forum.bitel.ru :: Просмотр темы - как запретить подключаться используя шифрование?

[admin@MikroTik] > ppp profile export
# nov/29/2008 16:09:14 by RouterOS 3.16
#
/ppp profile
set default change-tcp-mss=yes comment="" name=default only-one=default \
use-compression=default use-encryption=default use-vj-compression=default
add change-tcp-mss=default comment="" dns-server=xxx.yyy.zzz.253 local-address=\
xxx.yyy.zzz.245 name=default-pptp only-one=default remote-address=inet \
use-compression=default use-encryption=no use-vj-compression=default
set default-encryption change-tcp-mss=yes comment="" name=default-encryption \
only-one=default use-compression=default use-encryption=yes \
use-vj-compression=default

[admin@MikroTik] > interface pptp-server server export
# nov/29/2008 16:09:16 by RouterOS 3.16
#
/interface pptp-server server
set authentication=pap,chap default-profile=default-pptp enabled=yes \
keepalive-timeout=30 max-mru=1472 max-mtu=1472 mrru=disabled

29 13:08:45
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=test
NAS-Identifier=MikroTik
CHAP-Password=\u1\u7\u18\u63\u63J\u632\u63\u63\u63\u63
{?\u1C
NAS-IP-Address=172.16.2.245
NAS-Port=8
Service-Type=2
Framed-Protocol=1
Calling-Station-Id=192.168.0.153
NAS-Port-Type=5
CHAP-Challenge=\u63\u63\u63\u63QA\u41\u8j\u63\u59
_?'w
Called-Station-Id=192.168.0.1

29 13:08:45
Type=AUTHENTICATION_ACCEPT
Process time:162
Attributes:
Acct-Interim-Interval=60
Service-Type=2
Framed-Protocol=1

Автор:	_pavel [ 28 окт 2008, 17:46 ]
Заголовок сообщения:	как запретить подключаться используя шифрование?
Есть NAS на Mikrotik (pptp). Исторически сложилось, что юзеры подключались используя mppe128. Сейчас юзеров на насе стало больше чем раньше, и в пики активности загрузка процессора NASа 100%, лицензия позволяет подключиться большему числу юзеров, но NAS физически не может... Решил запретить юзерам использовать шифрование. Думаю что необходимо воспользоваться атрибутами MS-MPPE-Encryption-Policy и MS-MPPE-Encryption-Types, на как конкретно не могу понять... Кто знает, подскажите!

Автор:	snark [ 28 окт 2008, 19:06 ]
Заголовок сообщения:
Код: use-encryption=yes заменить на Код: use-encryption=no ?

Автор:	_pavel [ 28 окт 2008, 19:09 ]
Заголовок сообщения:
Где именно?

Автор:	snark [ 28 окт 2008, 19:51 ]
Заголовок сообщения:
в конфигурации ppp на микротике конечно же об этом в мануале есть ... Mikrotik manual писал(а): use-encryption (yes \| no \| required \| default; default: default) - specifies whether to use data encryption or not yes - enable data encryption no - disable data encryption requided - enable and require encryption default - derive this value from the interface default profile; same as no if this is the interface default profile

Автор:	_pavel [ 28 окт 2008, 20:01 ]
Заголовок сообщения:
Sorry, ну конечно же... было default, а так же стоял метод аутентификации MSCHAP2.. из документации: ...... MPPE ключи, передаваемые в AUTHENTICATION_ACCEPT пакете в режиме MS-CHAP v.2 авторизации могут использоваться NASом для шифрования VPN туннеля пользователя. ...... всё отключил, заработало как надо, большое Спасибо!

forum.bitel.ru http://forum.bitel.ru/

как запретить подключаться используя шифрование? http://forum.bitel.ru/viewtopic.php?f=5&t=1557	Страница 1 из 1

