WiFi роутеры и mpd4

[kirush]

Добрый день!
Возникла такая проблема:
различные wifi роутеры не хотят коннектится к mpd4:

Код: Выделить всё

mpd4.conf:
...
i_std:
        set bundle disable multilink
        set bundle enable compression
        set bundle yes crypt-reqd

        set link yes acfcomp protocomp
        set link no pap chap
        set link yes chap-msv2
        set link keep-alive 60 180
        set link max-redial -1
        set link mtu 1460

        set iface mtu 1460
        set iface disable on-demand
        set iface enable tcpmssfix
        set iface idle -1
        set iface enable proxy-arp

        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e56
        set ccp yes mpp-e128
        set ccp yes mpp-stateless

        set auth enable radius-auth
        set auth enable radius-acct

        set radius server 127.0.0.1 netup 1812 1813
        set radius timeout 10
        set radius retries 3
        set radius config /etc/radius.conf

        set ipcp yes vjcomp
        set ipcp dns 10.100.0.5
        set ipcp ranges 172.16.0.1/32 0.0.0.0/0

В связи с этим на алиасном интерфейсе поднял pptpd:

Код: Выделить всё

ppp.conf
...
pptp:
 load loop
 set timeout 0
 disable acfcomp vj pred1 deflate deflate24 protocomp shortseq
 deny acfcomp vj pred1 deflate deflate24 protocomp shortseq
 set mtu 1450
 set mru 1450
 enable MSCHAPv2
 enable MSCHAP
 enable CHAP
 enable lqr
 set lqrperiod 10
 enable lqr echo
 accept dns
 set dns 10.1.255.253
 set radius /etc/radius.conf
 set log Radius

к pptpd точки коннектся на ура.
Но почему то ndsad не считает трафик на pptp интерфейсах ;(

Код: Выделить всё

ndsad.conf
ip     127.0.0.1
port 9996
nf_dest 127.0.0.1:9995
ignore all
dummy all
hash lo 64
hash all 128
heap 1283840
log /var/log/netup/ndsad.log
bsd_div_port 21000

Нужен совет:
1. Что поправить в mpd4.conf чтобы он начал принимать точки. Подозреваю что то что с шифрованием/авторизацией. Посоветуйте, чтобы не "инженерным тыком" убить время.
В логах сейчас только:

Код: Выделить всё

Jan  9 17:07:16 accounter mpd: [i110] AUTH: Sending Accounting Update
Jan  9 17:07:16 accounter mpd: [i110] AUTH: Accounting-Thread started
Jan  9 17:07:16 accounter mpd: [i110] RADIUS: RadiusAccount for: XXXX (Type: 3)
Jan  9 17:07:16 accounter mpd: [i110] RADIUS: rec'd RAD_ACCOUNTING_RESPONSE for user XXXX
Jan  9 17:07:16 accounter2 mpd: [i110] RADIUS: RadiusGetParams: WARNING no MPPE-Keys received, MPPE will not work
Jan  9 17:07:16 accounter2 mpd: [i110] AUTH: Accounting-Thread finished normally

Но это ругань на обычных клиентов (виндовых).
2. Либо, как поправить ndsad чтобы ppp интерфейсы начал считать?

P.S. не в этом ли дело?
mpd4.conf: set link no pap chap

[Chris]

no MPPE-Keys received, MPPE will not work

отключай mppe

[kirush]

Серег, мы с JAO чего только не перепробовали (за что ему огромное человеческое СПАСИБО).

дошли до конфига mpd4.conf:

Код: Выделить всё

        set bundle disable multilink
        set bundle yes compression
        set bundle yes crypt-reqd

        set link accept acfcomp protocomp
        set link no pap chap
        set link yes chap-md5 chap-msv2
        set link keep-alive 60 180
        set link max-redial -1
        set link mtu 1460

        set iface mtu 1460
        set iface disable on-demand
        set iface enable tcpmssfix
        set iface idle -1
        set iface enable proxy-arp

        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e56
        set ccp yes mpp-e128
        set ccp yes mpp-stateless
        set ccp no pred1
        set ccp no deflate

        set auth enable radius-auth
        set auth enable radius-acct

        set radius server 127.0.0.1 netup 1812 1813
        set radius timeout 10
        set radius retries 3
        set radius config /etc/radius.conf

        set ipcp yes vjcomp
        set ipcp dns 10.100.0.5
        set ipcp ranges 172.16.0.1/32 0.0.0.0/0

не помогло всё равно.

