# VPN mit MS-CHAP

## hoschi

Hallo, ich komme nicht (Tippfehler ^^) in das mit MS-CHAP gesicherte VPN meiner FH hinein (WLAN-Zugang sowohl auch externen Zugang uebers Internet), ich verwende diese Anleitung und habe alles manuell konfiguriert: http://pptpclient.sourceforge.net/howto-gentoo.phtml

Daten die ich habe:

Server: vpngate.fh-augsburg.de

Username: sagichnicht

Password: foo

Mehr nicht, keinen Domainname oder so!

Wenn ich die VPN-Verbindung (hier Daheim) aufbauen will kriege ich folgende Meldung:

```
pon fh debug dump logfd 2 nodetach

pppd options in effect:

debug           # (from command line)

nodetach                # (from command line)

logfd 2         # (from command line)

dump            # (from command line)

noauth          # (from /etc/ppp/options.pptp)

refuse-chap             # (from /etc/ppp/options.pptp)

refuse-mschap           # (from /etc/ppp/options.pptp)

refuse-eap              # (from /etc/ppp/options.pptp)

name sagichnicht           # (from /etc/ppp/peers/fh)

remotename PPTP         # (from /etc/ppp/peers/fh)

                # (from /etc/ppp/options.pptp)

pty pptp vpngate.fh-augsburg.de --nolaunchpppd          # (from /etc/ppp/peers/fh)

ipparam fh              # (from /etc/ppp/peers/fh)

nobsdcomp               # (from /etc/ppp/options.pptp)

nodeflate               # (from /etc/ppp/options.pptp)

using channel 4

Using interface ppp0

Connect: ppp0 <--> /dev/pts/2

sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x7d34d20b> <pcomp> <accomp>]

rcvd [LCP ConfReq id=0x1 <accomp> <pcomp> <asyncmap 0x0> <mru 1500> <magic 0x5d2b8fe8> <auth chap MS-v2>]

sent [LCP ConfAck id=0x1 <accomp> <pcomp> <asyncmap 0x0> <mru 1500> <magic 0x5d2b8fe8> <auth chap MS-v2>]

rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x7d34d20b> <pcomp> <accomp>]

rcvd [CHAP Challenge id=0x1 <34393836323130333634333633383834>, name = ""]

sent [CHAP Response id=0x1 <38480d3be28d72ae0c6ada7b7c61472c0000000000000000f6b0536a2925c190e0e3ad23005f8e146914b8bb6fe610d500>, name = "sagichnicht"]

rcvd [CHAP Failure id=0x1 "E=691 R=1\000"]

MS-CHAP authentication failed: E=691 Authentication failure

CHAP authentication failed

sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]

rcvd [LCP TermReq id=0x2]

sent [LCP TermAck id=0x2]

rcvd [LCP TermAck id=0x2]

Connection terminated.

Waiting for 1 child processes...

  script pptp vpngate.fh-augsburg.de --nolaunchpppd, pid 21584

Script pptp vpngate.fh-augsburg.de --nolaunchpppd finished (pid 21584), status = 0x0

```

Die Configdateien:

```

cat /etc/ppp/options.pptp 

###############################################################################

# $Id: options.pptp,v 1.2 2005/08/20 13:16:38 quozl Exp $

#

# Sample PPTP PPP options file /etc/ppp/options.pptp

# Options used by PPP when a connection is made by a PPTP client.

# This file can be referred to by an /etc/ppp/peers file for the tunnel.

# Changes are effective on the next connection.  See "man pppd".

#

# You are expected to change this file to suit your system.  As

# packaged, it requires PPP 2.4.2 or later from http://ppp.samba.org/

# and the kernel MPPE module available from the CVS repository also on

# http://ppp.samba.org/, which is packaged for DKMS as kernel_ppp_mppe.

###############################################################################

# Lock the port

lock

# Authentication

# We don't need the tunnel server to authenticate itself

noauth

# We won't do EAP, CHAP, or MSCHAP, but we will accept MSCHAP-V2

refuse-eap

refuse-chap

refuse-mschap

# Compression

# Turn off compression protocols we know won't be used

nobsdcomp

nodeflate

# Encryption

# (There have been multiple versions of PPP with encryption support,

# choose with of the following sections you will use.  Note that MPPE

# requires the use of MSCHAP-V2 during authentication)

# http://ppp.samba.org/ the PPP project version of PPP by Paul Mackarras

# ppp-2.4.2 or later with MPPE only, kernel module ppp_mppe.o

# {{{

# Require MPPE 128-bit encryption

#require-mppe-128

# }}}

# http://polbox.com/h/hs001/ fork from PPP project by Jan Dubiec

# ppp-2.4.2 or later with MPPE and MPPC, kernel module ppp_mppe_mppc.o

# {{{

# Require MPPE 128-bit encryption

#mppe required,stateless

# }}}

