Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 8810 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP and Radius to Windows 2008 Server failing

chimera
Hi,
Configuring PPTP on firewall (v7.504) to use Radius to backend Windows 2008 Server.  Have configured Radius (NPS) on 2k8 server and also under Users\Auth\Servers on firewall. If I click 'Test' for server settings, it works fine. However if I add a test user, choose pptp and click 'Test', it fails with:

User authentication:
Radius authentication failed

User is a member of the following groups:
No groups have been found for this user


Under NPS on the Windows 2008 server, I have left the default connection request policy as is, and under the Network Policies node, have added a new policy that has conditions:

NAS Identifier: pptp
Windows Groups: DOMAIN\Radius Users

I have settings as:

Access Permission: Grant Access
Authentication Method: MS-CHAP v1 OR MS-CHAP v2
NAP Enforcement: Allow full network access
Update Noncompliant Clients: True
Framed-Protocol: PPP
Service-Type: Framed
BAP Percentage of Capacity: Reduce Multilink if server reaches 50% for 2 minutes
Encryption: Strongest encryption (MPPE 128-bit)


Most of the above settings are the defaults.

Any ideas why I'm getting this error when testing authentication???  The test user is a member of the group under AD.

As a test, if I alter the default Connection request policy ("Use Windows authentication for all users") on the Windows 2008 Server, under Settings tab, Authentication and change from "Authenticate requests on this server" to "Accept users without validating credentials" then click 'Test' from the Astaro, it passes and comes back with the correct user groups. Of course, this simply verifies that its something to do with the configuration under NPS as opposed to the Astaro. I just can't quite figure out what I'm doing wrong. I've tried testing with username, username@domain, DOMAIN\username formats and none work. 

Help?

Cheers


This thread was automatically locked due to age.
Parents
  • 0
    Chimera,

    I'm having a hell of a time setting up either PPTP or L2TP with IPSEC with back end registration to Windows 2008 R2 Network Policy.  Do you have this working?   I can get the astaro to test fine, but when I try to connect I always get a username/password mistmatch and cannot figure out why.
  • 0 in reply to ceihelpdesk
    I have the same issue.  The thing is I had it working for months just fine.  Then after iOS 4.0 and possibly other changes I can't remember doing a few weeks back it stopped.  I can't remember if I updated Astaro around the same time or not.  It's possible.  I don't remember making any changes on the 2K8 R2 RADIUS setup.  I can login to the web console with my backend account that uses adirectory server for authentication.

    Anything change in the last couple Astaro releases that could be causing it?

    I'm digging through the Astaro logs to try and find out when I updated it last and then see if the logs say it stopped working around then.  What's the easiest way to know when an update was applied?


    EVENT LOG (2K8 R2 RADIUS server):

    Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          7/12/2010 1:29:24 PM
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
    Security ID: S-1-0-0
    Account Name:
    Account Domain:
    Fully Qualified Account Name: \

    Client Machine:
    Security ID: S-1-0-0
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: -
    Calling Station Identifier:

    NAS:
    NAS IPv4 Address: -
    NAS IPv6 Address: -
    NAS Identifier: l2tp
    NAS Port-Type: -
    NAS Port: 0

    RADIUS Client:
    Client Friendly Name: Astaro VPN Connection RADIUS
    Client IP Address:

    Authentication Details:
    Connection Request Policy Name: Use Windows authentication for all users
    Network Policy Name: -
    Authentication Provider: Windows
    Authentication Server:
    Authentication Type: MS-CHAPv2
    EAP Type: -
    Account Session Identifier: -
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 16
    Reason: Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

    ASTARO IPSEC VPN DEBUG LOG:

     rcvd [LCP ConfAck id=0x2      ] 
     sent [CHAP Challenge id=0x2 , name = "Astaro Security Gateway"] 
     rcvd [CHAP Response id=0x2 , name = ""] 
     Peer  failed CHAP authentication 
     sent [CHAP Failure id=0x2 ""] 
     sent [LCP TermReq id=0x3 "Authentication failed"] 
     rcvd [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"] 

    NOTES:
    + Astaro ASG v7.505
    + I edited personal info to this format --> 
Reply
  • 0 in reply to ceihelpdesk
    I have the same issue.  The thing is I had it working for months just fine.  Then after iOS 4.0 and possibly other changes I can't remember doing a few weeks back it stopped.  I can't remember if I updated Astaro around the same time or not.  It's possible.  I don't remember making any changes on the 2K8 R2 RADIUS setup.  I can login to the web console with my backend account that uses adirectory server for authentication.

    Anything change in the last couple Astaro releases that could be causing it?

    I'm digging through the Astaro logs to try and find out when I updated it last and then see if the logs say it stopped working around then.  What's the easiest way to know when an update was applied?


    EVENT LOG (2K8 R2 RADIUS server):

    Log Name:      Security
    Source:        Microsoft-Windows-Security-Auditing
    Date:          7/12/2010 1:29:24 PM
    Event ID:      6273
    Task Category: Network Policy Server
    Level:         Information
    Keywords:      Audit Failure
    User:          N/A
    Computer:      
    Description:
    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
    Security ID: S-1-0-0
    Account Name:
    Account Domain:
    Fully Qualified Account Name: \

    Client Machine:
    Security ID: S-1-0-0
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: -
    Calling Station Identifier:

    NAS:
    NAS IPv4 Address: -
    NAS IPv6 Address: -
    NAS Identifier: l2tp
    NAS Port-Type: -
    NAS Port: 0

    RADIUS Client:
    Client Friendly Name: Astaro VPN Connection RADIUS
    Client IP Address:

    Authentication Details:
    Connection Request Policy Name: Use Windows authentication for all users
    Network Policy Name: -
    Authentication Provider: Windows
    Authentication Server:
    Authentication Type: MS-CHAPv2
    EAP Type: -
    Account Session Identifier: -
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 16
    Reason: Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

    ASTARO IPSEC VPN DEBUG LOG:

     rcvd [LCP ConfAck id=0x2      ] 
     sent [CHAP Challenge id=0x2 , name = "Astaro Security Gateway"] 
     rcvd [CHAP Response id=0x2 , name = ""] 
     Peer  failed CHAP authentication 
     sent [CHAP Failure id=0x2 ""] 
     sent [LCP TermReq id=0x3 "Authentication failed"] 
     rcvd [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"] 

    NOTES:
    + Astaro ASG v7.505
    + I edited personal info to this format --> 
Children
No Data