BiTel

Есть NAS на Mikrotik (pptp).
Исторически сложилось, что юзеры подключались используя mppe128.
Сейчас юзеров на насе стало больше чем раньше, и в пики активности загрузка процессора NASа 100%, лицензия позволяет подключиться большему числу юзеров, но NAS физически не может... Решил запретить юзерам использовать шифрование. Думаю что необходимо воспользоваться атрибутами MS-MPPE-Encryption-Policy и MS-MPPE-Encryption-Types, на как конкретно не могу понять... Кто знает, подскажите!

заменить на?

Где именно?

в конфигурации ppp на микротике конечно же об этом в мануале есть ...

Sorry, ну конечно же...

было default, а так же стоял метод аутентификации MSCHAP2..
из документации:
......
MPPE ключи, передаваемые в AUTHENTICATION_ACCEPT пакете в режиме MS-CHAP v.2 авторизации могут использоваться NASом для шифрования VPN туннеля пользователя.
......

всё отключил, заработало как надо, большое Спасибо!

У нас такая же задача.
На микротике запретили шифрование, в свойствах логина добавили радиус атрибуты:
MS-MPPE-Encryption-Types=0
MS-MPPE-Encryption-Policy=1


однако шифрование все равно используется.
В логах радиуса:
Type=AUTHENTICATION_ACCEPT
Process time:10
Attributes:
...
MS-MPPE-Encryption-Types=4
MS-MPPE-Encryption-Types=0
MS-MPPE-Encryption-Policy=1
MS-MPPE-Encryption-Policy=1

Откуда берется MS-MPPE-Encryption-Types=4?
Подскажите что и где поправить?
Спасибо.

radius version 4.4 build 86

отключите использование шифрации на МТ и не шлите ничего связанного с шифрованием из RADIUS-а (не знаю как в МТ, но на циске команды RADIUS-а преобладают над тем что указано в конфиге)

Шифрование в микротике отключено:
set default change-tcp-mss=yes comment="" name=default only-one=yes \
use-compression=no use-encryption=no use-vj-compression=no
add change-tcp-mss=no comment="" dns-server=x.x.x.x local-address=\
x.x.x.x name=pppoe only-one=default remote-address=grey \
use-compression=no use-encryption=no use-vj-compression=no
set default-encryption change-tcp-mss=no comment="" dns-server=x.x.x.x \
local-address=x.x.x.x name=default-encryption only-one=yes \
remote-address=grey use-compression=no use-encryption=no \
use-vj-compression=no

Команды радиуса перекрывают настройки микротика.

У нас два биллина BGBilling и самописный, производи перевод клиентов на BGBilling. На самописном радиус отправлет насу:
MS-MPPE-Encryption-Types=0
MS-MPPE-Encryption-Policy=1
и все работает так как надо.

Скажите почему радиус BGBillinga посылает насу MS-MPPE-Encryption-Types=4?
Откуда это берется и как это отключить?

таки какой профиль используется для коннектов? если default-encryption не используете - зачем туда DNS и т.п. прописывали?


спасибо! буду знать ...


откуда берется - не скажу, а вот как вылечить ... что мешает, по аналогии с самопиской так же слать "отключить MPPE"? простите, но я не знаю что значит MS-MPPE-Encryption-Types=Х просто пропишите в дефолтном рилме отключение МРРЕ и по идее должно помочь ...

MS-MPPE-Encryption-Types используется для указания клиенту использовать шифрование или нет. В данном случае получаеттся так, что у наса "по умолчанию" шифрование отключено, а радиус полылая MS-MPPE-Encryption-Types=4 "говорит" насу "включить шифрование". Отключить эту команду я не могу. Пробовал и через задание радиус атрибутов в свойствах логона и через парамерты realm... Создается такое впечатление что это просто заглушка какая то в радиусе, которую изменить через доступные опции нельзя.

Уважаемые разработчики, ответьте пожалуйста каким образом можно отключить автоматическое указание насу MS-MPPE-Encryption-Types?

Уважаемый snark, я не знаю относитесь ли Вы к числу разработчиков или нет. Если относитесь, то прошу посадействовать в решении даной проблемы.

Спасибо.

спасибо за разъяснение! даже к гуглу не надо идти когда есть такие люди как вы еще раз сапсибо!


нет, я не разработчик! я к ним отношусь ровно в той же степени что и Вы - мы юзаем БГБ

у вас атрибуты дублируются в пакете ? т.е кроме правильных еще и неправильные значения передаются ?

да.

up

специально поставил и проверил - все нормально работает без шифрования ...


я тестил и РРТР и РРРоЕ на одних и тех же настройках БГБ - он ничего не посылает ...

Radius атрибуты покажите пожалуйста, раздел AUTHENTICATION_ACCEPT.