```

```

 cat /etc/ppp/chap-secrets

# Secrets for authentication using CHAP

# client        server  secret                  IP addresses

sagichnicht        PPTP    foo                *

```

```

cat /etc/ppp/peers/fh 

pty "pptp vpngate.fh-augsburg.de --nolaunchpppd"

name sagichnicht

remotename PPTP

file /etc/ppp/options.pptp

ipparam fh

```

```

emerge --info

Portage 2.1.1-r2 (default-linux/x86/2006.1/desktop, gcc-4.1.1, glibc-2.5-r0, 2.6.19 i686)

=================================================================

System uname: 2.6.19 i686 Intel(R) Pentium(R) M processor 1.73GHz

Gentoo Base System version 1.12.6

Last Sync: Mon, 11 Dec 2006 22:20:01 +0000

app-admin/eselect-compiler: [Not Present]

dev-java/java-config: [Not Present]

dev-lang/python:     2.4.3-r4

dev-python/pycrypto: 2.0.1-r5

dev-util/ccache:     [Not Present]

dev-util/confcache:  [Not Present]

sys-apps/sandbox:    1.2.17

sys-devel/autoconf:  2.13, 2.60

sys-devel/automake:  1.4_p6, 1.5, 1.6.3, 1.7.9-r1, 1.8.5-r3, 1.9.6-r2

sys-devel/binutils:  2.16.1-r3

sys-devel/gcc-config: 1.3.14

sys-devel/libtool:   1.5.22

virtual/os-headers:  2.6.17-r2

ACCEPT_KEYWORDS="x86"

AUTOCLEAN="yes"

CBUILD="i686-pc-linux-gnu"

CFLAGS="-march=pentium-m -O2 -pipe -fomit-frame-pointer"

CHOST="i686-pc-linux-gnu"

CONFIG_PROTECT="/etc /usr/share/X11/xkb"

CONFIG_PROTECT_MASK="/etc/env.d /etc/gconf /etc/revdep-rebuild /etc/terminfo"

CXXFLAGS="-march=pentium-m -O2 -pipe -fomit-frame-pointer"

DISTDIR="/usr/portage/distfiles"

FEATURES="autoconfig distlocks metadata-transfer sandbox sfperms strict"

GENTOO_MIRRORS="http://ftp-stud.fht-esslingen.de/pub/Mirrors/gentoo/"

MAKEOPTS="-j2"

PKGDIR="/usr/portage/packages"

PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --delete-after --stats --timeout=180 --exclude='/distfiles' --exclude='/local' --exclude='/packages'"

PORTAGE_TMPDIR="/var/tmp"

PORTDIR="/usr/portage"

PORTDIR_OVERLAY="/usr/local/portage"

SYNC="rsync://rsync.de.gentoo.org/gentoo-portage"

USE="x86 X aac acpi aiglx alsa avahi beagle berkdb bitmap-fonts cairo cdinstall cdr cli cracklib cups dbus dlloader dri dvd dvdr dvdread eds elibc_glibc emboss encode fam fbcon firefox flac fortran gdbm gif glitz gnome gpm gstreamer gtk gtk2 hal iconv imap input_devices_evdev input_devices_keyboard ipod ipv6 isdnlog jabber jpeg kernel_linux ldap libg++ libnotify libsexy mad mikmod mmx mono mp3 mpeg nautilus ncurses nls nodrm nptl nptlonly ogg openal opengl pam pcmcia pcre pdf pic png pnp ppds pppd quicktime readline reflection samba sdl session spell spl sqlite sse sse2 ssl startup-notification svg sysfs sysvipc tcpd theora tiff truetype truetype-fonts type1-fonts udev unicode usb userland_GNU video_cards_i810 vorbis wifi win32codecs x264 xcomposite xml xorg xv xvid zlib"

Unset:  CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LANG, LC_ALL, LDFLAGS, LINGUAS, PORTAGE_RSYNC_EXTRA_OPTS

```

Configdatei des Kernels

Ich bin irgendwie leicht verzweifelt. Scheiss Microsoft, egal was man macht, egal was man benuetzt am Ende hat man immer mit diesem miesen Laden zu tun....

