VPN: Win2003-сервер и Linux-клиент

0

0

Помогите подружить сабжи.

Есть сервак Win2k3 Enterprise, он же контроллер домена, на нём поднята служба удалённого доступа. К нему без проблем подключаются клиенты из WinXP (в настройках включено шифрование, тип VPN - "автоматически", имя, пароль, домен).

Есть задача настроить клиента в RHEL 9, чтобы он так же беспроблемно коннектился к винде, при этом ковырять что-то на сервере весьма затруднительно - он админится другими людьми.

Делал всё с помощью pptp-command setup, вручную создавал в /etc/ppp/peers файл с описанием туннеля, но при установке подключения в какой-то момент всё отваливается.

В качестве руководства использовал, в том числе, инфу отсюда - http://volgograd.lug.ru/wiki/GrableVodstvo/articles/VPNLinuxClientWindowsServer

Безуспешно, к сожалению.
Ниже - логи винды и линуха, на винде настройки дефолтные, в линухах такие же, как в вышеприведённой ссылке.

----------------------------------------------
LINUX:
[root@host peers]#/usr/local/sbin/pppd call test-1 debug
pppd options in effect:
debug debug debug # (from command line)
nodetach # (from /etc/ppp/peers/test-1)
logfd 2 # (from /etc/ppp/peers/test-1)
dump # (from /etc/ppp/peers/test-1)
noauth # (from /etc/ppp/peers/test-1)
refuse-chap # (from /etc/ppp/peers/test-1)
refuse-mschap # (from /etc/ppp/peers/test-1)
refuse-eap # (from /etc/ppp/peers/test-1)
name srv.test\\user # (from /etc/ppp/peers/test-1)
2 # (from /etc/ppp/options)
# (from /etc/ppp/options)
connect /bin/true # (from /etc/ppp/peers/test-1)
pty /usr/sbin/pptp 192.168.40.200 --nolaunchpppd # (from /etc/ppp/peers/test-1)
ipparam test-1 # (from /etc/ppp/peers/test-1)
nodefaultroute # (from /etc/ppp/peers/test-1)
require-mppe # (from /etc/ppp/peers/test-1)
require-mppe-128 # (from /etc/ppp/peers/test-1)
speed 2 not supported
Serial connection established.
using channel 6
Using interface ppp0
Connect: ppp0 <--> /dev/pts/13
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xe19caceb> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <auth chap MS-v2> <magic 0x7be2307b> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:01.ec.47.6b.3e.c5.49.e6.b6.4f.19.0a.7a.5c.0e.89.00.00.00.00]> < 17 04 00 0b>]
sent [LCP ConfRej id=0x0 <callback CBCP> <mrru 1614> < 17 04 00 0b>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xe19caceb> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth chap MS-v2> <magic 0x7be2307b> <pcomp> <accomp> <endpoint [local:01.ec.47.6b.3e.c5.49.e6.b6.4f.19.0a.7a.5c.0e.89.00.00.00.00]>]
sent [LCP ConfAck id=0x1 <mru 1400> <auth chap MS-v2> <magic 0x7be2307b> <pcomp> <accomp> <endpoint [local:01.ec.47.6b.3e.c5.49.e6.b6.4f.19.0a.7a.5c.0e.89.00.00.00.00]>]
rcvd [CHAP Challenge id=0x0 <2a42a4425284a0c8d6186140b4d35bd1>, name = "SRV-TEST"]
sent [CHAP Response id=0x0 <4d197b2f188023e2d827f5f54c3062a7c00000c62606080a94966206f4cf3d90e012af811e5985 b4735979147f6b356300>, name = "srv.test\\user"]
rcvd [LCP TermReq id=0x3 "{\377777777420{\000<\37777777715t\000\000\002\37777777663"]
LCP terminated by peer ({M-b0{^@<M-Mt^@^@^BM-3)
sent [LCP TermAck id=0x3]
Connection terminated.
Modem hangup
Script /usr/sbin/pptp 192.168.0.200 --nolaunchpppd finished (pid 7748), status = 0x0

[root@host peers]# *** glibc detected *** double free or corruption (fasttop): 0x080574d0 ***

WINDOWS:
Пользователь "srv.test\user" подключился, но не прошел проверку подлинности
на порте "VPN4-127". Связь была отключена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp";.

-------------------------------------------------

P.S. Еще очень смущает в конце выскакивающая строка
[root@host peers]# *** glibc detected *** double free or corruption (fasttop): 0x080574d0 ***

Ссылка

←	Как получить логу SNAT

LDAP, LDIF и создание базы.

→

"анализатор" обнаружил :
>RHEL 9
и "думатель" завис надолго (возможно навсегда)

~~sdio~~ ★★★★★
(17.10.07 13:37:43 MSD)

Ответ на: комментарий от sdio 17.10.07 13:37:43 MSD

Ну ошибся малость. Сначала хотел написать RH-9, потом вспомнил, что он всё-таки Enterprise. А цифирьку на "4" не сменил.

