IPSec+RaduisでVPN(LINUX版) [LINUX]
苦しみぬいて、ようやくIPSec+Raduis構成でのVPNサーバを立ち上げることができました。
細かい手順は別途整理するということで一番のはまりポイント。
Windows10 標準VPN接続でVPNサーバへ要求するもRADIUS認証エラーが発生
VPNサーバ(RADIUSクライアント)
rc_avpair_new: unknown attribute 11
rc_avpair_new: unknown attribute 25
Peer hogehoge failed CHAP authentication
RADIUSサーバ
rad_recv: Access-Request packet from host 192.168.100.1 port 33494, id=92, length=55
Service-Type = Framed-User
Framed-Protocol = PPP
User-Name = "hogehoge"
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
:
Fri Jun 9 15:50:18 2017 : Info: ++[preprocess] = ok
Fri Jun 9 15:50:18 2017 : Info: ++[chap] = noop
Fri Jun 9 15:50:18 2017 : Info: ++[mschap] = noop
CHAPで認証されない!
VPNサーバからRADIUSにCHAPどころか、パスワードが渡ってない!
どこかに変換する仕組みをいれねば、ということでいろいろと調べたところ
radiusclient.confで定義しているdictionaryが絡んでいそうなことが判明。
デフォルトは/usr/share/radiusclient-ng/dictionary。
この中をみるとそれらしいキーワードが含まれている。
ATTRIBUTE User-Name 1 string
ATTRIBUTE Password 2 string
ATTRIBUTE CHAP-Password 3 string
CHAP-Passwordもいた!
どうもMicrofsoftからの接続だとこれだけでは情報が不足しているらしい。
詳しくはこちら。
というわけで以下のdictionary再編作業を実施。
cp -p /usr/share/radiusclient-ng/dictionary /etc/radiusclient/dictionary.org
/etc/radiusclient/dictionary.microsoft を新規作成。
詳しくはこちら。
/etc/radiusclient/dictionary を新規作成。
INCLUDE /etc/radiusclient/dictionary.org
INCLUDE /etc/radiusclient/dictionary.microsoft
/etc/radiusclient/radiusclient.conf を編集。
#dictionary /usr/share/radiusclient-ng/dictionary
dictionary /etc/radiusclient/dictionary
これでWindowsから接続確認。
VPNサーバ
rad_recv: Access-Request packet from host 192.168.100.1 port 39206, id=96, length=137
Service-Type = Framed-User
Framed-Protocol = PPP
User-Name = "hogehoe"
MS-CHAP-Challenge = 暗号化されたパスワード
MS-CHAP2-Response = XXXXXXXX
NAS-IP-Address = 127.0.0.1
NAS-Port = 0
Fri Jun 9 16:04:45 2017 : Info: # Executing section authorize from file /usr/local/radius/etc/raddb/sites-enabled/default
Fri Jun 9 16:04:45 2017 : Info: +group authorize {
Fri Jun 9 16:04:45 2017 : Info: ++[preprocess] = ok
Fri Jun 9 16:04:45 2017 : Info: ++[chap] = noop
Fri Jun 9 16:04:45 2017 : Info: [mschap] Found MS-CHAP attributes. Setting 'Auth-Type = mschap'
Fri Jun 9 16:04:45 2017 : Info: ++[mschap] = ok
CHAP認識されてる!!!
まだ気になるところはあるので継続して調査。
2017-06-09 16:26
nice!(0)
コメント(0)
トラックバック(0)
コメント 0