----------

## borsdel

boah, ist ja wirklich ekelhaft sonne sache. ne super fehlermeldung

```
rcvd [CHAP Failure id=0x1 "E=691 R=1\000"]
```

bei google letztendlich nur russische seiten und von m$ nicht ein einziger tipp.

nunja, von mir die tipps für die chap-secrets

```
# Secrets for authentication using CHAP

# client        server  secret                  IP addresses

"sagichnicht"   *       "foo"

```

hatte halt in der man-page von pppd gelesen, dass die in "" stehen sollen. achaja, und nt kann nur passwörter bis 14 stellen, also kürzen  :Wink: 

kann passieren, dass du mit der gesamten kombination scheitern könntest, da wieder irgendwo was nicht zusammen passt.

auf alle fälle bekomme ich mit deinen zugangsdaten den gleichen fehler, was ja auf falschen benutzer/pass schließen lässt  :Wink: , bei dir ja evtl auch.

mfg borsdel

----------

## bbgermany

Hallo,

dem Logfile und deiner Konfiguration möchte die andere Seite (also die FH) MS-CHAP machen aber du hast es via refuse-mschap in deiner options.pptp abgeschaltet. Könnte das vielleicht zu einem Problem werden?

----------

## hoschi

Danke erstmal. Ich habe jetzt beides ausprobiert, das Ding zeigt sich nichtmal geneigt eine Zeile der Ausgabe zu aendern.

Ich glaube man muss auch irgendwie zwischen MS-CHAP v2 und MS-CHAP unterscheiden   :Confused: 

PEBKAC vs. Microsoft

----------

## borsdel

moin,

also ich habe meine options.pptp überhaupt nicht angepasst und beim verbinden wird ja da dann auch mschap-v2 gepickt, was ja auch richtig sein soll (eben nicht ms-chap)

mfg borsdel

----------

## hoschi

Ich glaub an der musste ich bisher auch nichts anpassen. Hmmm.

----------

## borsdel

hier, die sachen mit benutzername und passwort hast du überprüft?

und klappt es denn mit windows?

mfg borsdel

----------

## hoschi

Bei den Komilitonen schon, aber da wir Wirtschaftsinformatik* studieren sind das freilich alles nur Windowsuser.

Und ich habe hier kein Windows, wobei ich vielleicht den Bootloader** auf der Fedorainstallation auf dem Desktop reparieren könnte, da müsste auf irgend einer Platte ein noch funktionsfähiges Windows herumliegen.

*nicht schlagen, bitte! Ich weiss, ich bin der Judas unter den Aposteln, aber ich habe halt schon vorher Banker gelernt.

**Grub ist vieles, nur kein Bootloader *bäh*

----------

## borsdel

naja, windows selber an den start bringen musst ja nun nicht, solange du weißt, dass es bei den anderen (auch von außerhalb) klappt.

tja, wie geht es also weiter? ich würde jetzt wahrscheinlich noch ne andere version von pptpclient testen, vielleicht auch mal den cisco-vpnclient anschaun (aber ich denke der kann mschap-v2 nicht, ist ja eher für deren ipsec verwendbar?), dann mal ne andere live-cd booten (hmm, ubuntu) und dann auch nochma das hrz madig machen...

mfg borsdel

----------

## b3cks

Zur Not gibt es vielleicht auch nette, hilfsbereite, Linux/Unix fixierte Admins, die dir helfen bzw. das vielleicht schon gemacht haben, selber nutzen oder immerhin wissen, auf was du achten musst.  :Wink: 

----------

## hoschi

Ich werde schauen dass ich einen der Informatikstudenten anhaue, die sind ja nicht so Windowsfixiert. Admin kriege ich hier nicht zu fassen, was mich der Anleitung zum VPN auch nicht wundert, ein extra HowTo zum Durchklicken fuer die Windowsen und ein extra Anleitung fuer Suse, mit einer von der FH bereitgestellten Binary - allerdings fuer Suse 7.0

----------

