VPN clients need special gateway and internal IP

Part II of previous post:

Now I unchecked MS-CHAP v2 on client side, leaving it on server-side:

2011:11:23-13:09:34 mail pptpd[18564]: MGR: Launching /usr/sbin/pptpctrl to handle client

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: local address = 10.242.1.1

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: remote address = 10.242.1.2

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Client 80.187.47.43 control connection started

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 1)

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Made a START CTRL CONN RPLY packet

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: I wrote 156 bytes to the client.

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Sent packet to client

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 7)

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Set parameters to 100000000 maxbps, 64 window size

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Made a OUT CALL RPLY packet

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Starting call (launching pppd, opening GRE)

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: pty_fd = 6

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: tty_fd = 7

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: I wrote 32 bytes to the client.

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Sent packet to client

2011:11:23-13:09:34 mail pptpd[18567]: CTRL (PPPD Launcher): program binary = /usr/sbin/pppd

2011:11:23-13:09:34 mail pptpd[18567]: CTRL (PPPD Launcher): local address = 10.242.1.1

2011:11:23-13:09:34 mail pptpd[18567]: CTRL (PPPD Launcher): remote address = 10.242.1.2

2011:11:23-13:09:34 mail pppd-pptp[18567]: Plugin radius.so loaded.

2011:11:23-13:09:34 mail pppd-pptp[18567]: RADIUS plugin initialized.

2011:11:23-13:09:34 mail pppd-pptp[18567]: Plugin radattr.so loaded.

2011:11:23-13:09:34 mail pppd-pptp[18567]: RADATTR plugin initialized.

2011:11:23-13:09:34 mail pppd-pptp[18567]: Plugin dhcpc.so loaded.

2011:11:23-13:09:34 mail pppd-pptp[18567]: DHCPC: plugin initialized

2011:11:23-13:09:34 mail pppd-pptp[18567]: pppd 2.4.5 started by (unknown), uid 0

2011:11:23-13:09:34 mail pppd-pptp[18567]: using channel 53

2011:11:23-13:09:34 mail pppd-pptp[18567]: Starting negotiation on /dev/ttyp0

2011:11:23-13:09:34 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x1        ]

2011:11:23-13:09:34 mail pptpd[18564]: GRE: Bad checksum from pppd.

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 15)

2011:11:23-13:09:34 mail pptpd[18564]: CTRL: Got a SET LINK INFO packet with standard ACCMs

2011:11:23-13:09:34 mail pptpd[18564]: GRE: accepting packet #0

2011:11:23-13:09:34 mail pppd-pptp[18567]: rcvd [LCP ConfReq id=0x0     ]

2011:11:23-13:09:34 mail pppd-pptp[18567]: sent [LCP ConfRej id=0x0 ]

2011:11:23-13:09:35 mail pptpd[18564]: GRE: accepting packet #1

2011:11:23-13:09:35 mail pppd-pptp[18567]: rcvd [LCP ConfReq id=0x1    ]

2011:11:23-13:09:35 mail pppd-pptp[18567]: sent [LCP ConfAck id=0x1    ]

2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x1        ]

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #2

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP ConfRej id=0x1  ]

2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x2      ]

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #3

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP ConfNak id=0x2 ]

2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP ConfReq id=0x3     ]

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #4

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #5

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #6

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #7

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP ConfAck id=0x3     ]

2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP EchoReq id=0x0 magic=0x839cc4cc]

2011:11:23-13:09:37 mail pppd-pptp[18567]: peer refused to authenticate: terminating link

2011:11:23-13:09:37 mail pppd-pptp[18567]: sent [LCP TermReq id=0x4 "peer refused to authenticate"]

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP Ident id=0x2 magic=0x5a24425d "MSRASV5.20"]

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP Ident id=0x3 magic=0x5a24425d "MSRAS-0-NB05"]

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 15)

