Реализация схемы UTM5 + RADIUS + VPN на Debian

[Artik]

Перед мной стоит задача реализовать схему UTM5 + RADIUS + VPN на Debian. Пользователи должны используя VPN соединение проходить авторизацию и получать доступ в интернет.

Помогите направить ход мыслей в нужную сторону. Нужен взгляд знающего человека на мою работу, и совет как поступить далее. Занимаюсь этим впервые, и немного запутался.


Имеем две виртуальные машины:

1) 172.18.0.18

Шлюз настроен скриптом: /etc/init.d/firewall.sh

Код: Выделить всё

# !/bin/sh
#Включаю форвардинг
echo 1 > /proc/sys/net/ipv4/ip_forward
#Сбрасываю все настройки
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
#Разрешаю форвардинг
iptables -P FORWARD ACCEPT
#Правило
iptables -A POSTROUTING -t nat -s 172.18.0.0/24 -o eth0 -j MASQUERADE

Установлен pptpd

Код: Выделить всё

#/etc/pptpd.conf

option /etc/ppp/pptpd-options
debug
logwtmp
localip 172.18.0.18
remoteip 172.18.0.100-200

Код: Выделить всё

#/etc/ppp/pptpd-options

name pptpd
logfile /var/log/pptpd.log
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128

ms-dns 88.205.225.242

proxyarp
nodefaultroute
debug
lock
nobsdcomp 
novj
novjccomp
nologfd
plugin radius.so
plugin radattr.so

Установлен radiusclient-ng
(линк на radiusclient имеется)

Код: Выделить всё

# /etc/ radiusclient-ng/radiusclient.conf

auth_order	radius,local
login_tries	4
login_timeout	60
nologin /etc/nologin
issue	/etc/radiusclient-ng/issue
authserver 	172.18.0.19:1812
acctserver 	172.18.0.19:1813
servers		/etc/radiusclient-ng/servers
dictionary 	/etc/radiusclient-ng/dictionary
login_radius	/usr/sbin/login.radius
seqfile		/var/run/radius.seq
mapfile		/etc/radiusclient-ng/port-id-map
default_realm
radius_timeout	10
radius_retries	3
login_local	/bin/login

Код: Выделить всё

#  /etc/radiusclient-ng/servers

localhost		pass

Вторая машина
2) 172.18.0.19


Установлен UTM5

Код: Выделить всё

## /netup/utm5/utm5.cfg

database_type=mysql
database=UTM5
#database_host=localhost
database_login=root
database_password=pass
database_charset=utf8
urfa_bind_host=0.0.0.0
nfbuffer_host=0.0.0.0
nfbuffer_port=9996
log_level=0
log_file_main=/netup/utm5/log/main.log
log_file_debug=/netup/utm5/log/debug.log
log_file_verificator=/netup/utm5/log/verificator.log

Установлен RADIUS

Код: Выделить всё

## /netup/utm5/radius5.cfg

core_host=127.0.0.1
core_port=12758
radius_login=login
radius_password=pass
radius_auth_mppe=enable
radius_card_autoadd=yes
log_file_main=/netup/utm5/log/radius.log
log_file_debug=/netup/utm5/log/radius.log

При соединении через VPN выдаёт ошибку 691: не удалось распознать комбинацию логина и пароля пользователя.
файл pptpd.log остаётся пустым.

В админке UTM5 в список NAS добавил IP первой машины 172.18.0.18 и secret из файла /etc/radiusclient-ng/servers


Буду очень благодарен за любую подсказку.

[copper]

Покажите iptables -L -n с обеих машин.

[taf]

Для начала, я бы порекомендовал использовать в качестве pptp-сервера не кондовый pptpd, а более продвинутый accel-ppp - http://sourceforge.net/apps/trac/accel-ppp/wiki

во-вторых, у вас у 172.18.0.18 один сетевой интерфейс, или 2? Я бы рекомендовал для NAS разнести интерфейс "для клиентов" и "для аплинка". Тем более с применением NAT путаницы меньше будет.

и в третьих, если 691, то надо смотреть в /netup/utm5/log/radius.log чем ему ваши логины=пароли не понравились.

[Artik]

Покажите iptables -L -n с обеих машин.

На обеих машинах:

Код: Выделить всё

root@billing:/home/bill# iptables -L -n 
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination

Для начала, я бы порекомендовал использовать в качестве pptp-сервера не кондовый pptpd, а более продвинутый accel-ppp - http://sourceforge.net/apps/trac/accel-ppp/wiki

во-вторых, у вас у 172.18.0.18 один сетевой интерфейс, или 2? Я бы рекомендовал для NAS разнести интерфейс "для клиентов" и "для аплинка". Тем более с применением NAT путаницы меньше будет.

и в третьих, если 691, то надо смотреть в /netup/utm5/log/radius.log чем ему ваши логины=пароли не понравились.

А чем pptpd хуже? В интернете большинство статей описывают именно его. Правда и статьям некоторым уже по 6-8 лет.

Да, я так и хотел сделать: один интерфейс под инет, второй для клиентов, причём мне нужно объединить две подсети при помощи этого шлюза (172.18.0.18 ).

А радиус.лог нечего при подключении не говорит. идёт только пинг каждые 30 сек.

Код: Выделить всё

?Debug : Apr 18 08:40:11 b591db70 RADIUS Stream[plugin]: Ping reply received
?Debug : Apr 18 08:40:41 b591db70 RADIUS Stream[plugin]: Ping reply received
?Debug : Apr 18 08:41:11 b591db70 RADIUS Stream[plugin]: Ping reply received
?Debug : Apr 18 08:41:41 b591db70 RADIUS Stream[plugin]: Ping reply received
?Debug : Apr 18 08:42:11 b591db70 RADIUS Stream[plugin]: Ping reply received
?Debug : Apr 18 08:42:41 b591db70 RADIUS Stream[plugin]: Ping reply received
?Debug : Apr 18 08:43:11 b591db70 RADIUS Stream[plugin]: Ping reply received

[Artik]

[copper]

На 172.18.0.19
netsat -an | grep 1812
netstat -an | grep 1813

# /etc/radiusclient-ng/servers

Должен быть указан ip радиус-сервера и secret.

В Вашем случае - 172.18.0.19 и secet, который указали, когда в биллинге создавали NAS.