Плюнул....начал возится с pptp:
увидел что в настройках:
ndsad: bsd_div_port 21000

сразу полез в ipfw list и точно:
00010 2125794558 413867379637 tee 21000 ip from 172.16.0.0/16 to any via ng*
00010 2606470860 2098678168158 tee 21000 ip from any to 172.16.0.0/16 via ng*

те ng обсчитываем, а tun забили.

Добавил:

00020 260556 20295444 tee 21000 ip from 172.16.0.0/16 to any via tun*
00020 390207 505668724 tee 21000 ip from any to 172.16.0.0/16 via tun*
Всё сразу стало как надо. Обычная невнимательность.

Но вопрос с тем чтобы один mpd обслуживал и то и другое (т.е. нужен некий универсальный конфиг с несильно закрученными гайками), чтобы даже старые точки/роутеры работали.

[Chris]

set ccp no mppe

вроде, попробуй

[kirush]

У меня у клиентов VPN настроен по умолчанию, а там стоит галка с шифрованием. Уж очень не хочется всем говорить что надо эту галку снять ;(

[JAO]

set ipcp no vjcomp попробуй еще.

[kirush]

ок спасибо.

[Arti]

А мне кажется всё проще:

set link no pap chap
set link yes chap-msv2
set link keep-alive 60 180

Разрешите md5 - не всякий роутер умет ms-chap.

Кстати неплохо было бы понять разницу между yes(no), enable(disable) и accept (deny).

[JAO]

Разрешали chap-md5, без толку. У меня ADSL ZyXEL Prestige подхватывал MD5 CHAP без проблем по PPPoE. Может дело в этом "Mpd supports MD5 style CHAP and Microsoft style CHAP versions 1 and 2. Mpd will prefer MD5 CHAP over Microsoft CHAP, unless the link is a pptp link." (из документации к mpd4).

[Arti]

Это все замечательно, но в конфиге выше md5 запрещён.

тогда уж так, если кроме chap'ов ничего не нужно:

Код: Выделить всё

        set link no chap pap eap
        set link enable chap

[JAO]

Где запрещен? А это что?

Код: Выделить всё

set link yes chap-md5 chap-msv2

[Arti]

Где запрещен? А это что?

Код: Выделить всё

set link yes chap-md5 chap-msv2

Я говорил про изначальный пост, кроме того возможно нужен chap-msv1.

Почему кстати я и написал:

Кстати неплохо было бы понять разницу между yes(no), enable(disable) и accept (deny).

[kirush]

В мануале:
The enable and disable commands determine whether we want the corresponding option. The accept and deny commands determine whether we will allow the peer to request the corresponding option.
The yes command is the same as enable and accept. The no command is the same as disable and deny.

Нашел что например Dlink DIR-300 подключается на ура с установленной галкой mppe, в DLINK DIR-400 её нет в приниципе, поэтому не подключается.
Как заставить mpd4 принимать с шифрованием mppe и без?

[mikkey finn]

Код: Выделить всё

pptp_standard:
        set iface disable on-demand
        set iface enable proxy-arp
        set iface idle 0
        set iface enable tcpmssfix
        load radius
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set ipcp yes vjcomp
        set ipcp dns * *
        set bundle enable compression
        set ccp yes mppc
        set ccp yes mpp-e40
        set ccp yes mpp-e128
        set ccp yes mpp-stateless
        set pptp disable windowing
        set pptp enable always-ack
        set pptp enable incoming
        set pptp disable originate

radius:
        set radius retries 3
        set radius timeout 3
        set radius server * * 1812 1813
        set radius me 10.10.0.1
        set auth acct-update 300
        set auth max-logins 1
        set auth enable radius-auth
        set auth enable radius-acct
        set bundle enable compression
        set ccp yes mppc
        set ccp enable mppe-policy
#       set radius enable message-authentic

С этими настройками mpd4 мой домашний DIR-300 без mppe подключается на ура.