Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1520 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using Microsoft IAS as A Radius Server

bensley
Hey Guys;

I have an ASG120 set up for VPN access via PPTP using Microsoft IAS as the backend RADIUS authentication server. I have made a test group on the server and added myself to it. When I try to connect from my laptop to the firewall it errors out with the following:

Error 691: Access was denied because the username and/or password was invalid in the domain

However when I log into my Astaro firewall, Goto Users > Authentication > Servers and configure my server and test then authentication in there specifying my username, password and the NAS identifier as "pptp" as per the setup instructions here (http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=254953) it comes back saying:

User authentication:
Authentication test passed.

User is a member of the following groups:
Radius Users

So its seems to be ok but clearly it isn't. How can I trouble shoot my issues?


This thread was automatically locked due to age.
  • 0
    Hi,

    do you have more than one auth server defined? (eg. AD and RADIUS). The auth servers are asked in the defined order so if the username exists in AD and RADIUS, this may fail. You can check this in the Auth Log.

    Regards
    Manfred
  • 0
    Thanks for your reply however it wasn't the solution.

    What was, I will never know? I took all my settings out, re-entered them and it worked but I'm 100% certain nothing has changed seeing as I wrote my settings down and simply re-entered them? None the less it has sprung into life although there is a new problem....typical!

    I was testing the VPN by plugging my self and the firewall in a switch, now I am testing it over the internet to no avail [:(]

    My laptop ticks around on the screen saying "Verifying username and password" for about 15-20 seconds then it errors out with the following:
    Error 619: A connection to the remote computer could not be established, so the port used for this connection was closed. 

    My initial thoughts are a connectivety issue, TCP 1723 is forwarded to the firewall on the router but it only forwards TCP and UDP packets so fearing the lack of GRE connectivity I popped the firewall in the DMZ on the router but still to no avail?

    The firewall is showing the following log:

    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: MGR: Launching /usr/local/sbin/pptpctrl to handle client 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: local address = 172.16.2.1 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: remote address = 172.16.2.2 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Client 86.140.113.237 control connection started 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Received PPTP Control Message (type: 1) 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Made a START CTRL CONN RPLY packet 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: I wrote 156 bytes to the client. 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Sent packet to client 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Received PPTP Control Message (type: 7) 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Set parameters to 100000000 maxbps, 64 window size 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Made a OUT CALL RPLY packet 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Starting call (launching pppd, opening GRE) 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: pty_fd = 6 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: tty_fd = 7 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: Plugin /usr/sbin/radius.so loaded. 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: RADIUS plugin initialized. 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: Plugin /usr/sbin/radattr.so loaded. 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: RADATTR plugin initialized. 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: pppd 2.4.3 started by (unknown), uid 0 
    2009:10:29-15:42:53 AdminFirewall pptpd[17164]: CTRL (PPPD Launcher): program binary = /usr/sbin/pppd-pptp 
    2009:10:29-15:42:53 AdminFirewall pptpd[17164]: CTRL (PPPD Launcher): local address = 172.16.2.1 
    2009:10:29-15:42:53 AdminFirewall pptpd[17164]: CTRL (PPPD Launcher): remote address = 172.16.2.2 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: I wrote 32 bytes to the client. 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Sent packet to client 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: GRE: read(fd=7,buffer=80505a0,len=8260) from network failed: status = -1 error = Protocol not available 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: GRE read or PTY write failed (gre,pty)=(7,6) 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Reaping child PPP[17164] 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: Failed to open /dev/ttyp0: Input/output error 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: RADATTR plugin removed file /var/run/radattr.. 
    2009:10:29-15:42:53 AdminFirewall pppd-pptp[17164]: Exit. 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Client 86.140.113.237 control connection finished 
    2009:10:29-15:42:53 AdminFirewall pptpd[17163]: CTRL: Exiting now 
    2009:10:29-15:42:53 AdminFirewall pptpd[14046]: MGR: Reaped child 17163

    This line seems to confirm GRE connectivity issues but can anyone confirm this as this isn't my skillset?

    GRE: read(fd=7,buffer=80505a0,len=8260) from network failed: status = -1 error = Protocol not available
  • 0
    I'm having a similar issue that I thought was related to the PPTP daemon, but have instead determined that it's within the authentication engine. When testing the RADIUS response for the #1 authentication server, it works immediately and as expected. When testing the VPN connection, it always fails. The auth engine logs a timeout and failure to authenticate, while the RADIUS host logs a credential problem (username doesn't match associated password, AKA reason code 16).