Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP and Radius to Windows 2008 Server failing

Hi,
Configuring PPTP on firewall (v7.504) to use Radius to backend Windows 2008 Server.  Have configured Radius (NPS) on 2k8 server and also under Users\Auth\Servers on firewall. If I click 'Test' for server settings, it works fine. However if I add a test user, choose pptp and click 'Test', it fails with:

User authentication:
Radius authentication failed

User is a member of the following groups:
No groups have been found for this user


Under NPS on the Windows 2008 server, I have left the default connection request policy as is, and under the Network Policies node, have added a new policy that has conditions:

NAS Identifier: pptp
Windows Groups: DOMAIN\Radius Users

I have settings as:

Access Permission: Grant Access
Authentication Method: MS-CHAP v1 OR MS-CHAP v2
NAP Enforcement: Allow full network access
Update Noncompliant Clients: True
Framed-Protocol: PPP
Service-Type: Framed
BAP Percentage of Capacity: Reduce Multilink if server reaches 50% for 2 minutes
Encryption: Strongest encryption (MPPE 128-bit)


Most of the above settings are the defaults.

Any ideas why I'm getting this error when testing authentication???  The test user is a member of the group under AD.

As a test, if I alter the default Connection request policy ("Use Windows authentication for all users") on the Windows 2008 Server, under Settings tab, Authentication and change from "Authenticate requests on this server" to "Accept users without validating credentials" then click 'Test' from the Astaro, it passes and comes back with the correct user groups. Of course, this simply verifies that its something to do with the configuration under NPS as opposed to the Astaro. I just can't quite figure out what I'm doing wrong. I've tried testing with username, username@domain, DOMAIN\username formats and none work. 

Help?

Cheers


This thread was automatically locked due to age.
  • ugh,... to answer my own question...

    Security log in Event Viewer shows "The user attempted to use an authentication method that is not enabled on the matching network policy"...

    So enabling PAP authentication resolved the problem - however I don't really want unencrypted authentication back - and also pretty stupid as I'm sure the configuration guide suggested to enable MS-CHAP and MS-CHAPv2 only.
  • Chimera,

    I'm having a hell of a time setting up either PPTP or L2TP with IPSEC with back end registration to Windows 2008 R2 Network Policy.  Do you have this working?   I can get the astaro to test fine, but when I try to connect I always get a username/password mistmatch and cannot figure out why.
  • I have the same issue.  The thing is I had it working for months just fine.  Then after iOS 4.0 and possibly other changes I can't remember doing a few weeks back it stopped.  I can't remember if I updated Astaro around the same time or not.  It's possible.  I don't remember making any changes on the 2K8 R2 RADIUS setup.  I can login to the web console with my backend account that uses adirectory server for authentication.

    Anything change in the last couple Astaro releases that could be causing it?

    I'm digging through the Astaro logs to try and find out when I updated it last and then see if the logs say it stopped working around then.  What's the easiest way to know when an update was applied?


    EVENT LOG (2K8 R2 RADIUS server):

    Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          7/12/2010 1:29:24 PM
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
    Security ID: S-1-0-0
    Account Name:
    Account Domain:
    Fully Qualified Account Name: \

    Client Machine:
    Security ID: S-1-0-0
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: -
    Calling Station Identifier:

    NAS:
    NAS IPv4 Address: -
    NAS IPv6 Address: -
    NAS Identifier: l2tp
    NAS Port-Type: -
    NAS Port: 0

    RADIUS Client:
    Client Friendly Name: Astaro VPN Connection RADIUS
    Client IP Address:

    Authentication Details:
    Connection Request Policy Name: Use Windows authentication for all users
    Network Policy Name: -
    Authentication Provider: Windows
    Authentication Server:
    Authentication Type: MS-CHAPv2
    EAP Type: -
    Account Session Identifier: -
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 16
    Reason: Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

    ASTARO IPSEC VPN DEBUG LOG:

     rcvd [LCP ConfAck id=0x2      ] 
     sent [CHAP Challenge id=0x2 , name = "Astaro Security Gateway"] 
     rcvd [CHAP Response id=0x2 , name = ""] 
     Peer  failed CHAP authentication 
     sent [CHAP Failure id=0x2 ""] 
     sent [LCP TermReq id=0x3 "Authentication failed"] 
     rcvd [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"] 

    NOTES:
    + Astaro ASG v7.505
    + I edited personal info to this format --> 
  • When Apple brought out 3.0, it broke iPhone VPN for some Astaro VPN users.  If this was working before, then that's what I would expect has happened again.

