Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15886 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents
  • 0
    In L2TP, there are two possibilities I can think of.  First, the Astaro can have only a single PSK for L2TP, IPsec 'Remote Access' and any "Respond only" 'Remote Gateways' in Site-to-Site (this was changed in V8 with the 'Enable probing of preshared keys' selection').  More likely is that, in configuring the client, you didn't uncheck 'Require data encryption'.

    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication

    I would guess that the Remote Access Policy for "pptp" has a problem or the tested username is not authorized to use PPTP.

    Cheers - Bob
Reply
  • 0
    In L2TP, there are two possibilities I can think of.  First, the Astaro can have only a single PSK for L2TP, IPsec 'Remote Access' and any "Respond only" 'Remote Gateways' in Site-to-Site (this was changed in V8 with the 'Enable probing of preshared keys' selection').  More likely is that, in configuring the client, you didn't uncheck 'Require data encryption'.

    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication

    I would guess that the Remote Access Policy for "pptp" has a problem or the tested username is not authorized to use PPTP.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi Bob,

    I double-checked the username and password (copy & paste). Under "authentication servers" L2TP and PPTP with my user data succeeded.

    After that I played around with the settings after reading THIS Thread

    I now have NPS-CRP Authentication to override network policy and marked MS-CHAP-v2 + MS-CHAP +  CHAP + PAP. (Conditions for PPTP-Access: NAS Identifier == pptp, Radius Client IP == astaro-internal-bridge-red. On client side I followed some hints (e.g. not to add domain;...) found here. Client-PPP-Settings are "use LCP" and "activate software compression"; Security settings are:
    VPN-Type: PPTP; Encryption: Off; allowed protocols: PAP,CHAP, MS-CHAP v2.

    With this set, I get the following Debug-Log for this connection: 
    2011:11:23-13:04:06 mail pptpd[17496]: MGR: Launching /usr/sbin/pptpctrl to handle client

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: local address = 10.242.1.1

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: remote address = 10.242.1.2

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Client 80.187.47.43 control connection started

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 1)

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Made a START CTRL CONN RPLY packet

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: I wrote 156 bytes to the client.

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Sent packet to client

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 7)

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Set parameters to 100000000 maxbps, 64 window size

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Made a OUT CALL RPLY packet

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Starting call (launching pppd, opening GRE)

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: pty_fd = 6

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: tty_fd = 7

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: I wrote 32 bytes to the client.

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Sent packet to client

    2011:11:23-13:04:06 mail pptpd[17499]: CTRL (PPPD Launcher): program binary = /usr/sbin/pppd

    2011:11:23-13:04:06 mail pptpd[17499]: CTRL (PPPD Launcher): local address = 10.242.1.1

    2011:11:23-13:04:06 mail pptpd[17499]: CTRL (PPPD Launcher): remote address = 10.242.1.2

    2011:11:23-13:04:06 mail pppd-pptp[17499]: Plugin radius.so loaded.

    2011:11:23-13:04:06 mail pppd-pptp[17499]: RADIUS plugin initialized.

    2011:11:23-13:04:06 mail pppd-pptp[17499]: Plugin radattr.so loaded.

    2011:11:23-13:04:06 mail pppd-pptp[17499]: RADATTR plugin initialized.

    2011:11:23-13:04:06 mail pppd-pptp[17499]: Plugin dhcpc.so loaded.

    2011:11:23-13:04:06 mail pppd-pptp[17499]: DHCPC: plugin initialized

    2011:11:23-13:04:06 mail pppd-pptp[17499]: pppd 2.4.5 started by (unknown), uid 0

    2011:11:23-13:04:06 mail pppd-pptp[17499]: using channel 52

    2011:11:23-13:04:06 mail pppd-pptp[17499]: Starting negotiation on /dev/ttyp0

    2011:11:23-13:04:06 mail pppd-pptp[17499]: sent [LCP ConfReq id=0x1        ]

    2011:11:23-13:04:06 mail pptpd[17496]: GRE: Bad checksum from pppd.

