L2TP — требование mschap-v2 не работает на USG

L2TP — требование mschap-v2 не работает на USG, UniFi Network

madraven

Guest

21.12.2016 09:18:00

Привет, я пытаюсь настроить L2TP/Ipsec VPN-сервер на своём USGpro и подключить к нему и свой ПК на Windows 10, и телефон с Windows 10. После изучения вопроса выяснил, что для работы нужно принудительно включить аутентификацию MSchap v2. На ПК у меня получилось это сделать, потому что там есть соответствующая настройка, но на Windows 10 Mobile такой функции нет. Читал, что принудительно включить эту аутентификацию можно и со стороны сервера, по крайней мере на Edge-роутерах используется команда set vpn l2tp remote-access authentication require mschap-v2. https://community.ui.com/questions/bfea2824-e957-4637-9025-a1160474799f Но на USGpro это тоже не работает ни через ssh, ни через конфигурационный файл — при попытке возникает цикл provisioning. Подскажите, почему эта настройка отсутствует на USG и есть ли какой-то другой способ принудительно включить Mschap-v2? Спасибо и с наилучшими пожеланиями, Питер

pastill Guest	#2 26.07.2017 23:26:00 @UBNT-jaffe Да. Почему?

matchr Guest	#3 19.03.2018 15:31:00 Не могу перевести, так как предоставлены только ссылки на изображения без текста. Пожалуйста, предоставьте текстовое содержимое для перевода.

Kostech.Pro

Guest

09.09.2017 22:53:00

У меня была такая же проблема. Регистр я не трогал. Чтобы всё заработало, я запустил следующие службы:
- IKE and AuthIP IPsec Keying Modules
- IPsec Policy Agent
- Remote Access Auto Connection Manager
- Remote Access Connection Manager
- Secure Socket Tunneling Protocol Service

Вот как я это сделал:
1) Нажмите Win+R, введите «services.msc» в окно и нажмите OK.
2) Запустите службы:
а) IKE and AuthIP IPsec Keying Modules — если не запущена, кликните правой кнопкой и выберите «Запустить».
б) IPsec Policy Agent
в) Remote Access Auto Connection Manager
г) Remote Access Connection Manager
д) Secure Socket Tunneling Protocol Service

Убедитесь, что все эти службы запущены, и попробуйте снова подключиться к VPN.

johnnyletrois Guest	#5 08.09.2017 20:40:00 Я настроил параметр в реестре и включил требование MS-CHAP 2, а всё равно не могу подключиться на своём Surface Book. Просто бесит!

markdark

Guest

31.08.2017 10:22:00

У меня проблемы с аутентификацией через L2TP на моём Android-телефоне для удалённого доступа. Radius-сервер, который я использую, находится на моём Synology NAS. На самом NAS появляется ошибка: «rlm_chap: Clear text password not available». Думаю, что принудительное использование MSCHAP-V2 решит проблему.

Поэтому я попытался добавить ваш config.gateway.json в моё облачное устройство по пути «/usr/lib/unifi/data/sites/default/config.gateway.json». Но после перезагрузки USG сразу отключается.

Я удалил файл с Cloud Key, и USG снова запустился и работает.

Использую такие версии:
USG: 4.3.49.5001150
CK: UCK.mtk7623.v0.7.3.5d239c6.170728.1449
Controller: 5.5.20-9565

Не понимаю, почему это не работает и как получить больше информации для отладки. Может, кто-то знает, почему этот config.gateway.json не срабатывает?

@UBNT-cmb, не мог бы помочь?

cmc.network1 Guest	#7 11.08.2017 13:57:00 Вот информация, которую я использовал, чтобы всё запустить. https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows

UI-Team Guest	#8 10.08.2017 08:44:00 Я добавил это в план работ, довольно простое добавление, сделаю в контроллере версии 5.7.x.

danimaldaisy Guest	#9 07.08.2017 19:26:00 Поискать в гугле настройку реестра Windows 10 для L2TP. Отвечаю с телефона, так что если сможешь найти мою тему (пока у меня всего одна), там есть инструкции.

cmc.network1 Guest	#10 07.08.2017 18:48:00 Пробовал все эти настройки, но всё равно ничего не выходит. Я смог перехватить связь с USG с Windows и не понимаю, почему это не работает.

rchase Guest	#11 07.08.2017 15:57:00 @thesteis Ты использовал настройки из скриншота @dualm? Как только я это сделал, у меня заработало — Windows 10 + L2TP IPsec с PSK.

