nach dem ich erfolglos weder PPTP noch L2TP über IPsec zum laufen gebracht habe, habe ich mich hier im Forum mal umgesehen.
Dabei habe ich einige Threads gefunden aus denen scheinbar hervorgeht, dass es nicht möglich ist eine CHAP-Authentifizierung in Verbindung mit einem Netzwerkrichtlinienserver (NPS) unter Windows Server 2008 zu erreichen.
Hier die drei Threads die ich dazu gefunden:
http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-access/31802-l2tp-radius-chap-headache.html
http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-access/30951-pptp-radius-windows-2008-server-failing.html
http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-access/29068-radius-issues.html
Dort steht, dass man nur die unverschlüsselte Authentifizierung PAP nehmen kann, was wir aber definitiv nicht wollen.
Ist das alles richtig oder gibt es nicht doch eine Möglichkeit dies mit CHAP zu konfigurieren? Ich meine, Windows Server 2008 ist ja jetzt auch schon ein paar Jahre auf dem Markt und sicher öfters im Einsatz.
Das einzige was bei mir noch etwas abweicht ist die Tatsache, dass der Test der Astaro mit Userdaten grundsätzlich fehlschlägt und er auch immer sagt das der User in keiner Gruppe ist. Lediglich wenn ich gar keine NAS-Kennung angebe, funktioniert die Authentifizierung. Das habe ich testweise auch mal mit PAP und komplett ohne Authentifizierung getestet aber leider ändert sich sogar dann nichts.
Ich habe im Technet noch einen Artikel gefunden über die genaue Fehlermeldung die ich im Radius-Eventlog lesen kann:
The user attempted to use an authentication method that is not enabled
When you use NAP with 802.1X or VPN enforcement, you must configure settings in the connection request policy to override network policy authentication settings. If this setting is not enabled, NPS will deny network access requests by NAP client computers with the following reason: “The user attempted to use an authentication method that is not enabled on the matching network policy.” To fix this issue, configure connection request policy to override network policy authentication settings.
To configure connection request policy to override network policy authentication
1.
On the server running NPS, click Start, click Run, type nps.msc, and press ENTER.
2.
In the console tree, open Policies\Connection Request Policies.
3.
In the details pane, right-click the name of your connection request policy for 802.1X or VPN connections, and then click Properties.
4.
Click the Settings tab, click Authentication Methods, select Override network policy authentication settings, and then click OK.
The RADIUS client is not NAP-capable
When you use RADIUS clients with the IPsec enforcement, VPN enforcement, or DHCP enforcement methods, you must enable the RADIUS client as NAP-capable. This setting can be missing if you use the NAP configuration wizard to create RADIUS clients because the setting is not displayed in the wizard interface. A RADIUS client that is not enabled as NAP-capable will have limited functionality in a NAP deployment unless you are using the 802.1X enforcement method. For example, a VPN server that is also a RADIUS client for the NAP with VPN enforcement method will not enforce remediation server group settings if it is not configured as NAP-capable. You can use the NPS console to configure a RADIUS client as NAP-capable.
Ich habe den Haken mal gesetzt, hat aber leider keinerlei Auswirkungen.
Bitte sagt mir, dass ich nur einen Fehler mache und das ganze eigentlich ganz einfach ist. :-D
Vielen Dank im Voraus.
Gruß
Giro
This thread was automatically locked due to age.