Abills5.0+radiusd1+pptpd(CentOS5) - Ошибка 691. НО! Удивительно, что авторизация через radiusd -X (в режиме отладки) и nas проходит. В абилсе через веб можно увидеть строчку удачной аутентификации :
2010-11-07 01:02:01 LOG_INFO AUTH test CID: 192.168.0.3 GT: 0.04318 NAS Server
Лог pptpd (почему то в перемешку вместе с pppoe хотя конекчусь только по впн у с используя шифрование ):
pptpd[4275]: CTRL: Client 192.168.0.3 control connection started
pptpd[4275]: CTRL: Starting call (launching pppd, opening GRE)
pppd[4276]: Plugin radius.so loaded.
pppd[4276]: RADIUS plugin initialized.
pppd[4276]: Plugin radattr.so loaded.
pppd[4276]: RADATTR plugin initialized.
pppd[4276]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
pppd[4276]: pptpd-logwtmp: $Version$
pppd[4276]: pppd options in effect:
pppd[4276]: debug # (from /etc/ppp/pptpd-options)
pppd[4276]: dump # (from /etc/ppp/pptpd-options)
pppd[4276]: plugin radius.so # (from /etc/ppp/pptpd-options)
pppd[4276]: plugin radattr.so # (from command line)
pppd[4276]: plugin /usr/lib/pptpd/pptpd-logwtmp.so # (from command line)
pppd[4276]: require-mschap-v2 # (from /etc/ppp/pptpd-options)
pppd[4276]: pptpd-original-ip 192.168.0.3 # (from command line)
pppd[4276]: 115200 # (from command line)
pppd[4276]: lock # (from /etc/ppp/options)
pppd[4276]: local # (from command line)
pppd[4276]: ipparam 192.168.0.3 # (from command line)
pppd[4276]: ms-dns xxx # [don't know how to print value] # (from /etc/ppp/pptpd-options)
pppd[4276]: 192.168.0.234:192.168.1.234 # (from command line)
pppd[4276]: require-mppe-128 # (from /etc/ppp/pptpd-options)
pppd[4276]: pppd 2.4.4 started by root, uid 0
pppd[4276]: Using interface ppp0
pppd[4276]: Connect: ppp0 <--> /dev/pts/3
pptpd[4275]: GRE: Bad checksum from pppd.
pptpd[4275]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
pppd[4276]: rc_avpair_new: unknown attribute 11
pppd[4276]: rc_avpair_new: unknown attribute 25
pppd[4276]: rc_avpair_gen: received unknown attribute 85 of length 4: 0x0000003C
pppd[4276]:
pppd[4276]: Peer test failed CHAP authentication
pppd[4276]: Connection terminated.
pppd[4276]: Exit.
pptpd[4275]: CTRL: Client 192.168.0.3 control connection finished
лог freeradius1:
rad_recv: Access-Request packet from host 127.0.0.1:42184, id=119, length=63
Service-Type = Framed-User
Framed-Protocol = PPP
User-Name = "test"
Calling-Station-Id = "192.168.0.3"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 3
modcall[authorize]: module "preprocess" returns ok for request 3
users: Matched entry DEFAULT at line 1
modcall[authorize]: module "files" returns ok for request 3
modcall: leaving group authorize (returns ok) for request 3
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
radius_xlat: '/usr/abills/libexec/rauth.pl'
Exec-Program: /usr/abills/libexec/rauth.pl
Exec-Program output: Acct-Interim-Interval = 60, Session-Timeout = 2070287, Octets-Direction = 0, Framed-IP-Address = 192.168.0.170, Session-Octets-Limit = 2146435072, Framed-IP-Netmask = 255.255.255.0,
Exec-Program-Wait: value-pairs: Acct-Interim-Interval = 60, Session-Timeout = 2070287, Octets-Direction = 0, Framed-IP-Address = 192.168.0.170, Session-Octets-Limit = 2146435072, Framed-IP-Netmask = 255.255.255.0,
Exec-Program: returned: 0
Sending Access-Accept of id 119 to 127.0.0.1 port 42184
Acct-Interim-Interval = 60
Session-Timeout = 2070287
Octets-Direction = Route-IP-No
Framed-IP-Address = 192.168.0.170
Session-Octets-Limit = 2146435072
Framed-IP-Netmask = 255.255.255.0
Finished request 3
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 3 ID 119 with timestamp 4cd68591
Nothing to do. Sleeping until we see a request.
