-ID = "d682e081eb40aaed".
modcall[preacct]: module "acct_unique" returns ok for request 0
modcall: leaving group preacct (returns ok) for request 0
Processing the accounting section of radiusd.conf
modcall: entering group accounting for request 0
Invalid Accounting Packet
modcall[accounting]: module "perl" returns invalid for request 0
modcall: leaving group accounting (returns invalid) for request 0
Finished request 0
Going to the next request
--- Walking the entire request list ---
Cleaning up request 0 ID 173 with timestamp 493fe4de
Nothing to do. Sleeping until we see a request.

Пытался я сунуть в скрипт и эти "NAS_Port","Acct-Session-Id" результат не изменился
Помоги правильно сконструировать скрипт я уже действительно смотрю в книгу а вижу фи....
я уже включал полную зборку мпд+радиус, смотрел что они дрг-другу передают, тоесть радиус, потом пихал это в конфиг - результат "зеро"
Все что пишет радиус в "сборке"

rad_recv: Access-Request packet from host 127.0.0.1:53949, id=181, length=194
NAS-Identifier = "kvhoit02.delta.internal"
NAS-IP-Address = 127.0.0.1
Message-Authenticator = 0x54da6f669916df6536cf2b4a464ba5f2
NAS-Port = 1
NAS-Port-Type = Virtual
Service-Type = Framed-User
Framed-Protocol = PPP
Calling-Station-Id = "10.0.16.130"
User-Name = "user"
MS-CHAP-Challenge = 0xbb1e6834374343ef32b14c41dcd0f723
MS-CHAP2-Response = 0x0100f50485cb9672184157e981386ea605b30000000000000000df695bec76bccf9f1c184b494f1fd7261d19671ff9a719b0
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
modcall[authorize]: module "preprocess" returns ok for request 1
Exec-Program output: User-Password == "1234567890"
Exec-Program-Wait: value-pairs: User-Password == "1234567890"
Exec-Program: returned: 0
modcall[authorize]: module "pre_auth" returns ok for request 1
rlm_mschap: Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
modcall[authorize]: module "mschap" returns ok for request 1
Using perl at 0x2040c136
User-Password == "1234567890"rlm_perl: Added pair Session-Timeout = 7400
rlm_perl: Added pair MS-MPPE-Encryption-Types = 0x00000006
rlm_perl: Added pair Framed-IP-Address = 10.0.16.130
rlm_perl: Added pair Framed-IP-Netmask = 255.255.255.0
rlm_perl: Added pair MS-CHAP2-SUCCESS = 0x01533d42323944343532463130413536383043364334373346373035453032324439383339443145344345
rlm_perl: Added pair MS-MPPE-Encryption-Policy = 0x00000001
rlm_perl: Added pair User-Password = 1234567890
rlm_perl: Added pair Auth-Type = MS-CHAP
modcall[authorize]: module "perl" returns ok for request 1
modcall: leaving group authorize (returns ok) for request 1
rad_check_password: Found Auth-Type MS-CHAP
auth: type "MS-CHAP"
Processing the authenticate section of radiusd.conf
modcall: entering group MS-CHAP for request 1
rlm_mschap: Told to do MS-CHAPv2 for user with NT-Password
modcall[authenticate]: module "mschap" returns ok for request 1
modcall: leaving group MS-CHAP (returns ok) for request 1
Login OK: [user/<no User-Password attribute>] (from client 127.0.0.1 port 1 cli 10.0.16.130)
Sending Access-Accept of id 181 to 127.0.0.1 port 53949
Session-Timeout = 7400
MS-MPPE-Encryption-Types = 0x00000006
Framed-IP-Address = 10.0.16.130
Framed-IP-Netmask = 255.255.255.0
MS-CHAP2-Success = 0x01533d42323944343532463130413536383043364334373346373035453032324439383339443145344345
MS-MPPE-Encryption-Policy = 0x00000001
MS-CHAP2-Success = 0x01533d42323944343532463130413536383043364334373346373035453032324439383339443145344345
Finished request 1
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
rad_recv: Accounting-Request packet from host 127.0.0.1:62853, id=34, length=150
NAS-Identifier = "kvhoit02.delta.internal"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
Service-Type = Framed-User
Framed-Protocol = PPP
Calling-Station-Id = "10.0.16.130"
Acct-Status-Type = Start
Framed-IP-Address = 10.0.16.130
Framed-IP-Netmask = 255.255.255.0
User-Name = "user"
Acct-Session-Id = "8924505-L-1"
Acct-Multi-Session-Id = "8924505-B-1"
Acct-Link-Count = 1
Acct-Authentic = RADIUS
Processing the preacct section of radiusd.conf
modcall: entering group preacct for request 2
modcall[preacct]: module "preprocess" returns noop for request 2
rlm_acct_unique: Hashing 'NAS-Port = 1,Client-IP-Address = 127.0.0.1,NAS-IP-Address = 127.0.0.1,Acct-Session-Id = "8924505-L-1",User-Name = "user"'
rlm_acct_unique: Acct-Unique-Session-ID = "4d469da63775c2d5".
modcall[preacct]: module "acct_unique" returns ok for request 2
modcall: leaving group preacct (returns ok) for request 2
Processing the accounting section of radiusd.conf
modcall: entering group accounting for request 2
Using perl at 0x2040c136
modcall[accounting]: module "perl" returns ok for request 2
modcall: leaving group accounting (returns ok) for request 2
Sending Accounting-Response of id 34 to 127.0.0.1 port 62853
Finished request 2
Going to the next request
Cleaning up request 2 ID 34 with timestamp 493fe659
Waking up in 6 seconds...
rad_recv: Accounting-Request packet from host 127.0.0.1:59750, id=114, length=198
NAS-Identifier = "kvhoit02.delta.internal"
NAS-IP-Address = 127.0.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
Service-Type = Framed-User
Framed-Protocol = PPP
Calling-Station-Id = "10.0.16.130"
Framed-IP-Address = 10.0.16.130
Framed-IP-Netmask = 255.255.255.0
User-Name = "user"
Acct-Session-Id = "8924505-L-1"
Acct-Multi-Session-Id = "8924505-B-1"
Acct-Link-Count = 1
Acct-Authentic = RADIUS
Acct-Status-Type = Stop
Acct-Terminate-Cause = Service-Unavailable
Acct-Session-Time = 2
Acct-Input-Octets = 150
Acct-Input-Packets = 10
Acct-Output-Octets = 162
Acct-Output-Packets = 11
Acct-Input-Gigawords = 0
Acct-Output-Gigawords = 0
Processing the preacct section of radiusd.conf
modcall: entering group preacct for request 3
modcall[preacct]: module "preprocess" returns noop for request 3
rlm_acct_unique: Hashing 'NAS-Port = 1,Client-IP-Address = 127.0.0.1,NAS-IP-Address = 127.0.0.1,Acct-Session-Id = "8924505-L-1",User-Name = "user"'
rlm_acct_unique: Acct-Unique-Session-ID = "4d469da63775c2d5".
modcall[preacct]: module "acct_unique" returns ok for request 3
modcall: leaving group preacct (returns ok) for request 3
Processing the accounting section of radiusd.conf
modcall: entering group accounting for request 3
Using perl at 0x2040c136
modcall[accounting]: module "perl" returns ok for request 3
modcall: leaving group accounting (returns ok) for request 3
Sending Accounting-Response of id 114 to 127.0.0.1 port 59750
Finished request 3
Going to the next request
Cleaning up request 3 ID 114 with timestamp 493fe659
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 1 ID 181 with timestamp 493fe659
Nothing to do. Sleeping until we see a request.

