Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2468 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP and Radius

riegens
Hi,

Im having a issue, really giving me headach.
When i have setup a Radius Server in "Users" -> "Authentication" and tested my user with NAS-Identifier and everything is green (OK).

But when try to logon with remote Access (PPTP for iphone) i get the following error:

2011:10:17-14:39:19 fw pptpd[14907]: MGR: Launching /usr/local/sbin/pptpctrl to handle client
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: local address = 10.242.1.1
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: remote address = 10.242.1.2
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Client 93.160.249.26 control connection started
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Received PPTP Control Message (type: 1)
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Made a START CTRL CONN RPLY packet
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: I wrote 156 bytes to the client.
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Sent packet to client
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Received PPTP Control Message (type: 7)
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Set parameters to 100000000 maxbps, 64 window size
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Made a OUT CALL RPLY packet
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Starting call (launching pppd, opening GRE)
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: pty_fd = 6
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: tty_fd = 7
2011:10:17-14:39:19 fw pptpd[14908]: CTRL (PPPD Launcher): program binary = /usr/sbin/pppd-pptp
2011:10:17-14:39:19 fw pptpd[14908]: CTRL (PPPD Launcher): local address = 10.242.1.1
2011:10:17-14:39:19 fw pptpd[14908]: CTRL (PPPD Launcher): remote address = 10.242.1.2
2011:10:17-14:39:19 fw pppd-pptp[14908]: Plugin /usr/sbin/radius.so loaded.
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: I wrote 32 bytes to the client.
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Sent packet to client
2011:10:17-14:39:19 fw pppd-pptp[14908]: RADIUS plugin initialized.
2011:10:17-14:39:19 fw pppd-pptp[14908]: Plugin /usr/sbin/radattr.so loaded.
2011:10:17-14:39:19 fw pppd-pptp[14908]: RADATTR plugin initialized.
2011:10:17-14:39:19 fw pppd-pptp[14908]: pppd 2.4.3 started by (unknown), uid 0
2011:10:17-14:39:19 fw pppd-pptp[14908]: using channel 11
2011:10:17-14:39:19 fw pppd-pptp[14908]: Starting negotiation on /dev/ttyp0
2011:10:17-14:39:19 fw pppd-pptp[14908]: sent [LCP ConfReq id=0x1        ]
2011:10:17-14:39:19 fw pptpd[14907]: GRE: Bad checksum from pppd.
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Received PPTP Control Message (type: 15)
2011:10:17-14:39:19 fw pptpd[14907]: CTRL: Got a SET LINK INFO packet with standard ACCMs
2011:10:17-14:39:19 fw pppd-pptp[14908]: rcvd [LCP ConfReq id=0x1    ]
2011:10:17-14:39:19 fw pppd-pptp[14908]: sent [LCP ConfAck id=0x1    ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: sent [LCP ConfReq id=0x1        ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rcvd [LCP ConfRej id=0x1 ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: sent [LCP ConfReq id=0x2       ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rcvd [LCP ConfReq id=0x1    ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: sent [LCP ConfAck id=0x1    ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rcvd [LCP ConfAck id=0x2       ]
2011:10:17-14:39:22 fw pppd-pptp[14908]: sent [LCP EchoReq id=0x0 magic=0x59d1e85e]
2011:10:17-14:39:22 fw pppd-pptp[14908]: sent [CHAP Challenge id=0xd8 , name = "pptp"]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rcvd [LCP EchoReq id=0x0 magic=0x2dfba9dd]
2011:10:17-14:39:22 fw pppd-pptp[14908]: sent [LCP EchoRep id=0x0 magic=0x59d1e85e]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rcvd [LCP EchoRep id=0x0 magic=0x2dfba9dd]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rcvd [CHAP Response id=0xd8 , name = "hbh"]
2011:10:17-14:39:22 fw pppd-pptp[14908]: rc_map2id: can't find tty /dev/ in map database
2011:10:17-14:39:23 fw pppd-pptp[14908]: Peer hbh failed CHAP authentication
2011:10:17-14:39:23 fw pppd-pptp[14908]: sent [CHAP Failure id=0xd8 ""]
2011:10:17-14:39:23 fw pppd-pptp[14908]: sent [LCP TermReq id=0x3 "Authentication failed"]
2011:10:17-14:39:23 fw pppd-pptp[14908]: rcvd [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
2011:10:17-14:39:23 fw pppd-pptp[14908]: sent [LCP TermAck id=0x2]
2011:10:17-14:39:23 fw pptpd[14907]: CTRL: EOF or bad error reading ctrl packet length.
2011:10:17-14:39:23 fw pptpd[14907]: CTRL: couldn't read packet header (exit)
2011:10:17-14:39:23 fw pptpd[14907]: CTRL: CTRL read failed
2011:10:17-14:39:23 fw pptpd[14907]: CTRL: Reaping child PPP[14908]
2011:10:17-14:39:23 fw pppd-pptp[14908]: Modem hangup
2011:10:17-14:39:23 fw pppd-pptp[14908]: Connection terminated.
2011:10:17-14:39:23 fw pppd-pptp[14908]: RADATTR plugin removed file /var/run/radattr..
2011:10:17-14:39:23 fw pppd-pptp[14908]: Exit.
2011:10:17-14:39:23 fw pptpd[14907]: CTRL: Client 93.160.249.26 control connection finished
2011:10:17-14:39:23 fw pptpd[14907]: CTRL: Exiting now
2011:10:17-14:39:23 fw pptpd[5972]: MGR: Reaped child 14907

