Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5465 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP over IPsec VPN mit AD Login

wiseguy
Hallo,

bei einer UTM9 (Version 9.004-33) sollen sich die User über VPN (L2TP over IPsec) anmelden können. Die User sind im AD hinterlegt. Einen RADIUS Server gab es bisher nicht.

Offensichtlich wird der aber zwingend benötigt, oder man muss einen extra lokalen Login auf der Astaro haben. Zwei Logins sind blöd und die User nutzen noch den Quarantäne Mail Manager, weshalb sie den AD Login benötigen. Weiterhin soll die HTML5VPN Funktion (am besten mit direkt weitergegebenen Logindaten) nutzbar sein.
Folglich werde ich nicht um einen RADIUS Server herumkommen.
Also hab ich einen Netzwerkrichtlinien Server auf dem DC (einziger DC; Windows Server 2008 R2) installiert. Bisher hab ich gar keine Erfahrung mit RADIUS gehabt und habs leider auch nicht hinbekommen, den Server so einzurichten, dass nur die Benutzer in einer bestimmten Gruppe bei L2TP over IPsec authentifiziert werden können (wie gesagt ist dort bisher der einzige Zweck, genau für diesen Service zu authentifizieren).

Meine Zwei Fragen sind nun:
[LIST=1]
  • Entweder gibt es doch eine Möglichkeit, mein Vorhaben ohne RADIUS hinzubekommen. Mir fehlt ja bisher noch die Erkenntnis, warum es in der Astaro diese Beschränkung gibt (RADIUS oder lokale Authentifizierung)...
  • Auch wenn die Frage nicht unbedingt Astaro/Sophos Security Gateway spezifisch ist: Welche Richtlinie muss ich mit welchen Optionen im RADIUS Server konfigurieren, damit bei Authentifizierung für L2TP over IPsec der Benutzer sich genau dann authentifizieren kann, wenn er Mitglied einer speziellen Gruppe (z.B. SECURITYGATEWAY_L2TPOVERIPSEC) ist
[/LIST]

Ich würde mich sehr über Unterstützung und Hinweise freuen.


This thread was automatically locked due to age.
Parents
  • 0
    die User nutzen noch den Quarantäne Mail Manager

    Also muss es schon lokalen User geben - RADIUS ist nicht nötig.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    die User nutzen noch den Quarantäne Mail Manager

    Also muss es schon lokalen User geben - RADIUS ist nicht nötig.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    @BAlfson

    es muss keine lokalen User geben, da das Login per AD gemacht wird.

    @wiseguy
    ist L2TP over ipsec zwingend nötig?

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Hi,

    @wiseguy
    ist L2TP over ipsec zwingend nötig?


    Ich hätte das deshalb gerne, weil es so am einfachsten mit iOS und Apple Geräten einzurichten ist: Da brauch ich keine Zusatztools sondern nur das jeweilige OS.

    Ich bin auch einige Schritte weiter. Ich hatte das mal in Englisch geschrieben und kopier das mal komplett hier rein. Ich werde das denke ich morgen oder übermorgen noch mal in Deutsch schreiben, da mein Englisch nicht so dolle ist:
    (Das bezieht sich auf diesen Artikel)
    The Article is good, but it doesn't work for me:
    Testing the RADIUS in section "Definations & Users" > "Authentication Servers" > "Servers" > Options of the konfigured RADIUS Authentication Server > "Authenticate example user" with Nas-Identifier "l2tp" works fine: "Authentication test passed" is the answer (User is a member of the following groups: "Radius Users")

    And if I use it for example with the User Portal, than it works fine, too.

    Now when I konfigure "RADIUS" in Section "Remote Access" > "L2TP over IPsec" > "Global" > "Access control" > "Authentication via..." and after that log in as my testet AD User I have no L2TP VPN Option there.

    But I need some changes to successfully passing the test and the Login on the User Portal:
    1. In Server 2008 R2 there are standard attributes during the wizard in Section (German!) "Eigenschaften von User Portal" > "Einstellungen" > "RADIUS-Attribute" > "Standard" :
    * Framed-Protocol = PPP
    * Service-Type = Framed
    (I seletet both because the test in UTM don't work successful with this settings)

    2. In the Article in Part "1. Configre RADIUS on your Windows Server" after Point 7 "In the Specify Access Permission window, select 'Access granted', click Next." there is not decriped that I have to select the Option (German!) "Unverschlüsselte Authentifizierung (PAP, SPAP)", too (With only the Options MS-CHAP and MS-CHAP-v2 in Point 9 and 10 the Test was not successfully)

    But it does not work for the Remote Access Sections: Not for L2TP over IPsec and not for SSL VPN


    Wenn jemand mir da weiter helfen kann würde ich mich sehr freuen.
Cookie Information Banner