Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2530 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN authentication issue

LordHex
Hello,

I'm trying to setup VPN access into my company network with Astaro 4. I did setup PPTP RoadWarrior with RADIUS authentication.
Also authentication into the web interface ASL is made against RADIUS server. Everything is setup correct because only members of Domain Admins are allowed in this ASL and they can login successfully via internal interface.

The PPTP is setup to accept login from both RADIUS and Local Users.

 Code:
  

           +---- Win2003-VPN ---                   

           |                                  \

           |                                    + --ISP Router --- Internet --- PPTP Client 

           |                                  /  

 Internal Net---Astaro FW ---  

           |

           |

 Win2003/RADIUS
 
On the same circuit, just a digit distance in the external IP address there is another VPN server running under Windows 2003 just fine.

Whenever I'm trying to VPN into ASL via external interface is erroring out, regardless if I'm using a username from the Domain Admins group or from Local Users in ASL.

Is there any other setting I should make?

Thanks.
   


This thread was automatically locked due to age.
  • 0 in reply to bagira
    Oh sure, here they are.

    Begining of connection:
    2004-Feb 27 08:54:05 (none) pppd[23062]: RADATTR plugin initialized.
    2004-Feb 27 08:54:05 (none) pppd[23062]: Plugin /usr/sbin/radius.so loaded.
    2004-Feb 27 08:54:05 (none) pppd[23062]: RADIUS plugin initialized.
    2004-Feb 27 08:54:05 (none) pppd[23062]: Plugin /usr/sbin/radattr.so loaded.
    2004-Feb 27 08:54:05 (none) pppd[23062]: RADATTR plugin initialized.
    2004-Feb 27 08:54:05 (none) pppd[23062]: pppd 2.4.2b1 started by (unknown), uid 0
    2004-Feb 27 08:54:05 (none) pppd[23062]: Starting negotiation on /dev/ttyp0
    2004-Feb 27 08:54:06 (none) pptpd[23058]: GRE: Bad checksum from pppd.
    2004-Feb 27 08:54:06 (none) pptpd[23058]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2004-Feb 27 08:54:06 (none) pppd[23062]: rc_map2id: can't find tty /dev/ in map database
    2004-Feb 27 08:54:06 (none) pppd[23062]: CHAP peer authentication failed for remote host vpnuser
    2004-Feb 27 08:54:06 (none) pppd[23062]: Connection terminated.
    2004-Feb 27 08:54:06 (none) pppd[23062]: Exit.
    2004-Feb 27 08:54:06 (none) pptpd[23058]: GRE: read(fd=5,buffer=804d5a0,len=8196) from PTY failed: status = -1 error = Input/output error
    2004-Feb 27 08:54:06 (none) pptpd[23058]: CTRL: PTY read or GRE write failed (pty,gre)=(5,6)
    2004-Feb 27 08:54:06 (none) pptpd[23058]: CTRL: Closing child BCrelay with pid 0
    2004-Feb 27 08:54:06 (none) pptpd[23058]: CTRL: Closing child ppp with pid 23062
    2004-Feb 27 08:54:06 (none) pptpd[23058]: CTRL: Client 68.172.2.111 control connection finished
    2004-Feb 27 09:25:59 (none) pptpd[1705]: MGR: Manager process started
    2004-Feb 27 09:25:59 (none) pptpd[1705]: MGR: Maximum of 253 connections available
    2004-Feb 27 09:26:33 (none) pptpd[1910]: MGR: Launching /usr/local/sbin/pptpctrl to handle client
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: local address = 177.1.15.1
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: remote address = 177.1.15.2
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: pppd options file = /etc/ppp/options
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Client 68.172.2.111 control connection started
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Received PPTP Control Message (type: 1)
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Made a START CTRL CONN RPLY packet
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: I wrote 156 bytes to the client.
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Sent packet to client
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Received PPTP Control Message (type: 7)
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Set parameters to 1525 maxbps, 64 window size
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Made a OUT CALL RPLY packet
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Starting call (launching pppd, opening GRE)
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: pty_fd = 5
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: tty_fd = 6
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: I wrote 32 bytes to the client.
    2004-Feb 27 09:26:33 (none) pptpd[1911]: CTRL (PPPD Launcher): Connection speed = 115200
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Sent packet to client
    2004-Feb 27 09:26:33 (none) pptpd[1911]: CTRL (PPPD Launcher): local address = 177.1.15.1
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Received PPTP Control Message (type: 15)
    2004-Feb 27 09:26:33 (none) pptpd[1911]: CTRL (PPPD Launcher): remote address = 177.1.15.2
    2004-Feb 27 09:26:33 (none) pptpd[1910]: CTRL: Got a SET LINK INFO packet with standard ACCMs
    2004-Feb 27 09:26:33 (none) pppd[1911]: Plugin /usr/sbin/radius.so loaded.
    2004-Feb 27 09:26:33 (none) pppd[1911]: RADIUS plugin initialized.
    2004-Feb 27 09:26:33 (none) pptpd[1910]: GRE: Bad checksum from pppd.
    2004-Feb 27 09:26:33 (none) pppd[1911]: Plugin /usr/sbin/radattr.so loaded.
    2004-Feb 27 09:26:33 (none) pppd[1911]: RADATTR plugin initialized.
    2004-Feb 27 09:26:33 (none) pptpd[1910]: GRE: Bad checksum from pppd.
    2004-Feb 27 09:26:33 (none) pppd[1911]: Plugin /usr/sbin/radius.so loaded.
    2004-Feb 27 09:26:33 (none) pppd[1911]: RADIUS plugin initialized.
    2004-Feb 27 09:26:33 (none) pptpd[1910]: GRE: Bad checksum from pppd.
    2004-Feb 27 09:26:33 (none) pppd[1911]: Plugin /usr/sbin/radattr.so loaded.
    2004-Feb 27 09:26:33 (none) pppd[1911]: RADATTR plugin initialized.
    2004-Feb 27 09:26:33 (none) pptpd[1910]: GRE: Bad checksum from pppd.
    2004-Feb 27 09:26:33 (none) pppd[1911]: pppd 2.4.2b1 started by (unknown), uid 0
    2004-Feb 27 09:26:33 (none) pppd[1911]: using channel 51
    2004-Feb 27 09:26:33 (none) pppd[1911]: Starting negotiation on /dev/ttyp0
    2004-Feb 27 09:26:33 (none) pppd[1911]: sent [LCP ConfReq id=0x1        ]
    2004-Feb 27 09:26:34 (none) pppd[1911]: rcvd [LCP ConfReq id=0x2       ]
    2004-Feb 27 09:26:34 (none) pptpd[1910]: GRE: Bad checksum from pppd.
    2004-Feb 27 09:26:34 (none) pppd[1911]: sent [LCP ConfRej id=0x2 ]
    2004-Feb 27 09:26:34 (none) pptpd[1910]: CTRL: Received PPTP Control Message (type: 15)
    2004-Feb 27 09:26:34 (none) pptpd[1910]: CTRL: Got a SET LINK INFO packet with standard ACCMs
    2004-Feb 27 09:26:34 (none) pppd[1911]: rcvd [LCP TermReq id=0x3 "0\37777777633H\37777777621\000
  • 0 in reply to LordHex
    I know this sounds stupid but could you try to make your RADIUS server resolvable  through DNS? There is a known issue related to RADIUS, PPTP and name resolution -> ID747 http://docs.astaro.org/Known_Issues-ASL-V4.txt