cmc.network1

Guest

#12

07.08.2017 14:19:00

Я уже несколько недель с этим борюсь! Любая Mac OS подключается без проблем, а вот Windows — ни в какую. Я точно проверил, что в настройках сетевого контроллера Windows стоит mschap-v2, но ничего не помогает. Есть идеи, почему MacOS подключается, а Windows — нет? То есть, Windows, конечно.

rchase Guest	#13 04.08.2017 19:13:00 Спасибо! Настройка Windows 10 с MS-CHAP-V2, как на картинке с настройками, решила проблему для меня.

jliechty

Guest

#14

27.07.2017 01:32:00

Сам по себе файрвол USG не должен вызывать эту проблему, но если что-то блокирует ESP (протокол 50), может появиться ошибка 789. Один яркий пример — отвратительный шлюз, который AT&T ставит для установки U-Verse (даже для бизнеса), он блокирует ESP. У меня с ними личного опыта мало, но по словам моего коллеги, они могут даже блокировать ESP, если настроить их шлюз так, чтобы он пробрасывал всё на ваш USG (то есть помещать его в своего рода «DMZ»).

frav

Guest

#15

23.07.2017 20:43:00

Вот теперь разговор! 😀 Теперь L2TP на моём W10M Lumia950 работает без сбоев 😀 При использовании 3G/4G-мобильного интернета. Но когда я в локальной сети за USG, появляется ошибка «The VPN connection failed with error code 789». Значит, видимо, в USG нужно что-то включить или открыть в брандмауэре, чтобы всё работало и оттуда. Хотя это не частый случай, больше для тестов.

Почему в UniFi GUI нет галочки типа «require: mschap-v2» или чего-то подобного? Должно быть, у многих пользователей UniFi такая же проблема.

И ещё вопрос: не повлияет ли это на что-то ещё?

С уважением, Фредрик, Швеция

madraven

Guest

#16

23.07.2017 19:30:00

Привет, Фредрик!
Хотя моё предыдущее решение работало, при обновлениях USG приходилось каждый раз заново вносить изменения в /etc/ppp/options.xl2tpd (добавлять require-mschap-v2), потому что обновление стирало предыдущие правки.
К счастью, с тех пор код из EdgeOS 1.9 хотя бы частично перенесли в USG, так что теперь на стороне USG можно заставить аутентификацию требовать mschap-v2.
Лучший способ сделать это — добавить следующий код в файл config.gateway.json:
{
"vpn": {
"l2tp": {
"remote-access": {
"authentication": {
"require": "mschap-v2"
}
}
}
}
}
Таким образом, это будет настроено при повторном применении конфигурации USG.
Теперь вам больше не нужно делать какие-либо специальные настройки на стороне клиента.
С наилучшими пожеланиями,
Питер

dualm Guest	#17 23.07.2017 19:29:00

frav

Guest

#18

23.07.2017 19:05:00

Привет, @madraven

У меня такая же проблема. Не получается подключиться по L2TP с клиентов на Windows 10. Я думал, что это должно быть просто и работать “из коробки” в UniFi, ведь Windows 10 от Microsoft — довольно популярный продукт на рынке. Но, возможно, Ubiquiti не слишком любит Microsoft?

Моя среда UniFi:
У меня два сайта UniFi с собственными контроллерами:
UC-CK [0.6.10 & 5.5.20]
USG [4.3.49.5001150]
USW [3.8.7.6681]
UAP [3.8.7.6681]

Windows 10 Mobile 1703 (15063.483) показывает:
L2TP: «Подключение VPN завершилось с ошибкой 812.»
PPTP: «Подключение VPN завершилось с ошибкой 806.»

Windows 10 Professional 1703 (15063.483) показывает:
L2TP: «Код ошибки при сбое — 789.»
PPTP: Подключается и вроде работает.

Как именно вы решили проблему с L2TP VPN на стороне UniFi? Прошло уже несколько месяцев с тех пор, как вы писали об этом, может, что-то поменялось за это время.

Заранее спасибо.
С уважением, Фредрик, Швеция

madraven Guest	#19 15.01.2017 19:39:00 Просто хотел сообщить, что удалось решить проблему, добавив новую строку с require-mschap-v2 в /etc/ppp/options.xl2tpd. Но у меня есть ощущение, что как только USG снова будет перенастроен, эта настройка исчезнет. Наверное, придётся дождаться обновления EdgeOS до версии 1.9 для USG, чтобы эту опцию можно было добавить в JSON-файл.

Читают тему (гостей: 1)