mpd+ radius+ аутентификация по сертификату

[TuxR]

Здравствуйте!

Передо мной поставлена задача настроить VPN сеть на базе FreeBSD и mpd. Задача усложняется тем, что надо использовать базу пользователей на контроллере домена на w2k+3. И еще хуже, что хотелось бы беспарольной аутентификации по цифровому сертификату.

Клиенты, в основном на windows xp.

На контроллере домена поднята служба "проверки подлинности в интернете" - IAS, она же - реализация radius-сервера.

Смущает, что ни в одном how-to подобной схемы нет. (а возможно ли это вообще?)

Аутентификацию по паролю поборол, подключение происходит, пакеты идут, хосты пингуются.

По сертификату не получается. Идет подбор параметров типа:

[pptp0] LCP: rec'd Configure Ack #4 link 0 (Ack-Sent)
ACFCOMP
PROTOCOMP
MRU 1500
MAGICNUM 8d626ed8
AUTHPROTO EAP
(несколько раз)
, который заканчивается неудачно:

[pptp0] EAP: rec'd RESPONSE Type Identity #1 len:23
[pptp0] EAP: Identity:sergeychik@cb.tele2.ru
[pptp0] EAP: sending REQUEST Type MD5 Challenge len:33
[pptp0] EAP: rec'd RESPONSE Type Nak #1 len:2
[pptp0] EAP: Nak desired Type TLS
[pptp0] EAP: ran out of EAP Types
[pptp0] LCP: authorization failed
[pptp0] LCP: parameter negotiation failed
[pptp0] LCP: state change Opened --> Stopping

На radius-сервер в этом случае, система, похоже, даже не пытается отправить запрос. В результате на клиенте после паузы получаем ошибку 734.

Полные логи в объеме 490 строк см. на http://pastebin.ca/454231 .

Собственно, посоветуйте, пожалуйста, есть ли какие-нибудь пути решения аутентификации по сертификатам?

p.s.Понимаю, что схема выглядит не совсем нормально, но я еще неопытный сисадмин и решений по планированию сети не принимаю. надо реализовать на том, что есть. Заранее спасибо за любые предложения, как решить задачу!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

а конфиги покажи?
интересно, блин...

[TuxR]

а конфиги покажи?
интересно, блин...

Вообще говоря, конфиги тоже на pastebin есть, жалко форум большим объемом текста забивать :), ну так вот:

Код: Выделить всё

default:
        load pptp0
        load pptp1
        load pptp2
...
        load pptp97
        load pptp98
        load pptp99
 
pptp0:
        new -i ng00 pptp0 pptp0
        set ipcp ranges 10.99.98.254/32 10.99.98.1/32
        load pptp_standart
pptp1:
        new -i ng01 pptp1 pptp1
        set ipcp ranges 10.99.98.254/32 10.99.98.2/32
        load pptp_standart
...
pptp99:
        new -i ng99 pptp99 pptp99
        set ipcp ranges 10.99.98.254/32 10.99.98.100/32
        load pptp_standart
pptp_standart:
   set radius server 10.12.34.56 very_secure_pass 1812 1813
 
   set iface disable on-demand
   set bundle enable multilink
   set link yes acfcomp protocomp
   set link no pap
   set link enable chap
   set link keep-alive 60 180
   set ipcp yes vjcomp
   set link yes no-orig-auth
   set ipcp dns 10.1.1.1
   set iface enable proxy-arp
   set bundle enable compression
   set ccp yes mppc
   set ccp yes mpp-e40
   set ccp yes mpp-e56
   set ccp yes mpp-e128
   set ccp yes mpp-stateless
   set pptp enable incoming
   set pptp disable originate
   set iface mtu 1500
   set link mtu 1500
 
   set radius config /usr/local/etc/mpd/radius.conf
   set radius retries 5
   set radius timeout 5
   set auth enable radius-auth
   set auth enable radius-acct
#   set radius enable message-authentic
   set link enable eap
   set eap enable md5
   set auth disable internal
#   set eap enable radius-proxy

За несколько дней уже перепробовал кучу параметров. Подозреваю, что дело в том, что надо еще что-то включить насчет EAP или др. протоколов аутентификации. Сейчас получается, что клиент хочет что-то, что mpd предоставить не может.

