par dotazu na VPN

Dan Lukes dan at obluda.cz
Tue Apr 15 09:45:17 CEST 2008


Miroslav Lachman wrote:
> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
>          inet 10.8.0.226 --> 10.8.0.225 netmask 0xffffffff
>          Opened by PID 827

> Klienti v LAN maji adresy v rozsahu 10.1.1.0/24 a meli by byt schopni se 
> dostat napriklad na 10.8.0.1

	Takze si pustis tcpdump na interface tun0, zkusis komunikaci, ktera 
nejde a zanalyzujes co ti ukazuje tcpdump. Predpokladam, ze uvidis 
pakety odchazejici, ale neuvidis vracet se odpovedi. Takze primo z 
routeru to jde, ale z druhe strany neprichazeji odpovedi - pak to musi 
resit spravce routeru na opacne strane, ale nejspis je to problem s 
routovaci tabulkou nebo firewallem tam.

	Pokud odpovedi z druhe strany prichazet budou, budou videt na routeru 
ale na klienta nedorazi, pak je problem na tve strane.

	A dal bych to resil az kouknes na ten tcpdump a budeme vedet, ktera z 
moznosti to je.

> pptp VPN 
...
> ktery jsem dostal k dispozici od protejsi strany, je login, heslo a 
> verejna IP toho routeru, ktery zajistuje VPN.

> [L1] LCP: state change Ack-Sent --> Opened
> [L1] LCP: auth: peer wants CHAP, I want nothing
> [L1] LCP: LayerUp
> [L1] CHAP: rec'd CHALLENGE #1 len: 29
> [L1]   Name: "MikroTik"
> [L1] CHAP: Using authname "MyLogin"
> [L1] CHAP: sending RESPONSE #1 len: 60
> [L1] CHAP: rec'd FAILURE #1 len: 79
> [L1]   MESG: E=691 R=0 C=8005258D6F3521B9817FF1FEF230D334 V=3 M=bad 
> username or password

	Tohle je, bohuzel, pomerne jednoznacne - obe strany se jasne dohodly na 
metode autentizace (CHAP), handshaking radne probehl (<-challenge; 
->response; <-result) a vysledek rika, ze protistrana neni spokojena s 
heslem. To nema jine rozumne pravdepodobne vysvetleni nez to, ze 
autentizacni par neni platny.

	Spatne opsane heslo na tve nebo jejich(!) strane je s ohromnou prevahou 
nejpravdepodobnejsi vysvetleni.

							Dan




More information about the Users-l mailing list