запрос:

ответ:

Вот мое:
30 20:22:14
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=2439
NAS-Identifier=POyTEP
NAS-IP-Address=172.16.16.162
NAS-Port=152970
Service-Type=2
Framed-Protocol=1
Calling-Station-Id=10.32.36.252
NAS-Port-Type=5
Called-Station-Id=10.28.0.1
MS-CHAP2-Response=\u1\u0\u63\u63\u14\u63\u16\u63\u63\u63\u63:i\u63\u63\u63\u63\u63\u0\u0\u0\u0\u0\u0\u0\u0\u63o\u177\u63\u63U\u25\u63X\u177\u3 \u23lO\u63\u63\u19\u63\u60\u63IV\u63
MS-CHAP-Challenge=w\u63Z\u63\u11\u63\u63\u21\u125\u63\u60A\u63\u63\u176\u63

30 20:22:15
Type=AUTHENTICATION_ACCEPT
Process time:15
Attributes:
Acct-Interim-Interval=60
Service-Type=2
Framed-Protocol=1
MS-MPPE-Send-Key=\u63\u0\u63\u63tvVT\u63g\u63\u63\u63\u63
????os>S^?????X?\u9??
MS-MPPE-Recv-Key=\u63\u0\u63\u63\u63A6\u41rk\u63\u63\u63#U\u63@\u63\u63\u63\u36\u63\u173c_\u63\u63\u63\u166,W\u63\u174\u61
MS-CHAP2-Success=\u63S\u617E2647B6F1DB5272C3E5ECB7565608A804FC059D
Mikrotik-Rate-Limit=768k
MS-MPPE-Encryption-Types=4
MS-MPPE-Encryption-Policy=1

Почему такая разница ответить могут только только разработчики. Возможно разница в том, что мы используем MS-CHAP2. Обратился в HelpDesk. Не исключаю, что я в настройках напортачил.

на самом деле я тоже могу ответить
все из за того то Вы используете MS-CHAP! суть такова ... для МРРЕ обязательным требованием является чтобы аутентификация происходила с использованием MS-CHAP v1 или MS-CHAP v2, т.к. без этого невозможно будет создать ключи для шифрования ... чтобы Вас окончательно убедить - почитайте:
тут:

тут:
тут:после чего, полагаю, все встанет на свои места ...

по сабжевому вопросу - оставьте в профиле только РАР (на всякий пожарный) и СНАР авторизацию, запретите использование шифрования (опять же на всякий пожарный) и все у Вас будет хорошо

P.S. почитайте на досуге мракософтовскую доку How VPN Works - там очень доходчиво все описано

Про аутентификацию все понятно...
Но если я использую MS-CHAP2, то это не значит, что передача данных между клиентом и сервером (после аутентификации) обязательно должна шифроваться.
По умолчанию она шифруется, что собственно и реализована в биллинге, а вот отключить возможности нет.
Если сказать более менее грамотно, то мне надо отключить MPPE шифрование при MS-CHAP и MS-CHAP2 аутентификации.

Вы абсолютно уверены что разработчики МТ думают так же? лично я - нет ... проведите эксперимент - отключите в винде "требовать шифрование данных ..." и подключитесь к МТ с использованием MS-CHAP - я думаю что у Вас сразу же включится шифрование, т.к. либо винда сама его включит, либо МТ подумает "о, ms-chap! на, получи шифрование!" ...


БГБ вообще ничего не знает про шифрование ... шифрация происходит между Вашим МТ и ендюзером, БГБ тут просто как авторизатор работает ... возможно он и шлет "отключить шифрование", но либо МТ, видя MS-CHAP, на это забивает, либо винда требует чтоб МТ всетаки включил шифрацию ...


а почему бы Вам не отказаться от таких методов аутентификации? а то ведь у клиентов запросто могут быть SOHO роутеры которые о таком и не слышали даже ...

Обращение в HelpDesk дало результат.
Разработчики обещали добавить опцию, которая позволит отключать шифрование.

Можно конечно использовать и другие методы аутентификации, но мы как то привыкли в ms-chap... так уж у нас повелось...

P.S. Спасибо Вам snark за участие, в решении данной проблемы. Обмен мнениями всегда полезен.

хм ... всетаки интересно, а почему ж тогда у Вас по стандарту (посыл атрибутов) не отрабатывало?


только не забывайте про soho роутеры! я предупредил


в общем то незачто ... всегда обращайтесь ... если смогу - момогу, ну а если нет - не судите строго


в споре рождается истина - вроде так говорили древние?

не получалось потому что атрибуты просто дублировались, а не заменялись

т.е. получается что это баг?

Да вроде как да.
Посмотрим что разработчики сделают...

как поправят - хочется чтобы они просьбу удовлетворили ... чтобы с МТ можно было спокойно играться

P.S. ув. lda, сознайтесь, у Вас МТ с руборда? для меня это чисто академический интерес - насколько рубордовская стабильна ...

МТ давно уже куплен. Хотя первоначальный был конечно с руборда...

мне МТ достался в подарок, но для тестов я думаю погонять рубордовский, т.к. покупать только для тестов динамического роутинга 3-4 МТ это как то дороговато ... можно поюзать демо - но это заморочки с переустановкой постоянные ...