Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 16052 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need help with Radius

Stefan Onken
Hello,

I am trying to connect Astaro 8.xx to a Windows 2008 Server. I followed the documents I was able to get hold on, but no luck. 

I attached some screen shots to show my current settings. 

On the Astaro Backend I am able to authenticate any users (even non existing users) as long as I not select any "Nas Indentifier". As soon as I set the "Nas Identifier" to "pptp" the test fails.

"
User authentication:
Radius authentication failed

User is a member of the following groups:
No groups have been found for this user
"

The log :

2011:12:22-12:52:19 gateway aua[32658]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f[:P]ptp, u:thomas, ip:0.0.0.0"
2011:12:22-12:52:19 gateway aua[32658]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test failed: Radius authentication failed"

I added more screenshots to: Stonki: Astaro

Any ideas? Thanks
Stonki


This thread was automatically locked due to age.
  • 0
    Hi,

    does the initial configuration works? (shared secret / test server settings)

    If Yes:

    ) The first screen (NPS) looks similar to mine
    ) At the second one I miss the "Tag- und Uhrzeitbeschränkungen" and I do not have a "NAS-Bezeichner"
    ) At the third one I also miss "Tag- und Uhrzeit...." (I've added here also a domain group which is allowed to use this rule)

    What can you see at the log of your NPS server ... there should be a reason why the access is beeing denied (or at least a hint...)

    M$
  • 0 in reply to Microsaft
    Hi,

    does the initial configuration works? (shared secret / test server settings)

    If Yes:

    ) The first screen (NPS) looks similar to mine
    ) At the second one I miss the "Tag- und Uhrzeitbeschränkungen" and I do not have a "NAS-Bezeichner"
    ) At the third one I also miss "Tag- und Uhrzeit...." (I've added here also a domain group which is allowed to use this rule)

    What can you see at the log of your NPS server ... there should be a reason why the access is beeing denied (or at least a hint...)

    M$


    Yes. the first test works fine. Please have a look at the new screenshots. I amended them according to your hints, but with the same result.


    Thanks for the hint with the log. It gives some hints, but I have no idea why:

    "
    Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

    Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

    Benutzer:
    Sicherheits-ID: 2WHEEL\thomas
    Kontoname: thomas
    Kontodomäne: 2WHEEL
    Vollqualifizierter Kontoname: 2WHEEL\thomas

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfänger-ID: -
    Anrufer-ID: -

    NAS:
    NAS-IPv4-Adresse: -
    NAS-IPv6-Adresse: -
    NAS-ID: pptp
    NAS-Porttyp: -
    NAS-Port: -

    RADIUS-Client:
    Clientanzeigenname: Astaro
    Client-IP-Adresse: 192.168.2.1

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie: VPN
    Netzwerkrichtlinienname: VPN
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: 2WDDOMC.2wheel.local
    Authentifizierungstyp: PAP
    EAP-Typ: -
    Kontositzungs-ID: -
    Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode: 66
    Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.

    "
  • 0 in reply to Stefan Onken
    Well, after some tea I actually noticed the problem. I had to enable "PAP" and I now it's working!
  • 0
    exactly what the log says   [;)]

    ..Authentifizierungsmethode (in dem Fall PAP) ...nicht aktiviert

    Gruß M$
  • 0 in reply to Stefan Onken
    Well, after some tea I actually noticed the problem. I had to enable "PAP" and I now it's working!


    well, "zu früh gefreut". The test is working fine. (see screenshot)
    Username, password and NAS identifier "pptp"


    The vpn from the iphone is not not working. I tried "PPTP":