[paradox]

нет
но ты на верном пути)

Acct_Status_Type=start
(
echo "User-Name = \"$name\""
echo "MS-CHAP-Challenge = \"$chal\""
echo "MS-CHAP2-Response =\"$resp\""

(
echo "Acct-Status-Type=\"Start\"

итд

токо там еще атрибуты должны быть
посмотри какие именно в аккаунт пакете идут

[dovidov]

Когда руками прописываю идрес, например 10.1.20.5 - все конектиться и держит линк...
Может это все же МПД шалит... но радиус тоже нужно проверить...
Сейчас буду копать в сторону МПД...

я конечно далеко не фряшник, но из данного поста следует что виноват именно мпд, смотрим блок в логах мпд где он завершил проверку параметров безопасности

Код: Выделить всё

Dec 3 16:23:39 kvhoit02 mpd: [B-1] using interface ng0
Dec 3 16:23:39 kvhoit02 mpd: [B-1] Bundle up: 1 link, total bandwidth 64000 bps
Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: Open event
Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: state change Initial --> Starting
Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: LayerStart
Dec 3 16:23:39 kvhoit02 mpd: [B-1] CCP: Open event
Dec 3 16:23:39 kvhoit02 mpd: [B-1] CCP: state change Initial --> Starting
Dec 3 16:23:39 kvhoit02 mpd: [B-1] CCP: LayerStart
Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: Up event
Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: state change Starting --> Req-Sent
Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: SendConfigReq #1

теперь смотрим bandl относящийся к этому участку в конфиге и обнаруживаем там

Код: Выделить всё

 set ipcp ranges 10.1.100.1/32 ippool pool1

следовательно если пошагово просмотреть выполняемые операции
то сразу после

Код: Выделить всё

Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: Up event

и непосредственно перед сменой статуса

Код: Выделить всё

Dec 3 16:23:39 kvhoit02 mpd: [B-1] IPCP: state change Starting --> Req-Sent

должно было произойти событие вот такого характера

Код: Выделить всё

Got IP ххх.ххх.ххх.ххх from pool "pool1"

потому когда ему подсовывают адрес он его глотает и не ругается, эта проблем уже вроде обсуждалась в форуме, тогда решения ей не нашли... но явно надо рыть мпд...

[paradox]

проблему можно решить и гараздо быстрее
поставив 3 mpd

но нужно же вас заставить вуычить радиус)

[dovidov]

проблему можно решить и гараздо быстрее
поставив 3 mpd

но нужно же вас заставить вуычить радиус)

в 3-м мпд придётся плодить тысячи записей для каждого интерфейса...

[paradox]

я имел ввиду что бы локализовать проблему более точнее

[InventoR]

Ну как?
решил проблему с

Код: Выделить всё

Dec 17 13:12:53 mx mpd: [pptp0] RADIUS: RadiusGetParams: WARNING no MPPE-Keys received, MPPE will not work