Автор:	lda [ 20 ноя 2008, 19:51 ]
Заголовок сообщения:
У нас такая же задача. На микротике запретили шифрование, в свойствах логина добавили радиус атрибуты: MS-MPPE-Encryption-Types=0 MS-MPPE-Encryption-Policy=1 однако шифрование все равно используется. В логах радиуса: Type=AUTHENTICATION_ACCEPT Process time:10 Attributes: ... MS-MPPE-Encryption-Types=4 MS-MPPE-Encryption-Types=0 MS-MPPE-Encryption-Policy=1 MS-MPPE-Encryption-Policy=1 Откуда берется MS-MPPE-Encryption-Types=4? Подскажите что и где поправить? Спасибо. radius version 4.4 build 86

Автор:	snark [ 20 ноя 2008, 20:02 ]
Заголовок сообщения:
lda писал(а): radius version 4.4 build 86 отключите использование шифрации на МТ и не шлите ничего связанного с шифрованием из RADIUS-а (не знаю как в МТ, но на циске команды RADIUS-а преобладают над тем что указано в конфиге)

Автор:	lda [ 20 ноя 2008, 20:19 ]
Заголовок сообщения:
Шифрование в микротике отключено: set default change-tcp-mss=yes comment="" name=default only-one=yes \ use-compression=no use-encryption=no use-vj-compression=no add change-tcp-mss=no comment="" dns-server=x.x.x.x local-address=\ x.x.x.x name=pppoe only-one=default remote-address=grey \ use-compression=no use-encryption=no use-vj-compression=no set default-encryption change-tcp-mss=no comment="" dns-server=x.x.x.x \ local-address=x.x.x.x name=default-encryption only-one=yes \ remote-address=grey use-compression=no use-encryption=no \ use-vj-compression=no Команды радиуса перекрывают настройки микротика. У нас два биллина BGBilling и самописный, производи перевод клиентов на BGBilling. На самописном радиус отправлет насу: MS-MPPE-Encryption-Types=0 MS-MPPE-Encryption-Policy=1 и все работает так как надо. Скажите почему радиус BGBillinga посылает насу MS-MPPE-Encryption-Types=4? Откуда это берется и как это отключить?

Автор:	snark [ 20 ноя 2008, 20:34 ]
Заголовок сообщения:
lda писал(а): name=pppoe ... use-encryption=no name=default-encryption ... use-encryption=no таки какой профиль используется для коннектов? если default-encryption не используете - зачем туда DNS и т.п. прописывали? lda писал(а): Команды радиуса перекрывают настройки микротика. спасибо! буду знать ... lda писал(а): У нас два биллина BGBilling и самописный, производи перевод клиентов на BGBilling. На самописном радиус отправлет насу: MS-MPPE-Encryption-Types=0 MS-MPPE-Encryption-Policy=1 и все работает так как надо. Скажите почему радиус BGBillinga посылает насу MS-MPPE-Encryption-Types=4? Откуда это берется и как это отключить? откуда берется - не скажу, а вот как вылечить ... что мешает, по аналогии с самопиской так же слать "отключить MPPE"? простите, но я не знаю что значит MS-MPPE-Encryption-Types=Х просто пропишите в дефолтном рилме отключение МРРЕ и по идее должно помочь ...

Автор:	lda [ 21 ноя 2008, 00:07 ]
Заголовок сообщения:
MS-MPPE-Encryption-Types используется для указания клиенту использовать шифрование или нет. В данном случае получаеттся так, что у наса "по умолчанию" шифрование отключено, а радиус полылая MS-MPPE-Encryption-Types=4 "говорит" насу "включить шифрование". Отключить эту команду я не могу. Пробовал и через задание радиус атрибутов в свойствах логона и через парамерты realm... Создается такое впечатление что это просто заглушка какая то в радиусе, которую изменить через доступные опции нельзя. Уважаемые разработчики, ответьте пожалуйста каким образом можно отключить автоматическое указание насу MS-MPPE-Encryption-Types? Уважаемый snark, я не знаю относитесь ли Вы к числу разработчиков или нет. Если относитесь, то прошу посадействовать в решении даной проблемы. Спасибо.