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 15)

    2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Got a SET LINK INFO packet with standard ACCMs

    2011:11:23-13:04:06 mail pptpd[17496]: GRE: accepting packet #0

    2011:11:23-13:04:06 mail pppd-pptp[17499]: rcvd [LCP ConfReq id=0x0     ]

    2011:11:23-13:04:06 mail pppd-pptp[17499]: sent [LCP ConfRej id=0x0 ]

    2011:11:23-13:04:06 mail pptpd[17496]: GRE: accepting packet #1

    2011:11:23-13:04:06 mail pppd-pptp[17499]: rcvd [LCP ConfReq id=0x1    ]

    2011:11:23-13:04:06 mail pppd-pptp[17499]: sent [LCP ConfAck id=0x1    ]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP ConfReq id=0x1        ]

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #2

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP ConfRej id=0x1  ]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP ConfReq id=0x2      ]

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #3

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #4

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #5

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #6

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP ConfAck id=0x2      ]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP EchoReq id=0x0 magic=0x3da502b5]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [CHAP Challenge id=0x3d , name = "pptp"]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP Ident id=0x2 magic=0x7f070e13 "MSRASV5.20"]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP Ident id=0x3 magic=0x7f070e13 "MSRAS-0-NB05"]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP Ident id=0x4 magic=0x7f070e13 "\177T\377777777277\37777777773\037LM\37777777617\37777777611\37777777673\377777776440L\37777777730U"]

    2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 15)

    2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #7

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP EchoRep id=0x0 magic=0x7f070e13]

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #8

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [CHAP Response id=0x3d , name = "DOMAIN\my.account"]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rc_map2id: can't find tty /dev/ in map database

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rc_check_reply: received invalid reply digest from RADIUS server

    2011:11:23-13:04:09 mail pppd-pptp[17499]: Peer DOMAIN\my.account failed CHAP authentication

    2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [CHAP Failure id=0x3d ""]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP TermReq id=0x3 "Authentication failed"]

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #9

    2011:11:23-13:04:09 mail pptpd[17496]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

    2011:11:23-13:04:09 mail pptpd[17496]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

    2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Reaping child PPP[17499]

    2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Client 80.187.47.43 control connection finished

    2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Exiting now

    2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP TermAck id=0x3 "Authentication failed"]

    2011:11:23-13:04:09 mail pppd-pptp[17499]: Connection terminated.

    2011:11:23-13:04:09 mail pppd-pptp[17499]: DHCPC: entering none listen mode on br0

    2011:11:23-13:04:09 mail pppd-pptp[17499]: RADATTR plugin removed file /var/run/radattr..

    2011:11:23-13:04:09 mail pppd-pptp[17499]: Exit.

    2011:11:23-13:04:09 mail pptpd[13632]: MGR: Reaped child 17496 


    Result: VPN-Error 691
  • 0 in reply to LoD
    Part II of previous post:

    Now I unchecked MS-CHAP v2 on client side, leaving it on server-side: 

    2011:11:23-13:09:34 mail pptpd[18564]: MGR: Launching /usr/sbin/pptpctrl to handle client

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: local address = 10.242.1.1

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: remote address = 10.242.1.2

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Client 80.187.47.43 control connection started

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 1)

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Made a START CTRL CONN RPLY packet

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: I wrote 156 bytes to the client.

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Sent packet to client

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 7)

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Set parameters to 100000000 maxbps, 64 window size

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Made a OUT CALL RPLY packet

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Starting call (launching pppd, opening GRE)

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: pty_fd = 6

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: tty_fd = 7

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: I wrote 32 bytes to the client.

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Sent packet to client

    2011:11:23-13:09:34 mail pptpd[18567]: CTRL (PPPD Launcher): program binary = /usr/sbin/pppd

    2011:11:23-13:09:34 mail pptpd[18567]: CTRL (PPPD Launcher): local address = 10.242.1.1

    2011:11:23-13:09:34 mail pptpd[18567]: CTRL (PPPD Launcher): remote address = 10.242.1.2

    2011:11:23-13:09:34 mail pppd-pptp[18567]: Plugin radius.so loaded.

