יום חמישי, ינואר 09, 2014

Ignoring spoofed proxy reply. Signature is invalid (should be for bad secret)

היום נתקלתי בבעיה כי אחד השרתים מסרב לעבוד במחוגהחופשי שמשמש כמפנה תעבורה (פרוקסי) שהגדרתי למערכת שלי.

כאשר הפעלתי את המחוגהחופשי עם דגל X ראיתי כי קיימת התראה על אי ההתאמה בסוד המשותף. ובגלל זה הלקוח ממודר מהודעות שעונות.

נגדיר: 

סוד = "shamur" 
לקוח קצה כ 192.168.1.2 
שרת מפנה תעבורה 192.168.1.3 
שרת1 המשמש כמחוג 192.168.1.4 
שרת2 המשמש כמחוג 192.168.1.5 

ההודעה שראיתי הייתה :

 Ignoring spoofed proxy reply. Signature is invalid (should be for bad secret) 

הבעיה היא שהודעה זו מדברת בדר"כ על שגיאה של לקוח מול מפנה התעבורה.

חיפשתי מספר שעות ואף שיחקתי ושיניתי מי שרת ברירת המחדל עבד :
realm DEFAULT {
        nostrip
        authhost        = 192.168.1.4:1812
        accthost        = 192.168.1.4:1813
        secret          = "shamur"
        type=radius
}
אבל זה לא עבד:
#Going to the next request
#Waking up in 0.9 seconds.
#rad_recv: Access-Accept packet from host 192.168.1.5 port 1812, id=63, length=46
#Ignoring spoofed proxy reply.  Signature is invalid
#Waking up in 0.8 seconds.
realm DEFAULT {
        nostrip
        authhost        = 192.168.1.5:1812
        accthost        = 192.168.1.5:1813
        secret          = "shamur"
        type=radius
}
שברתי את הראש ,
כי וידאתי בעזרת ntradping של MasterSoft שאני מצליח לבצע זיהויי. 
ואז עלה במוחי הרעיון לבדוק עם radclient.exe (גם מבית המחוגהחופשי)

C:\FreeRADIUS\bin\tests>..\radclient.exe -d ..\..\etc\raddb  -f  radclient-chap.conf 192.168.1.5:1812 auth shamur
rad_verify: Received Access-Accept packet from home server 192.168.1.5 port 1812 with invalid signature!  (Shared secret is incorrect.)
rad_verify: Received Access-Accept packet from home server 192.168.1.5 port 1812 with invalid signature!  (Shared secret is incorrect.)
rad_verify: Received Access-Accept packet from home server 192.168.1.5 port 1812 with invalid signature!  (Shared secret is incorrect.)
radclient: no response from server for ID 115 socket 120 
פה כבר הבנתי שהבעיה שהמחוגהחופשי מדווח שגיאה לא מדוייקת בצד השרת (2.2) , הבעיה היא לא בין הלקוח לשרת ההפניה כי אם בין שרת ההפניה לבין שרת הבית (homeserver) מפה זיהוי הבעייה היה קל (הסוד המשותף באחד השרתים היה שונה באות אחת גדולה לאומת קטנה). 

או כמו שאמרתי לידיד מחברה שמחזירה משרדים בשדרות בקוד פתוח זה לא היה קורה .. 

המחוג החופשי 

אין תגובות:

הוסף רשומת תגובה