Автор:	snark [ 21 ноя 2008, 00:20 ]
Заголовок сообщения:
lda писал(а): MS-MPPE-Encryption-Types используется для указания клиенту использовать шифрование или нет. В данном случае получаеттся так, что у наса "по умолчанию" шифрование отключено, а радиус полылая MS-MPPE-Encryption-Types=4 "говорит" насу "включить шифрование". спасибо за разъяснение! даже к гуглу не надо идти когда есть такие люди как вы еще раз сапсибо! lda писал(а): Уважаемый snark, я не знаю относитесь ли Вы к числу разработчиков или нет. нет, я не разработчик! я к ним отношусь ровно в той же степени что и Вы - мы юзаем БГБ

Автор:	stark [ 23 ноя 2008, 18:43 ]
Заголовок сообщения:
lda писал(а): однако шифрование все равно используется. В логах радиуса: Type=AUTHENTICATION_ACCEPT Process time:10 Attributes: ... MS-MPPE-Encryption-Types=4 MS-MPPE-Encryption-Types=0 MS-MPPE-Encryption-Policy=1 MS-MPPE-Encryption-Policy=1 у вас атрибуты дублируются в пакете ? т.е кроме правильных еще и неправильные значения передаются ?

Автор:	lda [ 23 ноя 2008, 22:12 ]
Заголовок сообщения:
да.

Автор:	lda [ 25 ноя 2008, 16:25 ]
Заголовок сообщения:
up

Автор:	lda [ 30 ноя 2008, 23:26 ]
Заголовок сообщения:
Вот мое: 30 20:22:14 Type=AUTHENTICATION_REQUEST Attributes: User-Name=2439 NAS-Identifier=POyTEP NAS-IP-Address=172.16.16.162 NAS-Port=152970 Service-Type=2 Framed-Protocol=1 Calling-Station-Id=10.32.36.252 NAS-Port-Type=5 Called-Station-Id=10.28.0.1 MS-CHAP2-Response=\u1\u0\u63\u63\u14\u63\u16\u63\u63\u63\u63:i\u63\u63\u63\u63\u63\u0\u0\u0\u0\u0\u0\u0\u0\u63o\u177\u63\u63U\u25\u63X\u177\u3 \u23lO\u63\u63\u19\u63\u60\u63IV\u63 MS-CHAP-Challenge=w\u63Z\u63\u11\u63\u63\u21\u125\u63\u60A\u63\u63\u176\u63 30 20:22:15 Type=AUTHENTICATION_ACCEPT Process time:15 Attributes: Acct-Interim-Interval=60 Service-Type=2 Framed-Protocol=1 MS-MPPE-Send-Key=\u63\u0\u63\u63tvVT\u63g\u63\u63\u63\u63 ????os>S^?????X?\u9?? MS-MPPE-Recv-Key=\u63\u0\u63\u63\u63A6\u41rk\u63\u63\u63#U\u63@\u63\u63\u63\u36\u63\u173c_\u63\u63\u63\u166,W\u63\u174\u61 MS-CHAP2-Success=\u63S\u617E2647B6F1DB5272C3E5ECB7565608A804FC059D Mikrotik-Rate-Limit=768k MS-MPPE-Encryption-Types=4 MS-MPPE-Encryption-Policy=1 Почему такая разница ответить могут только только разработчики. Возможно разница в том, что мы используем MS-CHAP2. Обратился в HelpDesk. Не исключаю, что я в настройках напортачил.

