[vpn] mppe encryptie wil niet. - Netwerken

dinsdag 1 juli 2003 08:38

Acties:

Z.O.Z.

Topicstarter

Ik heb een linuxmachine draaien op m'n werk. Daarop draait een pptp server. Nu wil ik (nou ja, niet zozeer ik, maar de thuiswerkers) een verbinding maken met win2k. Om policy-redenen moet deze verbinding versleuteld worden. Nu bevat MS-VPN daarvoor een mooie optie (eigenlijk een ranzige hack, maar goed), namelijk MPPE. De inlog vindt dan plaats aan de hand van MSCHAP, en aan de hand van die challenge wordt de key van de crypto bepaald. (het is een ssl-kloon)

Om dit aan de praat te krijgen heb ik een kernelmodule gecompileerd en geinsmod. Tevens heb ik de configuratie aangepast zodat 'ie inlogt met MSCHAP, en vervolgens een MPPE-encryptie vereist. Mijn configuratiebestand ziet er nu alsvolgt uit:

code:

debug
name servername
lock
#domain bitfactory.nl
auth
-bsdcomp <-- alternatieve codering uitschakelen
-deflate   <-- idem
-vj     <-- idem

#require-chap
#require-chapms
#require-chapms-v2
+chap
+chapms
+chapms-v2
mppe-40
+mppe-128
mppe-stateless

ms-dns 10.0.0.1
ms-wins 10.0.0.1
#netmask 255.255.255.0

proxyarp

De server zou dus mppe als compressie (=encoding) aan moeten bieden. Dit blijkt echter niet uit mijn logs:

pptpd: MGR: Launching /usr/sbin/pptpctrl to handle client
pptpd: CTRL: local address = 10.0.0.200
pptpd: CTRL: remote address = 10.0.0.160
pptpd: CTRL: pppd speed = 115200
pptpd: CTRL: pppd options file = /etc/ppp/pptpd-options
pptpd: CTRL: Received PPTP Control Message (type: 1)
pptpd: CTRL: Made a START CTRL CONN RPLY packet
pptpd: CTRL: I wrote 156 bytes to the client.
pptpd: CTRL: Sent packet to client
pptpd: CTRL: Received PPTP Control Message (type: 7)
pptpd: CTRL: 0 min_bps, 1525 max_bps, 32 window size
pptpd: CTRL: Made a OUT CALL RPLY packet
pptpd: CTRL: pty_fd = 5
pptpd: CTRL: tty_fd = 6
pptpd: CTRL (PPPD Launcher): Connection speed = 115200
pptpd: CTRL (PPPD Launcher): local address = 10.0.0.200
pptpd: CTRL (PPPD Launcher): remote address = 10.0.0.160
pptpd: CTRL: I wrote 32 bytes to the client.
pptpd: CTRL: Sent packet to client
pppd: using channel 260
pppd: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap 81> <magic 0x605b9fe6> <pcomp> <accomp>]
pptpd: CTRL: Received PPTP Control Message (type: 15)
pptpd: CTRL: Got a SET LINK INFO packet with standard ACCMs
pppd: rcvd [LCP ConfReq id=0x0 <magic 0xfa0270> <pcomp> <accomp> < 0d 03 06> <mrru 1614> <endpoint [local:bd.18.da.75.f1.1b.4e.25.99.1d.81.43.a3.b2.29.2c.00.00.00.39]>]
pppd: sent [LCP ConfRej id=0x0 < 0d 03 06> <mrru 1614>]
pppd: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap 81> <magic 0x605b9fe6> <pcomp> <accomp>]
pppd: rcvd [LCP ConfReq id=0x1 <magic 0xfa0270> <pcomp> <accomp> <endpoint [local:bd.18.da.75.f1.1b.4e.25.99.1d.81.43.a3.b2.29.2c.00.00.00.39]>]
pppd: sent [LCP ConfAck id=0x1 <magic 0xfa0270> <pcomp> <accomp> <endpoint [local:bd.18.da.75.f1.1b.4e.25.99.1d.81.43.a3.b2.29.2c.00.00.00.39]>]
pppd: sent [CHAP Challenge id=0x1 <......>, name= "servername"]
pptpd: CTRL: Received PPTP Control Message (type: 15)
pppd: rcvd [LCP code=0xc id=0x2 00 fa 02 70 4d 53 52 41 53 56 35 2e 30 30]
pppd: sent [LCP CodeRej id=0x2 0c 02 00 12 00 fa 02 70 4d 53 52 41 53 56 35 2e 30 30]
pppd: rcvd [LCP code=0xc id=0x3 00 fa 02 70 4d 53 52 41 53 2d 30 2d 4b 4f 45 52 54 2d 49 49]
pppd: sent [LCP CodeRej id=0x3 0c 03 00 18 00 fa 02 70 4d 53 52 41 53 2d 30 2d 4b 4f 45 52 54 2d 49 49]
pppd: rcvd [CHAP Response id=0x1 <......>, name = "koert"]
pppd: sent [CHAP Success id=0x1 "S=AA1F4A6B93192F99F7A73B39FF1F0E8E36E2C15C"]
pppd: sent [IPCP ConfReq id=0x1 <addr 10.0.0.200>]
Client vraagt om 'mppe 1 0 0 e1'
pppd: rcvd [CCP ConfReq id=0x4 <mppe 1 0 0 e1>]
server biedt aan 'geen compressie'
pppd: sent [CCP ConfReq id=0x1]
server gaat niet acoord met 'mppe ...'
pppd: sent [CCP ConfRej id=0x4 <mppe 1 0 0 60>]
pppd: rcvd [IPCP ConfReq id=0x5 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-wins 0.0.0.0> <ms-dns3 0.0.0.0> <ms-wins 0.0.0.0>]
pppd: sent [IPCP ConfNak id=0x5 <addr 10.0.0.160> <ms-dns1 10.0.0.1> <ms-wins 10.0.0.1> <ms-dns3 10.0.0.1> <ms-wins 10.0.0.1>]
pppd: rcvd [IPCP ConfAck id=0x1 <addr 10.0.0.200>]
Client gaat niet acoord
pppd: rcvd [CCP ConfNak id=0x1 <mppe 0 0 0 0>]
server biedt opnieuw aan 'geen compressie'
pppd: sent [CCP ConfReq id=0x2]
pppd: rcvd [IPCP ConfReq id=0x6 <addr 10.0.0.160> <ms-dns1 10.0.0.1> <ms-wins 10.0.0.1> <ms-dns3 10.0.0.1> <ms-wins 10.0.0.1>]
pppd: sent [IPCP ConfAck id=0x6 <addr 10.0.0.160> <ms-dns1 10.0.0.1> <ms-wins 10.0.0.1> <ms-dns3 10.0.0.1> <ms-wins 10.0.0.1>]
Client gaat weer niet acoord
pppd: rcvd [CCP ConfNak id=0x2 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x3]
pppd: sent [CCP ConfReq id=0x3]
pppd: sent [CCP ConfReq id=0x3]
pppd: rcvd [CCP ConfNak id=0x3 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x4]
pppd: rcvd [CCP ConfNak id=0x3 <mppe 0 0 0 0>]
pppd: rcvd [CCP ConfNak id=0x3 <mppe 0 0 0 0>]
pppd: rcvd [CCP ConfNak id=0x4 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x5]
pppd: rcvd [CCP ConfNak id=0x5 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x6]
pppd: rcvd [CCP ConfNak id=0x6 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x7]
pppd: rcvd [CCP ConfNak id=0x7 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x8]
pppd: rcvd [CCP ConfNak id=0x8 <mppe 0 0 0 0>]
pppd: sent [CCP ConfReq id=0x9]
dit gaat door tot de client het opgeeft
pptpd: CTRL: Received PPTP Control Message (type: 15)
pptpd: CTRL: Got a SET LINK INFO packet with standard ACCMs
pppd: rcvd [LCP TermReq id=0x7 00 fa 02 70 00 3c cd 74 00 00 02 e6]
pppd: sent [LCP TermAck id=0x7]
pptpd: CTRL: Exiting now