Лучше б по-существу чего сказал...

shakhmaykin
(17.10.07 13:50:24 MSD) автор топика

Ссылка

Проблема с CBCP. Быстрый поиск показал, что нужно перекомпилировать pppd. Хотя может быть, есть решения поэлегантнее. Посмотри KB Редхата.

Macil ★★★★★
(17.10.07 17:06:58 MSD)

Ответ на: комментарий от Macil 17.10.07 17:06:58 MSD

было: # /usr/local/sbin/pppd callback /usr/local/sbin/pppd: unrecognized option 'callback'

Пересобрал, переустановил.

стало: # /usr/local/sbin/pppd callback /usr/local/sbin/pppd: too few parameters for option callback

На результате не отразилось, хотя я уже собрался обрадоваться :(

Но за участие спасибо. Может быть еще какие-то мысли появятся?

P.S. А в принципе, к чему нужен callback на НЕ-диалапном соединении? P.P.S. Что такое "КВ" Редхата?

shakhmaykin
(18.10.07 10:44:31 MSD) автор топика

Ответ на: комментарий от shakhmaykin 18.10.07 10:44:31 MSD

>Может быть еще какие-то мысли появятся?

Покажи свой сhap.secrets.

Еще смотреть Knowledge Base (ака Базу Знаний) Редхата. Или звонить в техподдержку, если она у тебя есть.

>А в принципе, к чему нужен callback на НЕ-диалапном соединении?

Для повышения секурности. И чтобы у тебя был еще один проприетарный протокол.

Macil ★★★★★
(18.10.07 11:10:01 MSD)

Ответ на: комментарий от Macil 18.10.07 11:10:01 MSD

И да, кинь еще новый лог.

Macil ★★★★★
(18.10.07 11:17:06 MSD)

Ссылка

Ответ на: комментарий от Macil 18.10.07 11:10:01 MSD

# cat /etc/ppp/chap-secrets # Secrets for authentication using CHAP # client server secret IP addresses srv.test\\user * qwerty123!! *

Техподдержки нет. Базу знаний посмотрю. Насчет секурности - уяснил.

shakhmaykin
(18.10.07 11:19:41 MSD) автор топика

Ответ на: комментарий от shakhmaykin 18.10.07 11:19:41 MSD

А srv.test это имя домена? Тогда ИМХО srv\\user...

Macil ★★★★★
(18.10.07 11:34:48 MSD)

Ответ на: комментарий от Macil 18.10.07 11:34:48 MSD

Хм. Действительно. srv.test - это имя домена. SRV-TEST - имя сервера в этом домене. Когда поменял chap-secrets, логов поприбавилось:
Using interface ppp0
Connect: ppp0 <--> /dev/pts/8
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x79365425> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <auth chap MS-v2> <magic 0x7f51007a> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:47.db.9a.99.e7.f9.4d.ec.b8.2c.5f.61.89.8f.68.f8.00.00.00.00]> < 17 04 00 01>]
sent [LCP ConfRej id=0x0 <callback CBCP> <mrru 1614> < 17 04 00 01>]
rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x79365425> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth chap MS-v2> <magic 0x7f51007a> <pcomp> <accomp> <endpoint [local:47.db.9a.99.e7.f9.4d.ec.b8.2c.5f.61.89.8f.68.f8.00.00.00.00]>]
sent [LCP ConfAck id=0x1 <mru 1400> <auth chap MS-v2> <magic 0x7f51007a> <pcomp> <accomp> <endpoint [local:47.db.9a.99.e7.f9.4d.ec.b8.2c.5f.61.89.8f.68.f8.00.00.00.00]>]
sent [CHAP Challenge id=0x5c <c5a9f934563c0e0eceab17407933df09>, name = "srv\\user"]
rcvd [CHAP Challenge id=0x0 <feb6dfe20a64a0d0be7c4524235f208a>, name = "SRV-TEST"]
sent [CHAP Response id=0x0 <b5fe041482d3726d4a5b1e8d4cc4f6a8c00000622706080aed6d944264ae2de0d0e42cad3a11b8
812e9654f5d0acdc8b00>, name = "srv\\user"]
rcvd [CHAP Success id=0x0 "S=F4B390AA8C5A490486E6627B6A698E5F0D9C5680"]
CHAP authentication succeeded ---- (!!!! - тут вроде бы всё проходит)
rcvd [LCP ConfReq id=0x3 <mru 1400> <auth chap MS-v2> <magic 0x7f827644> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:47.db.9a.99.e7.f9.4d.ec.b8.2c.5f.61.89.8f.68.f8.00.00.00.00]> < 17 04 00 01>]
sent [LCP ConfReq id=0x2 <asyncmap 0x0> <auth chap MS-v2> <magic 0x22ca478d> <pcomp> <accomp>]
sent [LCP ConfRej id=0x3 <callback CBCP> <mrru 1614> < 17 04 00 01>]
rcvd [LCP ConfRej id=0x2 <auth chap MS-v2>]
sent [LCP ConfReq id=0x3 <asyncmap 0x0> <magic 0x22ca478d> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x4 <mru 1400> <auth chap MS-v2> <magic 0x7f827644> <pcomp> <accomp> <endpoint [local:47.db.9a.99.e7.f9.4d.ec.b8.2c.5f.61.89.8f.68.f8.00.00.00.00]>]
sent [LCP ConfAck id=0x4 <mru 1400> <auth chap MS-v2> <magic 0x7f827644> <pcomp> <accomp> <endpoint [local:47.db.9a.99.e7.f9.4d.ec.b8.2c.5f.61.89.8f.68.f8.00.00.00.00]>]
rcvd [LCP ConfAck id=0x3 <asyncmap 0x0> <magic 0x22ca478d> <pcomp> <accomp>]
peer refused to authenticate: terminating link  ---- (!!!! - а тут какая-то повторная авторизация)
sent [LCP TermReq id=0x4 "peer refused to authenticate"]
rcvd [CHAP Challenge id=0x0 <15fb1410376747b3cd1f9956e9df2d74>, name = "SRV-TEST"]
Discarded non-LCP packet when LCP not open
rcvd [LCP TermAck id=0x4 "peer refused to authenticate"]
Connection terminated.
Waiting for 1 child processes...
  script /usr/sbin/pptp 192.168.40.200 --nolaunchpppd, pid 23830
Script /usr/sbin/pptp 192.168.40.200 --nolaunchpppd finished (pid 23830), status = 0x0