[Abigor]

меня кстати тож заинтересовала такая штука, давай думать вмести.

[Abigor]

так, вот что-то я так и не нашел, как в vpn подключении запихать этот

что хотелось бы беспарольной аутентификации по цифровому сертификату.

[TuxR]

Давай. Как я вижу, тут проблема в том, что mpd не понимает, способ, которым через него хотят аутентифицироваться - сертификата. Это какое-то расширение eap...

Код: Выделить всё

 AUTHPROTO EAP
[pptp0] LCP: state change Ack-Sent --> Opened
[pptp0] LCP: auth: peer wants nothing, I want EAP
[pptp0] EAP: sending REQUEST Type Identity len:0
[pptp0] LCP: LayerUp
pptp0-0: ignoring SetLinkInfo
[pptp0] LCP: rec'd Ident #2 link 0 (Opened)
 MESG: MSRASV5.10
[pptp0] LCP: rec'd Ident #3 link 0 (Opened)
 MESG: MSRAS-0-MY-NAME
[pptp0] EAP: rec'd RESPONSE Type Identity #1 len:23
[pptp0] EAP: Identity:ivanov@test.example.ru
[pptp0] EAP: sending REQUEST Type MD5 Challenge len:33
[pptp0] EAP: rec'd RESPONSE Type Nak #1 len:2
//////////////////////////////////////////////////////////////
[pptp0] EAP: Nak desired Type TLS////////////////////////
[pptp0] EAP: ran out of EAP Types/////////////////////////
[pptp0] LCP: authorization failed///////////////////////////
[pptp0] LCP: parameter negotiation failed/////////////////
[pptp0] LCP: state change Opened --> Stopping//////////
/////////////////////////////////////////////////////////////
[pptp0] LCP: SendTerminateReq #5

Какие параметры нужны в конфиге я не знаю. Но без изменений, посредством MSCHAP-v2, аутентификация проходит успешно.
Подробные логи и конфиги см. на http://pastebin.ca/455397 Спасибо.

p.s.

так, вот что-то я так и не нашел, как в vpn подключении запихать этот Цитата
что хотелось бы беспарольной аутентификации по цифровому сертификату

эээ, как бы объяснить мотивацию... клиент на wxp, база юзеров в ad на w2k+3, а freebsd и mpd остается роль radius-proxy...

[jeweller]

а версия mpd и радиуса какие? на сайте мпд пишут что он поддержживает eap...
может дело не в мпд вообще а в радиусе?

[jeweller]

http://mpd.sourceforge.net/doc/mpd32.html

Код: Выделить всё

4.14. EAP commands

This chapter describes commands that configure the EAP (Extensible Authentication Protocol). Mpd supports natively only the EAP-Type MD5; other EAP-Types may be used in conjunction with a RADIUS server. All of these commands apply to the currently active link.

set eap accept option ... 
set eap deny option ... 
set eap enable option ... 
set eap disable option ... 
set eap yes option ... 
set eap no option ... 

These commands configure various EAP options. Most options are bi-directional in that they can be independently enabled and disabled in each direction. 
md5

EAP-Type MD5. It's the same as CHAP-MD5, except that is framed inside EAP packets.
radius-proxy

Causes Mpd to proxy all EAP requests to the RADIUS server.

ну а дальше команды радиуса..

[serioja]

ну как? победили? ато у меня такая же задача возникла, а мануалов не нахожу

[kairatsan]

Всем привет!
Получилось ли у кого-нибудь такая схема или нет
У меня тоже теперь стоит задача впускать в сеть через mpd с авторизацией в домене через смарт карту. Через логин и пароль в AD (win 2008 R2) все работает на ура. А про eap нигде толком доки так и не нашел.
Очень нужно да и вообще это было бы круто. Кстати просто в домен азйти через смарт карту получается а вот где подкрутить mpd не знаю.