    011:12:22-14:32:36 gateway pptpd[7628]: CTRL: Client 217.88.19.194 control connection finished
    2011:12:22-14:32:36 gateway pptpd[7628]: CTRL: Exiting now
    2011:12:22-14:32:36 gateway pptpd[7376]: MGR: Reaped child 7628
    2011:12:22-14:33:06 gateway pptpd[7682]: MGR: Manager process started
    2011:12:22-14:33:06 gateway pptpd[7682]: MGR: Maximum of 253 connections available
    2011:12:22-14:33:35 gateway pptpd[7778]: CTRL: Client 217.88.19.194 control connection started
    2011:12:22-14:33:35 gateway pptpd[7778]: CTRL: Starting call (launching pppd, opening GRE)
    2011:12:22-14:33:35 gateway pppd-pptp[7781]: Plugin radius.so loaded.
    2011:12:22-14:33:35 gateway pppd-pptp[7781]: RADIUS plugin initialized.
    2011:12:22-14:33:35 gateway pppd-pptp[7781]: Plugin radattr.so loaded.
    2011:12:22-14:33:35 gateway pppd-pptp[7781]: RADATTR plugin initialized.
    2011:12:22-14:33:35 gateway pppd-pptp[7781]: pppd 2.4.5 started by (unknown), uid 0
    2011:12:22-14:33:35 gateway pppd-pptp[7781]: Starting negotiation on /dev/ttyp0
    2011:12:22-14:33:35 gateway pptpd[7778]: GRE: Bad checksum from pppd.
    2011:12:22-14:33:39 gateway pppd-pptp[7781]: rc_map2id: can't find tty /dev/ in map database
    2011:12:22-14:33:39 gateway pppd-pptp[7781]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:12:22-14:33:39 gateway pppd-pptp[7781]: Peer thomas failed CHAP authentication
    2011:12:22-14:33:39 gateway pptpd[7778]: CTRL: EOF or bad error reading ctrl packet length.
    2011:12:22-14:33:39 gateway pptpd[7778]: CTRL: couldn't read packet header (exit)
    2011:12:22-14:33:39 gateway pptpd[7778]: CTRL: CTRL read failed
    2011:12:22-14:33:39 gateway pptpd[7778]: CTRL: Reaping child PPP[7781]
    2011:12:22-14:33:39 gateway pppd-pptp[7781]: Modem hangup
    2011:12:22-14:33:39 gateway pppd-pptp[7781]: Connection terminated.
    2011:12:22-14:33:39 gateway pppd-pptp[7781]: Exit.
    2011:12:22-14:33:39 gateway pptpd[7778]: CTRL: Client 217.88.19.194 control connection finished


    The strange thing is, that I am not able to see anything in the Windows server log files...
  • 0
    Ich habe nun das Log auf Window Seite gefunden, nur damit sollte es gehen:


    Der Netzwerkrichtlinienserver hat einem Benutzer Vollzugriff erteilt, da der Host die Integritätsrichtlinien erfüllt.

    Benutzer:
    Sicherheits-ID: 2WHEEL\thomas
    Kontoname: thomas
    Kontodomäne: 2WHEEL
    Vollqualifizierter Kontoname: 2WHEEL\thomas

    Clientcomputer:
    Sicherheits-ID: NULL SID
    Kontoname: -
    Vollqualifizierter Kontoname: -
    Betriebssystemversion: -
    Empfangs-ID: -
    Anrufer-ID: 217.88.19.194

    NAS:
    NAS-IPv4-Adresse: -
    NAS-IPv6-Adresse: -
    NAS-ID: pptp
    NAS-Porttyp: -
    NAS-Port: 0

    RADIUS-Client:
    Clientanzeigename: Astaro
    Client-IP-Adresse: 192.168.2.1

    Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtline: VPN
    Netzwerkrichtlinienname: VPN
    Authentifizierungsanbieter: Windows
    Authentifizierungsserver: 2WDDOMC.2wheel.local
    Authentifizierungstyp: MS-CHAPv2
    EAP-Typ: -
    Kontositzungs-ID: -

    Quarantäneinformationen:
    Ergebnis: Vollzugriff
    Erweitertes Ergebnis: -
    Sitzungs-ID: -
    Hilfe-URL: -
    Verifizierungsergebnis(se) der Systemintegrität: -
  • 0 in reply to Stefan Onken
    anyone got an idea, why the test is acutally working, but the pptp connect with an iphone is failing?
  • 0 in reply to Stefan Onken
    Hi,

    see my thread at:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54429

    I couldn't get it to work either. Seems like the iPhone and iPad is using CHAP. You can't select PAP as authentication method as far as I know. I finally gave up using Radius with ASL.

    I've also tried PPTP but got the same result. It just won't connect.

    Franc.
  • 0
    I connect to our Astaro every day with my iPhone to L2TP with RADIUS authentication.  Presently running 8.300, but this also worked in 7.5 and 8.2.  My iPhone 3G is on iOS 4.2.1.





    Cheers - Bob
  • 0 in reply to BAlfson
    Hi bob,

    the screenshots you included are from a Windows 2003 server. We are using a windows 2008 R2 server and I have made the exact same settings. Maybe that's the problem? Perhaps there a compatibility issue between Astaro and the NPS service from Windows 2008 R2?

    Franc.