基于MacOS/iOS的PEAP认证的L2TP

Question

根据最近的安全建议，我正在重新配置我们的VPN服务器，并且遇到了麻烦。

我们使用Windows2008VPN服务，在同一服务器上运行RRAS和NPS，并将其配置为对所有隧道类型(PPTP、L2TP、IKEv2、SSTP)使用PEAP 2身份验证，这之前允许使用普通MSCHAPv2。

但苹果产品、MacOS和iOS在这一变化后无法连接到虚拟专用网。我试图安装PEAP事务中使用的根证书，但没有更改。

有没有人知道MacOS/iOS是否支持PPTP/L2TP中的PEAP-EAP-MSCHAPv2 2认证？如果是这样的话，有什么建议可以让它发挥作用吗？(我知道WPA/WPA 2企业支持PEAP-EAP-MSCHAPv2 2)

致以问候。

Answer 1

我还没有找到官方确认Mac不支持PEAP-EAP-MSCHAPv2 2，但我也无法让它工作(Windows 2003 R2和L2TP-overESP，这里有一个Mac 10.8客户端)。我甚至没有在IAS日志文件中看到登录尝试。(“安全事件日志”()充满了各种各样的东西，所以我没有仔细阅读它。)我确实很满意地证实，至少ISAKMP和IPsec ESP正在通过检查Mac上的/var/log/racoon.log来工作，在这里我看到了类似于下面的条目(在这里，198.51.100.200是Mac，192.0.2.100是SBS)：

DEBUG: agreed on pre-shared key auth.
INFO: NAT detected: ME PEER
INFO: ISAKMP-SA established 198.51.100.200[4500]-192.0.2.100[4500] spi:0123456789abcdef:0123456789abcdef
INFO: NAT detected -> UDP encapsulation (ENC_MODE 2->61444).
INFO: IPsec-SA established: ESP/Transport 192.0.2.100[4500]->198.51.100.200[4500] spi=01234567(0x012345)
INFO: IPsec-SA established: ESP/Transport 198.51.100.200[4500]->192.0.2.100[4500] spi=89abcdef(0x6789ab)

我还查看了/var/log/ppp.log，其中包含如下内容：

IPSec connection started
IPSec phase 1 client started
IPSec phase 1 server replied
IPSec phase 2 started
IPSec phase 2 established
IPSec connection established
L2TP sent SCCRQ
L2TP received SCCRP
L2TP sent SCCCN
L2TP sent ICRQ
L2TP received ICRP
L2TP sent ICCN
L2TP connection established.

这重新介绍了在racoon.log中显示的成功的L2TP连接，并添加了一个成功的L2TP连接(这很有意义--L2TP本身是未经身份验证的)。接下来，Mac试图像预期的那样在L2TP上构建PPP连接，这就是我开始看到我不明白的错误的地方：

lcp_reqci: rcvd unknown option 13
lcp_reqci: rcvd unknown option 23
lcp_reqci: returning CONFREJ.

其次是：

sent [LCP ConfRej id=0x0...
rcvd [LCP ConfAck id=0x1...
rcvd [LCP ConfReq id=0x1 <mru 1400> <auth eap>...
lcp_reqci: returning CONFNAK.
sent [LCP ConfNak id=0x1 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x2 <mru 1400> <auth eap>...
lcp_reqci: returning CONFNAK.
sent [LCP ConfNak id=0x2 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x3 <mru 1400> <auth eap>...
lcp_reqci: returning CONFNAK.
sent [LCP ConfNak id=0x3 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x4 <mru 1400> <auth eap>...
lcp_reqci: returning CONFNAK.
sent [LCP ConfNak id=0x4 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x5 <mru 1400> <auth eap>...
lcp_reqci: returning CONFNAK.
sent [LCP ConfNak id=0x5 <auth chap MS-v2>]
rcvd [LCP ConfReq id=0x6 <mru 1400> <auth eap>...
lcp_reqci: returning CONFREJ.
sent [LCP ConfRej id=0x6 <auth eap>]
rcvd [LCP TermReq id=0x7...
sent [LCP TermAck id=0x7]
Fatal signal 6

注意上面的'auth eap‘和'auth chms-v2’。

我将尝试取消对远程访问策略所做的一些更改：

• 重新启用所有加密类型(不/basic/强/最强，仅最强)
• 删除所有EAP类型并仅启用MSCHAPv2 (受保护的EAP PEAP/EAP-MSCHAPv2)

考虑到整个交易所都受到IPsec的保护，我想知道我的实际风险。如果有人破坏了客户端，使他们能够访问用于IPsec的PSK或证书，我不确定是否只有PEAP来验证PPP连接(至少对我的威胁模型而言)。

更新:我在RRAS服务器属性和控制VPN访问的IAS策略中重新启用了MSCHAPv2，并且启用了所有加密类型。在进行这些更改之后，Mac能够再次连接到l2tp之上的IPsec VPN，使用MSCHAPv2对PPP进行身份验证。我在IAS策略中切换PEAP以确认PEAP不能工作，实际上，在启用PEAP (但MSCHAPv2已禁用)之后，我现在收到一条身份验证失败消息，Mac记录如下：

MS-CHAP authentication failed: E=649 No dialin permission
sent [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]

我认为以前的行为比较模糊是因为我在has本身以及IAS策略中禁用了MSCHAPv2，而我当前的测试配置在has中启用了MSCHAPv2，但在IAS策略中禁用了。