Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3964 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Radius as authentication method

jan vd lely
Hi all,

I'm in the process of evaluating ASL 3.207 for the school I work for. I'm pretty satisfied so far exept for one vital item: proxy authentication through Radius does not seem to work. I know there have been several posts about this topic (I've read them!). None of this posts contained helpful info for me. Situation:
ASL box with external, internal and DMZ network
W2K server in internal network, which is also the radius server.
ASL works fine when proxying in standard/transparent mode. No troubles to connect to the internet. However, when switching to user autentication mode a log-on pop up appears in the browser. So far so good. But I never get my user id authenticated    . I followed the manual to the letter. I don't know what is wrong. The event log of IAS on the W2K server remains empty. It looks like it does not receive any requests from the Astaro box. Any idea's? I know I have to enable remote dial in flag (I did), about the shared secret etc etc. I really read the manual several times. Please give some tips to solve this matter. To me this is important as I want to be able to give access to the proxy based on user groups. If this will not work I will have to look for other products, although I like Astaro a lot.

regards,
Jan van der Lely

 jan.vd.lely@kennisnet.nl


This thread was automatically locked due to age.
Parents
  • 0
    Hey,
    i have tested 2 different RADIUS Server (ASCEND Navis RADIUS and RSA-Security ACE/RADIUS) with the Astaro ASL. Only put shared-secret on both sides and the IP of the RADIUS Server in ASL and it works. For the IAS, is the radius-service real running on your W2K server. And what is in the authentication Log of ASL?

    firebear
  • 0 in reply to firebear_01
    Originally posted by firebear:
    Hey,
    i have tested 2 different RADIUS Server (ASCEND Navis RADIUS and RSA-Security ACE/RADIUS) with the Astaro ASL. Only put shared-secret on both sides and the IP of the RADIUS Server in ASL and it works. For the IAS, is the radius-service real running on your W2K server. And what is in the authentication Log of ASL?

    firebear
    Yes, the radius service is running on the W2K server. No events in the event viewer for IAS. I'm not a Linux expert (yet): where can I find those authentication log files of ASL? Or do you mean the log files accessible through the Web interface of ASL?

    Rgrds,
    Jan
  • 0 in reply to jan vd lely
    Hi,

    I´ve the same problem. In my asl-logs I´ve this message:

    1032723405.786    141 192.168.xx.xxx TCP_DENIED/407 1356 GET http://www.cert.org/ username NONE/- -

    Service on Win2k is running, but there is nothing in the logs.

    Please help!!!
  • 0 in reply to G. D. Hamburg
    Hi,

    I'm sorry to say this won't help but I started a thread back in August:
    http://www.astaro.org/ubb/ultimatebb.php?ubb=get_topic;f=9;t=000365

    Just to throw in my 2 pennies, as I've had this as an ongoing promblem since then.  Up till this point I thought it was me missing something stupid.

    Foz.  [:S]
Reply Children
  • 0 in reply to Foz
    hi,
    are both the ASL and IAS using the same TCP port for RADIUS communicatin there are two defined ports 1645 or 1812 but IAS and ASL must use the same TCP port.

    firebear
  • 0 in reply to oliver.desch
    Nope that didn't fix the problem.

    The IAS (Radius) server on Win2k is using both 1812 and 1645 as it's authorisation ports.

    I assume Astaro is set to 1812 as default, but how can I check?

    Otherwise any other thoughts.

    Foz
  • 0 in reply to Foz
    If your RADIUS server is in the DMZ with private IP addresses,  read this.
  • 0 in reply to MrZumma
    Shouldn't be that hard to connect ASL to a hub
    and to sniff at the wire using for example
    "ethereal", which is available for Linux and Windows.

    It can be found here
    Ethereal - Open Source Packet Sniffer

    read you
    o|iver
     
     [size="1"][ 26 September 2002, 03:41: Message edited by: oliver.desch ][/size]
  • 0 in reply to oliver.desch
    Hi,

    I´ve found the problem!!!

    There must be a error with delivering the password. After using a pass without signs like ".,;:#+~*äöü$ everything works fine!
  • 0 in reply to G. D. Hamburg
    Originally posted by G. D. Hamburg:
    Hi,

    I´ve found the problem!!!

    There must be a error with delivering the password. After using a pass without signs like ".,;:#+~*äöü$ everything works fine!
    Hmm, I am already using a simple password. Will try some options tomorrow. To be continued...

    Jan
  • 0 in reply to jan vd lely
    Originally posted by G. D. Hamburg:
    Hi,

    I´ve found the problem!!!

    There must be a error with delivering the password. After using a pass without signs like ".,;:#+~*äöü$ everything works fine!
    Same here! I made the shared secret a simple one, just four characters, no caps or shift symbols. Now it works! Thanks for the tip G.D. Hamburg!

    rgrds,
    Jan
  • 0 in reply to jan vd lely
    Sorry to say the the secret share fix didn't work for me.

    I think I now have worked out my problem, just not the fix.. Here is the strange situation my box is in.

    External IP
        |
    Cable Router
    with DHCP server
    Red IP  x.x.x.x from ISP DHCP
    Green IP 192.168.0.1 fixed
        |
    Astaro Firewall
    Red DHCP 192.168.0.x from router
    Green DHCP 192.168.1.252
    reservation from win2k
    No gateway set on astaro.
    Gateway set to 192.168.1.252 in DHCP scope
        |
    Windows 2000 Server 192.168.1.254
    Internal DHCP server
    IAS Server

    I think the gateway addresses fed from the various DHCP servers maybe confusing the routing somewhere?
    I can't see why this would affect anything, but it seems to be the only thing odd about my box, and therefore a likely candidate for the errors.

    Foz
  • 0 in reply to Foz
    Astaro needs a gateway on the external NIC (the one connected to the cable modem)

    Is there one being set?

    There should be no gateway on the internal NIC on Astaro.