Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4503 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Portal und L2TP IPSEC mit RADIUS

keamas
Hi ich beschäftige mich ganz neu mit der Sophos UTM9 bzw Astaro.
Von aussen erreiche ich leider das User Portal nicht.
Ich habe dafür folgende DNAT regel erstellt:

NAT:
Traffic selector: Any → HTTPS → External (WAN) (Address)
Destination translation: External (WAN) (Address) HTTPS

Und die passende Firewall Regel:
Any → HTTPS External → (WAN) (Address)

Passt das So? oder nicht? Wo könnte der Fehler liegen?

Mein zweites Problem ist:
L2TP IPSEC mit Radius habe ich leider nicht hinbekommen:
Ich habe mir dazu folgendes angeschaut:


1. Open NPS MMC on 2008 R2 RADIUS server
2. Browse to Connection Request Policies
2.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Connection Request Policies:
3. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
3.1. I renamed mine to ASG L2TP VPN Connections
4. Browse to Overview tab
5. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
6. Browse to Conditions tab
7. Remove Condition NAS Port Type = Virtual (VPN)
8. Add Condition NAS Identifier = l2tp 
9. Add Condition client IPv4 Address =  (For Added Security)
10. Apply and close policy
11. Browse to Network Policies
11.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Network Policies:
12. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
12.1. I renamed mine to ASG L2TP VPN Connections
13. Browse to Overview tab
14. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
15. Browse to Conditions tab
16. Remove Condition NAS Port Type = Virtual (VPN)
17. Add Condition NAS Identifier = l2tp
18. Add (if absent) Windows Groups = Active Directory group that allows users to VPN
19. Apply and close policy


Ich bekomme in der Astaro beim Test folgenden Fehler:
Error: Connection attempt timed out
Astaro Parameter für Radius:
Host: zoidberg.planet-express.internal (192.168.1.10:1812)

Radius Server läuft direkt auf dem AD Server.
Network Policy Server hinzugefügt:
1. In AD registrieren 
Radius Clients:
Name: Sophos UTM L2TP IPSEC
IP: 192.168.1.10
Shared Secret: ***
Vendor name: RADIUS Standard

Connection Request Policies

Name: Sophos UTM L2TP IPSEC
Policy Enabled
Type of Network Access Server: Unspecified
Conditions 

  • NAS Identifier: l2tp
  • NAS IPv4 Adr: 192.168.1.254

Setting: alles auf Default und Leer
Network Policies

Name: Sophos UTM L2TP IPSEC
Policy Enabled
Grat Access
Type of Network Access Server: Unspecified
Conditions:
Windows Groups: Domain Users
NAS Identifier l2tp
Client IPv4 Adr: 192.168.1.254
Constraints
Alles auf Default
Settings
Alles auf Default

Und hier das ganze nochmals als screenshot angehängt


This thread was automatically locked due to age.
Parents
  • 0
    (Sorry, my German-speaking brain isn't working now. [:(])

    Und iest es normal, dass das L2TP IPSec VPN nicht im User Portal auftaucht?

    I think this is a bug, but it hasn't gotten any attention from the developers.  Either you must give the PSK to each VPN user manually or change from RADIUS to Local users.

    MfG - Bob (Bitte auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    (Sorry, my German-speaking brain isn't working now. [:(])

    Und iest es normal, dass das L2TP IPSec VPN nicht im User Portal auftaucht?

    I think this is a bug, but it hasn't gotten any attention from the developers.  Either you must give the PSK to each VPN user manually or change from RADIUS to Local users.

    MfG - Bob (Bitte auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Ja es schaut leider ganz danach aus.
    Ich habe dem Support diesbezüglich kontaktiert und folgende Antwort erhalten: 

    Wenn Sie per Radius Authentifizieren het die ASG keine Konfigurationsinformationen welches Teile des UserPortals angezeigt werden sollen. Das Verhalten ist also "as designed"
    Mit freundlichen Gruessen, 

    Ralph Kloess 
    Sophos Technischer Support


    Anschließen wollte ich wissen wie es dann möglich ist via iOS zugriff auf L2TP IPSEC mit Zertifikaten zu erhalten selbst wenn ich auf Lokal umstelle.

    Hallo Herr Kloess,
    Vielen Dank für die schnelle Antwort. Nun habe ich das ganze mal testweise auf Lokal umgestellt und dann hat sich jedoch folgende Frage ergeben:
    Wenn ich Access Control auf Local umstelle und iOS devices aktiviert habe, bekomme ich im User Portal lediglich L2TPN VPN PKCS 12 Zertifikat Download und nicht den  iOS device VPN Konfiguration Download angeboten. Oder ist es manuell irgendwie möglich L2TP over IPSEC, Zertifikat und Radius zu konfigurieren? 
    Denn ohne den iOS Konfiguration Download ist es mir nicht möglich ein Zertifikat auf dem iOS Device auszuwählen unter L2TP.


    Leider kam darauf nur die verweis auf das Forum:

    als User der Home-License haben Sie leider keinen Anspruch auf Support. Sie können Ihre Fragen aber gerne ins Astaro User Forum stellen.


    Meiner Meinung ist es eindeutig ein BUG da man L2TP für IOS mit Zertifikaten nicht konfigurieren kann ohne das man die Konfiguration downloaded. Selbst wenn man auf Lokale Auth umstellt. Aber offensichtlich ist man da bei Astaro anderer Meinung.
Cookie Information Banner