Радиус тест проходит:
radtest test 123456 127.0.0.1:1812 0 radsecret 0 127.0.0.1
Sending Access-Request of id 71 to 127.0.0.1 port 1812
User-Name = "test"
User-Password = "123456"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Framed-Protocol = PPP
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=71, length=56
Acct-Interim-Interval = 60
Session-Timeout = 2067834
Octets-Direction = Route-IP-No
Framed-IP-Address = 192.168.0.170
Session-Octets-Limit = 2146435072
Framed-IP-Netmask = 255.255.255.0
В вебе идет строка только без идентификатора CID:
2010-11-07 01:36:15 LOG_INFO AUTH test GT: 0.04367 NAS Server
В чем может быть загвоздка?
Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,25,85
-
Silver Ghost
- Сообщения: 173
- Зарегистрирован: Ср апр 11, 2007 6:22 am
- Контактная информация:
Re: Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,2
Ни о чем не говорит?
pppd[4276]: rc_avpair_new: unknown attribute 11
pppd[4276]: rc_avpair_new: unknown attribute 25
pppd[4276]: rc_avpair_gen: received unknown attribute 85 of length 4: 0x0000003C
pppd[4276]:
pppd[4276]: Peer test failed CHAP authentication
pppd[4276]: rc_avpair_new: unknown attribute 11
pppd[4276]: rc_avpair_new: unknown attribute 25
pppd[4276]: rc_avpair_gen: received unknown attribute 85 of length 4: 0x0000003C
pppd[4276]:
pppd[4276]: Peer test failed CHAP authentication
Re: Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,2
Дак если бы знать что это значит прогуглить ничего не удалось. Ничего не понятно, кроме того что аутентификация чап не проходит..
добавил в "/etc/radiusclient/dictionary" строчку "ATTRIBUTE Acct-Interim-Interval 85 integer" из логов ушла ошибка rc_avpair_gen: received unknown attribute 85 of length 4: 0x0000003C, что дальше?
добавил в "/etc/radiusclient/dictionary" строчку "ATTRIBUTE Acct-Interim-Interval 85 integer" из логов ушла ошибка rc_avpair_gen: received unknown attribute 85 of length 4: 0x0000003C, что дальше?
-
Silver Ghost
- Сообщения: 173
- Зарегистрирован: Ср апр 11, 2007 6:22 am
- Контактная информация:
Re: Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,2
Видимо атрибуты 11 и 25...
Re: Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,2
Нагуглил статейку на http://www.netup.ru/phpbb/viewtopic.php?p=37044 сейчас проверю... в ней говорится:Silver Ghost писал(а):Видимо атрибуты 11 и 25...
Q:
Соединиться не удалось в логах строки:
rc_avpair_new: unknown attribute 11
rc_avpair_new: unknown attribute 25
A:
Нет словаря microsoft в radiusclient
Как Установить описано в пункте "Настройка RADIUS авторизации".
или http://www.members.optushome.com.au/~ws ... 8.htm#dict
--Пока не получается хотя файл словаря добавил в папку radiusclient-ng
Пробовал подконектиться с Убунты студио но там корявый нетворк менеджер поэтому попробывал из терминала:
root@studio:# pptpsetup --create testconnect --server 192.168.0.75 --username test --encrypt --start
Password: 123456
Using interface ppp0
Connect: ppp0 <--> /dev/pts/1
CHAP authentication failed: Wrong CHAP password^J
CHAP authentication failed
Connection terminated.