Автор:	snark [ 01 дек 2008, 01:01 ]
Заголовок сообщения:
lda писал(а): Почему такая разница ответить могут только только разработчики. Возможно разница в том, что мы используем MS-CHAP2. на самом деле я тоже могу ответить все из за того то Вы используете MS-CHAP! суть такова ... для МРРЕ обязательным требованием является чтобы аутентификация происходила с использованием MS-CHAP v1 или MS-CHAP v2, т.к. без этого невозможно будет создать ключи для шифрования ... чтобы Вас окончательно убедить - почитайте: тут: Cisco писал(а): The ppp authentication ms-chap command must be added to the interface that will carry PPTP-MPPE traffic. All Windows clients using MPPE need MS-CHAP. This is a Microsoft design requirement. тут: Microsoft писал(а): MPPE requires common client and server keys as generated by MS-CHAP or EAP authentication. тут: Microsoft писал(а): PPTP inherits MPPE encryption, which uses the Rivest-Shamir-Adleman (RSA) RC4 stream cipher. MPPE is only available when either the EAP-TLS or MS-CHAP (version 1 or version 2) authentication protocols are used. после чего, полагаю, все встанет на свои места ... по сабжевому вопросу - оставьте в профиле только РАР (на всякий пожарный) и СНАР авторизацию, запретите использование шифрования (опять же на всякий пожарный) и все у Вас будет хорошо P.S. почитайте на досуге мракософтовскую доку How VPN Works - там очень доходчиво все описано

Автор:	lda [ 01 дек 2008, 02:39 ]
Заголовок сообщения:
Про аутентификацию все понятно... Но если я использую MS-CHAP2, то это не значит, что передача данных между клиентом и сервером (после аутентификации) обязательно должна шифроваться. По умолчанию она шифруется, что собственно и реализована в биллинге, а вот отключить возможности нет. Если сказать более менее грамотно, то мне надо отключить MPPE шифрование при MS-CHAP и MS-CHAP2 аутентификации.

Автор:	snark [ 01 дек 2008, 16:22 ]
Заголовок сообщения:
lda писал(а): Но если я использую MS-CHAP2, то это не значит, что передача данных между клиентом и сервером (после аутентификации) обязательно должна шифроваться. Вы абсолютно уверены что разработчики МТ думают так же? лично я - нет ... проведите эксперимент - отключите в винде "требовать шифрование данных ..." и подключитесь к МТ с использованием MS-CHAP - я думаю что у Вас сразу же включится шифрование, т.к. либо винда сама его включит, либо МТ подумает "о, ms-chap! на, получи шифрование!" ... lda писал(а): По умолчанию она шифруется, что собственно и реализована в биллинге, а вот отключить возможности нет. БГБ вообще ничего не знает про шифрование ... шифрация происходит между Вашим МТ и ендюзером, БГБ тут просто как авторизатор работает ... возможно он и шлет "отключить шифрование", но либо МТ, видя MS-CHAP, на это забивает, либо винда требует чтоб МТ всетаки включил шифрацию ... lda писал(а): Если сказать более менее грамотно, то мне надо отключить MPPE шифрование при MS-CHAP и MS-CHAP2 аутентификации. а почему бы Вам не отказаться от таких методов аутентификации? а то ведь у клиентов запросто могут быть SOHO роутеры которые о таком и не слышали даже ...

Автор:	snark [ 29 ноя 2008, 19:20 ]
Заголовок сообщения:
специально поставил и проверил - все нормально работает без шифрования ... Код: [admin@MikroTik] > ppp profile export # nov/29/2008 16:09:14 by RouterOS 3.16 # /ppp profile set default change-tcp-mss=yes comment="" name=default only-one=default \ use-compression=default use-encryption=default use-vj-compression=default add change-tcp-mss=default comment="" dns-server=xxx.yyy.zzz.253 local-address=\ xxx.yyy.zzz.245 name=default-pptp only-one=default remote-address=inet \ use-compression=default use-encryption=no use-vj-compression=default set default-encryption change-tcp-mss=yes comment="" name=default-encryption \ only-one=default use-compression=default use-encryption=yes \ use-vj-compression=default Код: [admin@MikroTik] > interface pptp-server server export # nov/29/2008 16:09:16 by RouterOS 3.16 # /interface pptp-server server set authentication=pap,chap default-profile=default-pptp enabled=yes \ keepalive-timeout=30 max-mru=1472 max-mtu=1472 mrru=disabled я тестил и РРТР и РРРоЕ на одних и тех же настройках БГБ - он ничего не посылает ...