Remote access for PPTP for authentication has been set to RADIUS.

Any issue you know of?


This thread was automatically locked due to age.
  • 0
    Hi, riegens, and welcome to the User BB!

    You didn't mention the exact version you're using - 7.511, 8.103 or 8.202?

    If you're in an AD environment, make sure that your RADIUS server definition is above the AD server definiton.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, riegens, and welcome to the User BB!

    You didn't mention the exact version you're using - 7.511, 8.103 or 8.202?

    If you're in an AD environment, make sure that your RADIUS server definition is above the AD server definiton.

    Cheers - Bob


    Hi Bob,

    We are runnning 7.511, havent upgraded yet :-)
    We are not in a AD enviroment, our RADIUS Server is running on our LDAP server for users and passwords.
    The weird thing is that ssl remote access is working perfectly with RADIUS authentication.
  • 0
    What's in the 'User authentication daemon' log around 2011:10:17-14:39:22?

    Cheers - Bob
  • 0 in reply to BAlfson
    There is nothing, last entry is my tests directly from the RADIUS server setup:

    2011:10:17-12:56:09 fw aua[11514]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"
    2011:10:17-15:02:25 fw aua[15971]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2011:10:17-15:02:25 fw aua[15971]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f[:P]ptp, u:hbh, ip:"
    2011:10:17-15:02:26 fw aua[15971]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"
    2011:10:17-15:02:34 fw aua[15980]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2011:10:17-15:02:34 fw aua[15980]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f:ssl, u:hbh, ip:"
    2011:10:17-15:02:35 fw aua[15980]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"
    2011:10:17-15:02:38 fw aua[15982]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2011:10:17-15:02:38 fw aua[15982]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f:http, u:hbh, ip:"
    2011:10:17-15:02:39 fw aua[15982]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"
  • 0
    Sorry for hijacking this thread...

    Does anyone have a solution for this problem?

    I've the same issue here - SSL VPN works fine with RADUIS Users - L2TP over IPSec doesn't even ask the radius Server. L2TP over IPSec with local User works also fine. Any suggestions are welcome :-).

    Regards
    Manfred
  • 0
    I don't know.  Riegens gave the aua log from a different time.  You might try a google on site:astaro.org pptp radius and limit it to the last year.  I know others have had to change settings in the RADIUS server to be sure the specific RAS service was configured correctly to authenticate to Astaro.

    Cheers - Bob
  • 0
    Haha - got it!

    I've read in another thread, that you have to select only PAP authentication (not MS-CHAP or MS-CHAP V2) in the client settings - otherwise the ASG doesn't ask the radius server. 

    Additionally I have to select 'Maximum' or 'Required' (in German it is 'Maximum' oder 'Erforderlich') in the encrytion setting of the vpn client.

    Next thing to remind is to set the DNS Domain manual in the IP settings of the client, since this isn't set automaticaly - or just use IP Adresses.

    I think the other stuff is as usual (packet filter, etc.)

    Regards
    Manfred
  • 0
    Thanks, Manfred, for helping the rest of us to find an answer!

    Cheers - Bob