Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4501 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Portal und L2TP IPSEC mit RADIUS

keamas
Hi ich beschäftige mich ganz neu mit der Sophos UTM9 bzw Astaro.
Von aussen erreiche ich leider das User Portal nicht.
Ich habe dafür folgende DNAT regel erstellt:

NAT:
Traffic selector: Any → HTTPS → External (WAN) (Address)
Destination translation: External (WAN) (Address) HTTPS

Und die passende Firewall Regel:
Any → HTTPS External → (WAN) (Address)

Passt das So? oder nicht? Wo könnte der Fehler liegen?

Mein zweites Problem ist:
L2TP IPSEC mit Radius habe ich leider nicht hinbekommen:
Ich habe mir dazu folgendes angeschaut:


1. Open NPS MMC on 2008 R2 RADIUS server
2. Browse to Connection Request Policies
2.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Connection Request Policies:
3. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
3.1. I renamed mine to ASG L2TP VPN Connections
4. Browse to Overview tab
5. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
6. Browse to Conditions tab
7. Remove Condition NAS Port Type = Virtual (VPN)
8. Add Condition NAS Identifier = l2tp 
9. Add Condition client IPv4 Address =  (For Added Security)
10. Apply and close policy
11. Browse to Network Policies
11.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Network Policies:
12. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
12.1. I renamed mine to ASG L2TP VPN Connections
13. Browse to Overview tab
14. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
15. Browse to Conditions tab
16. Remove Condition NAS Port Type = Virtual (VPN)
17. Add Condition NAS Identifier = l2tp
18. Add (if absent) Windows Groups = Active Directory group that allows users to VPN
19. Apply and close policy


Ich bekomme in der Astaro beim Test folgenden Fehler:
Error: Connection attempt timed out
Astaro Parameter für Radius:
Host: zoidberg.planet-express.internal (192.168.1.10:1812)

Radius Server läuft direkt auf dem AD Server.
Network Policy Server hinzugefügt:
1. In AD registrieren 
Radius Clients:
Name: Sophos UTM L2TP IPSEC
IP: 192.168.1.10
Shared Secret: ***
Vendor name: RADIUS Standard

Connection Request Policies

Name: Sophos UTM L2TP IPSEC
Policy Enabled
Type of Network Access Server: Unspecified
Conditions 

  • NAS Identifier: l2tp
  • NAS IPv4 Adr: 192.168.1.254

Setting: alles auf Default und Leer
Network Policies

Name: Sophos UTM L2TP IPSEC
Policy Enabled
Grat Access
Type of Network Access Server: Unspecified
Conditions:
Windows Groups: Domain Users
NAS Identifier l2tp
Client IPv4 Adr: 192.168.1.254
Constraints
Alles auf Default
Settings
Alles auf Default

Und hier das ganze nochmals als screenshot angehängt


This thread was automatically locked due to age.
  • 0
    So habe gerade noch das hier dazu gefunden:
    How to use RADIUS Authentication: Astaro Security Gateway - Knowledgebase - Support - Sophos

    nun habe ich eine Verbindung zum Radius Server der Sophos UTM Test psst.
    Nun muss ich nur noch schauen ob es auch wirklich mit dem VPN geht ...

    Und iest es normal, dass das L2TP IPSec VPN nicht im User Portal auftaucht?
    SSL VPN und Cisco VPN taucht auf nur das L2TP IPSEC nicht. Muss ich das irgendwie dem user noch zuweisen oder taucht das nicht auf und nur die Authentifizierung wenn ich mich einwähle geht über RADIUS ?
  • 0
    L2TP geht ja mit Bordmitteln - die anderen werden im Portal nur angezeigt, weil man dafür einen extra Client runterladen muss.
  • 0
    (Sorry, my German-speaking brain isn't working now. [:(])

    Und iest es normal, dass das L2TP IPSec VPN nicht im User Portal auftaucht?

    I think this is a bug, but it hasn't gotten any attention from the developers.  Either you must give the PSK to each VPN user manually or change from RADIUS to Local users.

    MfG - Bob (Bitte auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ja es schaut leider ganz danach aus.
    Ich habe dem Support diesbezüglich kontaktiert und folgende Antwort erhalten: 

    Wenn Sie per Radius Authentifizieren het die ASG keine Konfigurationsinformationen welches Teile des UserPortals angezeigt werden sollen. Das Verhalten ist also "as designed"
    Mit freundlichen Gruessen, 

    Ralph Kloess 
    Sophos Technischer Support


    Anschließen wollte ich wissen wie es dann möglich ist via iOS zugriff auf L2TP IPSEC mit Zertifikaten zu erhalten selbst wenn ich auf Lokal umstelle.

    Hallo Herr Kloess,
    Vielen Dank für die schnelle Antwort. Nun habe ich das ganze mal testweise auf Lokal umgestellt und dann hat sich jedoch folgende Frage ergeben:
    Wenn ich Access Control auf Local umstelle und iOS devices aktiviert habe, bekomme ich im User Portal lediglich L2TPN VPN PKCS 12 Zertifikat Download und nicht den  iOS device VPN Konfiguration Download angeboten. Oder ist es manuell irgendwie möglich L2TP over IPSEC, Zertifikat und Radius zu konfigurieren? 
    Denn ohne den iOS Konfiguration Download ist es mir nicht möglich ein Zertifikat auf dem iOS Device auszuwählen unter L2TP.


    Leider kam darauf nur die verweis auf das Forum:

    als User der Home-License haben Sie leider keinen Anspruch auf Support. Sie können Ihre Fragen aber gerne ins Astaro User Forum stellen.


    Meiner Meinung ist es eindeutig ein BUG da man L2TP für IOS mit Zertifikaten nicht konfigurieren kann ohne das man die Konfiguration downloaded. Selbst wenn man auf Lokale Auth umstellt. Aber offensichtlich ist man da bei Astaro anderer Meinung.
  • 0
    Hallo keamas,

    ich verstehe nicht ganz, wofür die NAT Regel gut sein soll.
    NAT:
    Traffic selector: Any → HTTPS → External (WAN) (Address)
    Destination translation: External (WAN) (Address) HTTPS

    Wenn jemand per HTTPS auf die externe IP der Firewall geht, soll die Adresse umgesetzt werden auf die externe Adresse mit Protokoll HTTPS? 
    Also passiert doch gar nichts, oder?!?! Die Regel sollte überflüssig sein.

    Gruss, Karsten
  • 0
    Hallo,

    leider hab ich es auch nicht hinbekommen; Die angegebene Anleitung ist gut, aber leider scheint es mit L2TP over IPsec und anderen VPN Optionen nicht zu funktionieren. (Beim Benutzer Portal beispielsweise hatte das funktioniert).

    Wenn ich den Test in der RADIUS Konfiguration mit l2tp durchführe, ist er erfolgreich. Letztendlich sehe ich aber schon im User Portal nix von der Konfiguration.

    Ich hab die Aktuelle UTM9.

    Hat jemand ne Idee?
  • 0
    Hallo,

    hat jemand mit einem 2012 R2 Radius am laufen mit L2TP ?
    Der Server test ist bei mir erfolgreich, jedoch kommt bei der User Authentifzierung immer :

    User authentication:
    Radius authentication failed
    User is a member of the following groups:
    No groups have been found for this user

    Im Radius kann ich sehen das er garnicht die Netzwerkrichtilinie nimmt die ich erstellt habe, obwohl nach Anleitung gegangen bin?
Cookie Information Banner