    If you're using AD-SSO in the HTTP/S Proxy, you can put the RADIUS server ahead of the AD server in the Authentication server list without affecting SSO.  That seems to fix the problem of RADIUS authentication for L2TP and PPTP.

    Cheers - Bob
  • I'm not using SSO for HTTP/S Proxy.

    iOS 3.0 or 4.0?  I had it working on 3.0.
  • I'm not using SSO for HTTP/S Proxy.

    Sorry, I guess that was misleading - I was just trying to prevent a tangential concern by stating that the sequence of servers is unrelated to SSO.

    The important point is that, on the 'Servers' tab of 'Users >> Authentication', the RADIUS server is the first in the list.

    This thread and other news are the reason I haven't upgraded to 4 on my iPhone 3G.  I was disappointed with Apple that their "improvements" in 3.0 broke the Astaro profiles in my iPhone.

    Cheers - Bob
  • I kind of guessed that's what you ment and moved the Radius server ahead of the adirectory server, but it didn't change the results.

    Oh I see, I didn't use the profile thing with my iPhone 3G iOS 3.x and it worked fine.  I just manually created the VPN connection on the iphone.  

    From what I'm seeing it seems more like Astaro or Apple changed imformation that is transmitted, but I'm still digging.  I'm going to turn tracing on the Radius server and see if I can get close to the root cause.

    It looks like it's not sending the NAS Port Type and maybe it was before.  Which breaks the default RADIUS Connection Request and Network Policies (2008 R2 NPS).  I'm fiddling with conditions in the policies to try and get the MS CHAPv2 call to go through.

    Thanks for helping, I'll let you know how it goes.
  • NEVER GIVE UP!  NEVER SURRENDER!


    CAUSE:

    So the default wizard used to setup RADIUS services under Network Policy and Access Servers (2008 R2) created a Virtual Private Network (VPN) Connections policy under 'Connection Request Policies'.  The condition was NAS Port Type = Virtual (VPN).  It looks like an update to Astaro somewhere between 7.2 and 7.505 or Apple iOS 3.x > 4.0 must have changed information / exchange from the RADIUS client (Astaro) and the RADIUS server (2k8 R2).  If you look at the event log you'll see that under NAS: NAS Port-Type: is blank.  I bet it previously sent "Virtual (VPN)" as the NAS Port-Type which allowed it to pass through the default VPN wizard policy setup.

    SOLUTION:

    1. Open NPS MMC on 2008 R2 RADIUS server
    2. Browse to Connection Request Policies
      2.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Connection Request Policies:
    3. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
      3.1. I renamed mine to ASG L2TP VPN Connections
    4. Browse to Overview tab
    5. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
    6. Browse to Conditions tab
    7. Remove Condition NAS Port Type = Virtual (VPN)
    8. Add Condition NAS Identifier = l2tp 
    9. Add Condition client IPv4 Address =  (For Added Security)
    10. Apply and close policy
    11. Browse to Network Policies
      11.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Network Policies:
    12. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
      12.1. I renamed mine to ASG L2TP VPN Connections
    13. Browse to Overview tab
    14. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
    15. Browse to Conditions tab
    16. Remove Condition NAS Port Type = Virtual (VPN)
    17. Add Condition NAS Identifier = l2tp
    18. Add (if absent) Windows Groups = Active Directory group that allows users to VPN
    19. Apply and close policy
    20. Test
  • Thanks for posting the solution in a way that makes it easy for others to avoid the problems you had to wrestle into submission! [:)]

    Cheers - Bob
    PS
  • Hi there did you have to leave the PAP authentication enabled to resolved the problem still ?