Автор:	lda [ 29 ноя 2008, 22:22 ]
Заголовок сообщения:
Radius атрибуты покажите пожалуйста, раздел AUTHENTICATION_ACCEPT.

Автор:	snark [ 29 ноя 2008, 22:42 ]
Заголовок сообщения:
запрос: Код: 29 13:08:45 Type=AUTHENTICATION_REQUEST Attributes: User-Name=test NAS-Identifier=MikroTik CHAP-Password=\u1\u7\u18\u63\u63J\u632\u63\u63\u63\u63 {?\u1C NAS-IP-Address=172.16.2.245 NAS-Port=8 Service-Type=2 Framed-Protocol=1 Calling-Station-Id=192.168.0.153 NAS-Port-Type=5 CHAP-Challenge=\u63\u63\u63\u63QA\u41\u8j\u63\u59 _?'w Called-Station-Id=192.168.0.1 ответ: Код: 29 13:08:45 Type=AUTHENTICATION_ACCEPT Process time:162 Attributes: Acct-Interim-Interval=60 Service-Type=2 Framed-Protocol=1

Автор:	lda [ 01 дек 2008, 16:37 ]
Заголовок сообщения:
Обращение в HelpDesk дало результат. Разработчики обещали добавить опцию, которая позволит отключать шифрование. Можно конечно использовать и другие методы аутентификации, но мы как то привыкли в ms-chap... так уж у нас повелось... P.S. Спасибо Вам snark за участие, в решении данной проблемы. Обмен мнениями всегда полезен.

Автор:	snark [ 01 дек 2008, 16:58 ]
Заголовок сообщения:
lda писал(а): Обращение в HelpDesk дало результат. Разработчики обещали добавить опцию, которая позволит отключать шифрование. хм ... всетаки интересно, а почему ж тогда у Вас по стандарту (посыл атрибутов) не отрабатывало? lda писал(а): Можно конечно использовать и другие методы аутентификации, но мы как то привыкли в ms-chap... так уж у нас повелось... только не забывайте про soho роутеры! я предупредил lda писал(а): Спасибо Вам snark за участие, в решении данной проблемы. в общем то незачто ... всегда обращайтесь ... если смогу - момогу, ну а если нет - не судите строго lda писал(а): Обмен мнениями всегда полезен. в споре рождается истина - вроде так говорили древние?

Автор:	lda [ 01 дек 2008, 17:09 ]
Заголовок сообщения:
Цитата: хм ... всетаки интересно, а почему ж тогда у Вас по стандарту (посыл атрибутов) не отрабатывало? не получалось потому что атрибуты просто дублировались, а не заменялись

Автор:	snark [ 01 дек 2008, 17:20 ]
Заголовок сообщения:
lda писал(а): Цитата: хм ... всетаки интересно, а почему ж тогда у Вас по стандарту (посыл атрибутов) не отрабатывало? не получалось потому что атрибуты просто дублировались, а не заменялись т.е. получается что это баг?

Автор:	lda [ 01 дек 2008, 17:46 ]
Заголовок сообщения:
Да вроде как да. Посмотрим что разработчики сделают...

Автор:	snark [ 01 дек 2008, 17:55 ]
Заголовок сообщения:
как поправят - хочется чтобы они просьбу удовлетворили ... чтобы с МТ можно было спокойно играться P.S. ув. lda, сознайтесь, у Вас МТ с руборда? для меня это чисто академический интерес - насколько рубордовская стабильна ...

Автор:	lda [ 01 дек 2008, 18:07 ]
Заголовок сообщения:
МТ давно уже куплен. Хотя первоначальный был конечно с руборда...

Автор:	snark [ 01 дек 2008, 18:30 ]
Заголовок сообщения:
мне МТ достался в подарок, но для тестов я думаю погонять рубордовский, т.к. покупать только для тестов динамического роутинга 3-4 МТ это как то дороговато ... можно поюзать демо - но это заморочки с переустановкой постоянные ...

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/