    2011:11:23-13:09:34 mail pppd-pptp[18567]: RADIUS plugin initialized.

    2011:11:23-13:09:34 mail pppd-pptp[18567]: Plugin radattr.so loaded.

    2011:11:23-13:09:34 mail pppd-pptp[18567]: RADATTR plugin initialized.

    2011:11:23-13:09:34 mail pppd-pptp[18567]: Plugin dhcpc.so loaded.

    2011:11:23-13:09:34 mail pppd-pptp[18567]: DHCPC: plugin initialized

    2011:11:23-13:09:34 mail pppd-pptp[18567]: pppd 2.4.5 started by (unknown), uid 0

    2011:11:23-13:09:34 mail pppd-pptp[18567]: using channel 53

    2011:11:23-13:09:34 mail pppd-pptp[18567]: Starting negotiation on /dev/ttyp0

    2011:11:23-13:09:34 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x1        ]

    2011:11:23-13:09:34 mail pptpd[18564]: GRE: Bad checksum from pppd.

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 15)

    2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Got a SET LINK INFO packet with standard ACCMs

    2011:11:23-13:09:34 mail pptpd[18564]: GRE: accepting packet #0

    2011:11:23-13:09:34 mail pppd-pptp[18567]: rcvd [LCP ConfReq id=0x0     ]

    2011:11:23-13:09:34 mail pppd-pptp[18567]: sent [LCP ConfRej id=0x0 ]

    2011:11:23-13:09:35 mail pptpd[18564]: GRE: accepting packet #1

    2011:11:23-13:09:35 mail pppd-pptp[18567]: rcvd [LCP ConfReq id=0x1    ]

    2011:11:23-13:09:35 mail pppd-pptp[18567]: sent [LCP ConfAck id=0x1    ]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x1        ]

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #2

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP ConfRej id=0x1  ]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x2      ]

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #3

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP ConfNak id=0x2 ]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x3     ]

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #4

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #5

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #6

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #7

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP ConfAck id=0x3     ]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP EchoReq id=0x0 magic=0x839cc4cc]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: peer refused to authenticate: terminating link

    2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP TermReq id=0x4 "peer refused to authenticate"]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP Ident id=0x2 magic=0x5a24425d "MSRASV5.20"]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP Ident id=0x3 magic=0x5a24425d "MSRAS-0-NB05"]

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 15)

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP Ident id=0x4 magic=0x5a24425d "\014\37777777652\033)\37777777661&fE\37777777650\37777777656\37777777665`\177h7\036"]

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #8

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: buffering packet #10 (expecting #9, lost or reordered)

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #9

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [proto=0x8057] 01 05 00 0e 01 0a 18 20 29 1b 75 ac 5b 66

    2011:11:23-13:09:37 mail pppd-pptp[18567]: Discarded non-LCP packet when LCP not open

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [CCP ConfReq id=0x6 ]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: Discarded non-LCP packet when LCP not open

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting #10 from queue

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #11

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [IPCP ConfReq id=0x7     ]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: Discarded non-LCP packet when LCP not open

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP EchoRep id=0x0 magic=0x5a24425d]

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 15)

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Got a SET LINK INFO packet with standard ACCMs

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #12

    2011:11:23-13:09:37 mail pptpd[13632]: MGR: Reaped child 18564

    2011:11:23-13:09:37 mail pptpd[18564]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Reaping child PPP[18567]

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Client 80.187.47.43 control connection finished

    2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Exiting now

    2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP TermAck id=0x4 "peer refused to authenticate"]

    2011:11:23-13:09:37 mail pppd-pptp[18567]: Connection terminated.

    2011:11:23-13:09:37 mail pppd-pptp[18567]: DHCPC: entering none listen mode on br0

    2011:11:23-13:09:37 mail pppd-pptp[18567]: RADATTR plugin removed file /var/run/radattr..

    2011:11:23-13:09:37 mail pppd-pptp[18567]: Exit. 


    TResult: VPN-Error 734

    This really drives me mad. Never had such problems setting up VPN connections. 

    Greetinx
    LoD