Heeft iemand een idee wat hier aan de hand is, en zo ja, hoe het opgelost kan worden?

Specs:
Server: Debian woody, Standaard ptppd, custom built pppd (met mppe), extra kernelmodule voor mppe.
Client: Windows 2k sp3 achter NAT-verbinding.

Localhost, sweet localhost

dinsdag 1 juli 2003 16:47

Acties:

arikkert

Met freebsd had ik hetzelfde probleem met pptpd en win2k als vpn clients, tunneling ging goed maar de mppe encryptie niet.
Maar ipsec client software zit ook in de win2k distributie dus als je die als server weet te draaien. Schijnt ook betere encryptie te zijn dan mppe

woensdag 2 juli 2003 00:13

Acties:

sebas

Welke versie van pppd gebruik je? Je hebt om mppe te kunnen gebruiken ook een gepatchte pppd nodig.

Ik heb hier een package staan waar zowel de kernel patch bijzit, als ook de gepatchde pppd, die hoef je als het goed is alleen maar te compilen en vervangen.

Check eerst even je pppd versie op mppe support, dat kan met:

code:

1	strings `which pppd`\|grep -i mppe\|wc --lines

Als dit een 0 teruggeeft heb je geen support bij '38' of iets in die buurt heb je wel mppe support in je pppd. Ik heb een korte howto geschreven over hoe je een VPN verbinding met mppe aan de praat krijgt onder linux, je kunt het hier vinden.

De syntax van je pptp options is trouwens ook verouderd iirc, ik heb onder bovenstaande link mijn configs staan, probeer het daarmee eens.

Everyone complains of his memory, no one of his judgement.

woensdag 2 juli 2003 10:11

Acties:

kvdveer

Z.O.Z.

Topicstarter

Ik heb mppe support in mijn pppd zitten, anders had 'ie mijn configuratiebestand ook niet gepikt.
Wat mij opvalt is dat de mpperequest string die die gast krijgt een andere is als die ik krijg. (hij krijgt 'mppe +H -M +S -L -D -C', ik krijg 'mppe 1 0 0 e1'). Waarschijnlijk betekent het hetzelfde, maar toch.

Ik ga nu maar even upgraden naar de laatste CVS van pppd, misschien dat dat helpt.

Localhost, sweet localhost

woensdag 2 juli 2003 11:13

Acties:

kvdveer

Z.O.Z.

Topicstarter

Upgraden naar die versie die op die site stond does the trick. Ik heb een prachtige versleutelde verbinding nu, die zelfs nog wel redelijk snel is.

Localhost, sweet localhost

Reageer