Re: i4b und RAS

From: J Wunsch <j(at)uriah.heep.sax.de>
Date: Tue, 28 Sep 1999 19:43:26 +0200

As Steffen Weissgerber wrote:

> isp0: Up event
> isp0: lcp up(starting)
> isp0: lcp output <conf-req id=0x4e len=15
> 05-06-65-4f-08-3c-03-05-c2-23-05>
> isp0: lcp input(req-sent): <conf-req id=0x0 len=15
> 03-05-c2-23-80-05-06-00-00-18-bb>
> isp0: lcp parse opts: auth-proto magic
> isp0: lcp parse opt values: auth-proto [chap not MD5]
> magic 0x18bb send conf-nak

Die Gegenseite wünscht CHAP, aber nicht das MD5-Protokoll, das sppp
versteht. Daher ein NAK, d. h.:

> isp0: lcp output <conf-nak id=0x0 len=9 03-05-c2-23-05>
                                                      ^^
...es wird darum gebeten, diese Option neu mit MD5 zu verhandeln.

Dazu jedoch kommt es nicht, weil Deine Seite ganz oben schon gewünscht
hat, daß die andere Seite sich ebenfalls mit CHAP/MD5 ausweisen möge,
diese jedoch lehnt ein solches Ansinnen schroff ab:

> isp0: lcp input(req-sent): <conf-rej id=0x4e len=9 03-05-c2-23-05>
> isp0: lcp rej opts: auth-proto [access denied]

`access denied' ist die Reaktion des sppp auf die Weigerung der
Gegenseite, sich selbst ebenfalls zu authentifizieren.

> isp0: lcp close(req-sent)
> isp0: lcp output <term-req id=0x4f len=4>

Du braucht wohl "spppcontrol isp0 ... hisauthproto=none" in diesem
Falle. (Eigentlich ist nicht einzusehen, warum die Gegenseite es
ablehnt, sich selbst zu authentisieren. Das würde doppelte Sicherheit
schaffen, daß der Angewählte auch tatsächlich der Auswerwählte ist.
Aber M$ ist hier mit Prominenteren wie Livingston in einem Topf.)

> In der ppp-manpage hab ich was ueber die option MS-CHAP gelesen,
> aber das ist wohl nur was fuer Modems.

Nein, ``MS-CHAP'' ist das CHAP-Protokoll 0x80. Du kannst es im 5.
Byte des configure requests Deiner Gegenseite oben bewundern. Sie
wollen ihren eigenen Quark immer zuerst verhandeln (was zur Folge hat,
das der Verbindungsaufbau länger dauern wird, als es unbedingt nötig
wäre, weil es immer erst ein Ping-Pong conf-req => conf-nak geben
muß).

> In der sppp manpage stand nichts derartiges. Bedeutet das, dass die
> MD5 basierte CHAP-Authentifiezierung bei i4b Standard ist, ...

Ja. (Es kennt nur diese.)

-- 
cheers, J"org
joerg_wunsch@uriah.heep.sax.de -- http://www.sax.de/~joerg/ -- NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 28 Sep 1999 - 19:52:16 CEST

search this site