Оригинал статьи по этому траблу
http://wiki.freeradius.org/PopTop
Все что можно сделал эффекта никакого может потому что у меня два радиус клиента потому что один freeradiusclient freeradiusclient-ng в обоих файл servers: 127.0.0.1 radsecret , так же присутствуют dictionary.microsoft и dictionary.merit , в фале dictionary даже добавил строчки
$INCLUDE /etc/radiusclient/dictionary.merit
$INCLUDE /etc/radiusclient/dictionary.microsoft
(без $ ругалось на эти строки)
Вобщем проблема остаётся открытой, мож кто сталкивлся помогите плиз!
-
Silver Ghost
- Сообщения: 173
- Зарегистрирован: Ср апр 11, 2007 6:22 am
- Контактная информация:
Re: Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,2
Мда... Тема на форуме разжевана 25 раз... И снова глупые вопросы...
По официальному мануалу делать видимо Вы не пробовали?
По официальному мануалу делать видимо Вы не пробовали?
Re: Abills5.0+freeradiusd1+pptpd(CentOS5):rc_avpair_new:11,2
Проблему решил..Silver Ghost писал(а):Мда... Тема на форуме разжевана 25 раз... И снова глупые вопросы...
По официальному мануалу делать видимо Вы не пробовали?
http://freeradius.org/rfc/
С ошибкой аутентификации chap пока до конца не разобрался, убрал chap ms-chap v2 в настройках options-pptp и авторизация пошла...
Я так понимаю каждой опции шифрования в файле options-pptp, должны быть нормально настроены секции файла radiusd.conf, поправьте меня если я неправ!
С шифрованием надоело долбаться...
Если включаю шифрование...то:
Peer test failed CHAP authentication.
Обновил версию Абиллса до 0.51b, пересоздал базу mysql, пересоздал config.pl с помошью autoconf скрипта в папке misc закинул старый radiusd.conf (как я понял проблема была именно в нем), c при помощи вебмина перешёл на старый файл конфигурации options.pptpd, ручками добавил в него :
И УРА!!! начала проходить авторизация с шифрованием! Но заметил следующее после разъединения остаётся активная сессия, сейчас буду разбираться со скриптами zap hangup сессий..(если я конечно правильно выразился)#--------------------------------------------------------------------------------------------------------------------
name pptpd
refuse-pap
require-chap
require-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
#ms-dns xxx.xxx.xxx.xxx - айпишник днс а я не стал показывать...
plugin radius.so
plugin radattr.so
#--------------------------------------------------------------------------------------------------------------------[/color]
Да ещё кстати, авторизация через реальный адрес не проходит
LCP: timeout sending Config-Requests
pppd[6506]: Connection terminated.
pppd[6506]: Modem hangup
pppd[6506]: Exit.
