Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2087 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN & RADIUS & AD Account Lockouts

nigelc
Hi, 
I don't know if anyone else has experienced this or has any suggestions but I have encountered a problem when using an L2TP VPN to "extend" the Company LAN to the home users.

We have an ASG425 on 4.405, user authentication by RADIUS Server, in this case a software solution called SecurEnvoy which provides 2 factor authentication by means of AD username/password plus a 6 digit pin. If the VPN is used only for RDP we have no problems, but if the VPN is used to directly access Network Resources such as shared files, after a while the account gets locked out in AD preventing access to network resources and, if the VPN is dropped the re establishment of the VPN until Active Directory is reset.  - What exactly is passed through from the tunnel creation to the network resources and is it different if the user is in the Astaro had has packet filter rule for the username rather than a simple rule for the remote IP pool ? 
It may be related to the SecurEnvoy software rather than a function of the Astaro VPN but any pointers would be most appreciated 
Many Thanks


This thread was automatically locked due to age.
Parents
  • 0
    What related messages have you found in logs for Astaro IPsec, SecureEnvoy and AD?

    What do you mean by "Active Directory is reset?"

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob.

    Astaro IPSec logs show nothing between connection start and connection terminated several hours later.

    SecurEnvoy log nothing after initial authentication.

    AD -- sometime during connection (sorry that's a bit vague, unknown username or bad password.


    I was online from 9 - 4 last friday then when I tried to re connect Discovered my AD accouint was locked.  Today I was only on for 20 minutes;  

    Since posting I have had this from SecurEnvoy >
    The issue you are seeing is due to limitation in the Astaro configuration. Astaro requires UserID, domain password and Passcode to perform a 2FA at the perimeter. It then caches these details, and subsequently passes the whole authentication to the AD. i.e. domain password plus the passcode.

     

    In SecurEnvoy v5.3 (Latest release) SecurEnvoy now supports SSO via Radius attributes, if Astaro can support this configuration, this may be an avenue to progress, as the AD password is now passed back. 

     

    The latest software can be downloaded from SecurEnvoy

     

    You may want to check documentation with Astaro to understand if this configuration is supported. 
Reply
  • 0 in reply to BAlfson
    Hi Bob.

    Astaro IPSec logs show nothing between connection start and connection terminated several hours later.

    SecurEnvoy log nothing after initial authentication.

    AD -- sometime during connection (sorry that's a bit vague, unknown username or bad password.


    I was online from 9 - 4 last friday then when I tried to re connect Discovered my AD accouint was locked.  Today I was only on for 20 minutes;  

    Since posting I have had this from SecurEnvoy >
    The issue you are seeing is due to limitation in the Astaro configuration. Astaro requires UserID, domain password and Passcode to perform a 2FA at the perimeter. It then caches these details, and subsequently passes the whole authentication to the AD. i.e. domain password plus the passcode.

     

    In SecurEnvoy v5.3 (Latest release) SecurEnvoy now supports SSO via Radius attributes, if Astaro can support this configuration, this may be an avenue to progress, as the AD password is now passed back. 

     

    The latest software can be downloaded from SecurEnvoy

     

    You may want to check documentation with Astaro to understand if this configuration is supported. 
Children
No Data