    Greetings
    cyclops  
  • 0 in reply to cyclops
    The RADIUS server is sitting on my internal network, and it is resolvable internally by name.
    Do you mean to make it resolvable outside, on the internet?  
    It will be a huge security risk.

    Kind regards.
      
  • 0 in reply to LordHex
    if your RADIUS server is  internally resolvable you could try (for testing purposes)  to set your internal DNS  as DNS for the firewall. If you haven't used the proxy yet just enable it provide the DNS server IP and disable it again. Astaro will use the configured DNS server although the proxy is switched off. 

    Greetings 
    cyclops  
  • 0 in reply to cyclops
    Problem solved !

    Enabled MS-CHAP v2 on the IAS(RADIUS) server on "Encryption" tab as one of the allowed methods
    and the VPN works now. 

    Another thing happened now. The Domain Admin users which originally were allowed to login into Astaro box (via RADIUS on internal network) now they cannot login anymore. The only way is via 'admin' user defined locally on the Astaro box.

    Any solution to this now?

    Thank you.

      
  • 0 in reply to LordHex
    Have you revisited System--->Settings--->Webadmin Settings--->Authentication methods since you got RADIUS working?
       
  • 0 in reply to VelvetFog
    Yup,

    I did that and there was just "Local Users". Somehow that got changed/reverted to default value.
    Added "RADIUS Users" to the list and now works fine.

    Thank you.   
Cookie Information Banner