pptpd[6999]: GRE: read(fd=6,buffer=8059680,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused
pptpd[6999]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
pptpd[6999]: CTRL: Client xxx.xxx.xxx.xxx control connection finished[/color]
Не проходят пакеты GRE на внешнем порту!!! , хотя правла для прохождения GRE и порт 1723 и 47 я добавил в обоих направления на обеих портах )
(- И не подан сервис при помощи правил iptables... пытался воспользоваться скриптом автонастройки :
http://www.volmed.org.ru/wiki/index.php ... а_фаервола
естественно отредактировав его под свою сеть...но потом скинул настройки файровола и начал поновой)
Ссыль по этому траблу ключевая фраза LCP: timeout sending Config-Requests:
http://pptpclient.sourceforge.net/howto ... cp_timeout
Исходя из этой статьи причин немало и советуют пользоваться утилиткой тспдамп:
http://pptpclient.sourceforge.net/howto ... ml#tcpdump
tcpdump -i eth1 -w my.tcpdump -s 0 tcp port 1723 or proto 47 ; Захват пакетов протокола GRE по портам 1723 и 47 на порту Eth1 и запись в файл my.tcpdump
ethereal my.tcpdump ; просмотр специальной утилитой в репозитории Rhel / CentOS я её не нашёл поэтому воспользовался командой
tcpdump -n -r my.tcpdump > my.tcpdump.txt
http://pptpclient.sourceforge.net/howto ... ml#tcpdump
Вывод дал:
---00:08:43.838187 IP [REAL_IP-Client].63821 > [REAL_IP-Server].pptp: S 261513167:261513167(0) win 65535 <mss 1460,nop,nop,sackOK>
00:08:43.838198 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: S 1150238008:1150238008(0) ack 261513168 win 5840 <mss 1460,nop,nop,sackOK>
00:08:43.849614 IP [REAL_IP-Client].63821 > [REAL_IP-Server].pptp: P 1:157(156) ack 1 win 65535: pptp CTRL_MSGTYPE=SCCRQ PROTO_VER(1.0) FRAME_CAP(A) BEARER_CAP(A) MAX_CHAN(0) FIRM_REV(2600) HOSTNAME() VENDOR(Microsoft Windows NT)
00:08:43.849640 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: . ack 157 win 6432
00:08:43.850388 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: P 1:157(156) ack 157 win 6432: pptp CTRL_MSGTYPE=SCCRP PROTO_VER(1.0) RESULT_CODE(1) ERR_CODE(0) FRAME_CAP() BEARER_CAP() MAX_CHAN(1) FIRM_REV(1) HOSTNAME(local) VENDOR(linux)
00:08:43.852490 IP [REAL_IP-Client].63821 > [REAL_IP-Server].pptp: P 157:325(168) ack 157 win 65379: pptp CTRL_MSGTYPE=OCRQ CALL_ID(256) CALL_SER_NUM(33166) MIN_BPS(300) MAX_BPS(100000000) BEARER_TYPE(Any) FRAME_TYPE(E) RECV_WIN(64) PROC_DELAY(0) PHONE_NO_LEN(0) PHO
00:08:43.852797 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: P 157:189(32) ack 325 win 7504: pptp CTRL_MSGTYPE=OCRP CALL_ID(1024) PEER_CALL_ID(256) RESULT_CODE(1) ERR_CODE(0) CAUSE_CODE(0) CONN_SPEED(100000000) RECV_WIN(64) PROC_DELAY(0) PHY_CHAN_ID(0)
00:08:43.877385 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 0, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:08:43.909428 IP [REAL_IP-Client].63821 > [REAL_IP-Server].pptp: P 325:349(24) ack 189 win 65347: pptp CTRL_MSGTYPE=SLI PEER_CALL_ID(1024) SEND_ACCM(0xffffffff) RECV_ACCM(0xffffffff)
00:08:43.949628 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: . ack 349 win 7504
00:08:46.877587 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 1, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:08:49.878407 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 2, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:08:52.879261 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 3, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:08:55.880117 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 4, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:08:58.880956 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 5, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:09:01.881796 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 6, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:09:04.882634 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 7, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:09:07.883478 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 8, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:09:10.884330 IP [REAL_IP-Server] > [REAL_IP-Client]: GREv1, call 256, seq 9, length 41: LCP, Conf-Request (0x01), id 1, length 27
00:09:13.893263 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: F 189:189(0) ack 349 win 7504
00:09:13.896928 IP [REAL_IP-Client].63821 > [REAL_IP-Server].pptp: F 349:349(0) ack 190 win 65347
00:09:13.896961 IP [REAL_IP-Server].pptp > [REAL_IP-Client].63821: . ack 350 win 7504
Вроде бы ответы смотрю есть от сервера и ошибок не вижу!
Закрываю вопрос, авторизация проходит, все ок. проблема решилась сбросом цепочек айпитэйблс.. и нормальной её настройкой.. по настройке айпитэйблс см. другие посты...