На винде при этом появляются записи: 
1)Попытка входа выполнена:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 Учетная запись входа:	user
 Исходная рабочая станция:	
 Код ошибки:	0x0

2)Попытка входа с явным указанием учетных данных:
 Вошедший пользователь:
 	Пользователь:	SRV-TEST$
 	Домен:		SRV
 	Код входа:		(0x0,0x3E7)
 	Код GUID:	-
 Были использованы учетные данные пользоваиеля:
 	Целевой пользователь:	user
 	Целевой домен:	SRV
 	Целевой код GUID: -

 Имя целевого сервера:	localhost
 Данные целевого сервера:	localhost
 Код процесса вызывающего:	1644
 Адрес сети источника:	-
 Порт источника:	-

3)Успешный сетевой вход в систему:
 	Пользователь:	user
 	Домен:		SRV
 	Код входа:		(0x0,0x26859)
 	Тип входа:	3
 	Процесс входа:	IAS
 	Пакет проверки:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 	Рабочая станция:	
 	Код GUID:	-
 	Имя вызывающего пользователя:	SRV-TEST$
 	Домен вызывающего:	SRV
 	Код входа вызывающего:	(0x0,0x3E7)
 	Код процесса вызывающего:	1644
 	Промежуточные службы:-
 	Адрес сети источника:	-
 	Порт источника:	-

4) Выход пользователя из системы:
 	Пользователь:	user
 	Домен:		SRV
 	Код входа:	(0x0,0x26859)
 	Тип входа:	3
5) Выход пользователя из системы:
 	Пользователь:	SRV-TEST$
 	Домен:		SRV
 	Код входа:	(0x0,0x1A4CD)
 	Тип входа:	3

Ничего не понимаю.

shakhmaykin
(18.10.07 12:49:08 MSD) автор топика

Ответ на: комментарий от shakhmaykin 18.10.07 12:49:08 MSD

>peer refused to authenticate: terminating link

А noauth в конфиге стоит?

Macil ★★★★★
(18.10.07 14:05:20 MSD)

Ответ на: комментарий от Macil 18.10.07 14:05:20 MSD

# cat test-1
debug
logfd 2
nodetach
dump
noauth
#refuse-chap
#refuse-mschap
#refuse-eap
#refuse-pap
#mppe-stateful
require-mppe
require-mppe-128
require-mschap-v2
nodefaultroute
pty "/usr/sbin/pptp 192.168.0.200 --nolaunchpppd"
connect /bin/true
name srv\\user

# cat /etc/ppp/options.pptp

# Lock the port
#
lock

#
# We don't need the tunnel server to authenticate itself
#
noauth

#
# Turn off transmission protocols we know won't be used
#
nobsdcomp
nodeflate

#
# We want MPPE
# (option naming specific to ppp 2.4.0 with unofficial patch)
#
#mppe-40
#mppe-128
#+mppe-stateless

#+mschap
#+mschap-v2
#+mppe
#+mppe-40
#+mppe-128
#nomppe
#refuse-eap
#refuse-chap
#refuse-pap
#refuse-mschap
#refuse-mschap-v2

#
# We want a sane mtu/mru
# (ppp 2.4.0 with unofficial patch)
#
mtu 1400
mru 1400

debug dump
#require-mschap
#require-mschap-v2

В /etc/ppp/options -
lock
debug 2

И больше ничего.

shakhmaykin
(18.10.07 14:24:33 MSD) автор топика

Ответ на: комментарий от shakhmaykin 18.10.07 14:24:33 MSD

Ну тогда блин не знаю. Такое поведение возникает когда не задан noauth. Переделай структуру конфигов: все неизменяемые опции вынеси в options.pptpd, а в test-1 добавь file /etc/ppp/options.pptp И еще раз проверь по dump.

Macil ★★★★★
(18.10.07 15:13:51 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как получить логу SNAT

Admin

LDAP, LDIF и создание базы.

→

Похожие темы