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP Ident id=0x4 magic=0x5a24425d "\014\37777777652\033)\37777777661&fE\37777777650\37777777656\37777777665`\177h7\036"]

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #8

2011:11:23-13:09:37 mail pptpd[18564]: GRE: buffering packet #10 (expecting #9, lost or reordered)

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #9

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [proto=0x8057] 01 05 00 0e 01 0a 18 20 29 1b 75 ac 5b 66

2011:11:23-13:09:37 mail pppd-pptp[18567]: Discarded non-LCP packet when LCP not open

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [CCP ConfReq id=0x6 ]

2011:11:23-13:09:37 mail pppd-pptp[18567]: Discarded non-LCP packet when LCP not open

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting #10 from queue

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #11

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [IPCP ConfReq id=0x7     ]

2011:11:23-13:09:37 mail pppd-pptp[18567]: Discarded non-LCP packet when LCP not open

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP EchoRep id=0x0 magic=0x5a24425d]

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Received PPTP Control Message (type: 15)

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Got a SET LINK INFO packet with standard ACCMs

2011:11:23-13:09:37 mail pptpd[18564]: GRE: accepting packet #12

2011:11:23-13:09:37 mail pptpd[13632]: MGR: Reaped child 18564

2011:11:23-13:09:37 mail pptpd[18564]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Reaping child PPP[18567]

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Client 80.187.47.43 control connection finished

2011:11:23-13:09:37 mail pptpd[18564]: CTRL: Exiting now

2011:11:23-13:09:37 mail pppd-pptp[18567]: rcvd [LCP TermAck id=0x4 "peer refused to authenticate"]

2011:11:23-13:09:37 mail pppd-pptp[18567]: Connection terminated.

2011:11:23-13:09:37 mail pppd-pptp[18567]: DHCPC: entering none listen mode on br0

2011:11:23-13:09:37 mail pppd-pptp[18567]: RADATTR plugin removed file /var/run/radattr..

2011:11:23-13:09:37 mail pppd-pptp[18567]: Exit. 

TResult: VPN-Error 734

This really drives me mad. Never had such problems setting up VPN connections. 

Greetinx
LoD

Both of these are always easy, so there must be something simple that's "invisible" because we're assuming it's correct.  Maybe your best bet is to just start afresh and follow the guide step-by-step: ASG V8 guide remote access pptp en.  The pictures look a little different in V8, but there's bo functional difference.

It would be interesting to know what we missed!

Cheers - Bob
PS And: ASGV8 L2TP VPN en

Hi LoD,

I can't really follow your tests and probs (your scenario is a bit confusing) but if you can't establish a l2tp vpn connection with a radius authenticated user using the win7 builtin vpn client - here is my hint: I couldt establish this l2tp connection only if I selected only PAP on the client side (with ASG local users chap etc. work also).

Regards
Manfred

Hello hallowach,

thanks for the hint. Tried it but unfortunately didn't work with 'only PAP'. Played with client and radius settings a bit, but nothing worked.

@Bob:
Thanks for the manual. I created a new VPN connection on my lappi and tried it again, leaving all server-side settings as they were. The best result was error 734 while registering the pc in the network (AFTER authenticating the user).

A also reread the manual that can be downloaded directly from the support in webadmin. 

It seems on Astaro side there are nearly no potentual configuration errors:
1.  Create radius server
2.  set radius auth on position 1
3.  proof settings by entering an account using NAS-identifier "pptp"
4.  on "remote access" change auth to radius. I use our internal DHCP server here (as this was the goal to be acheived)
5. done on Astaro side. (Or am I missing something here?)

A question: On advanced tab in pptp the encryption strengh can be set (128 / 40). Does this setting comply with the NPS - net pol setting "Encryption" ?

If these settings are correct, the mistake must be somewhere on NPS-side, right? So I'd say I delete all settings, start over with a new made by the assistant and modify it for work with astaro (unspecified NAS-Type,  and so on).

I'll be back - with the result of this.

greetinx
LoD


Edit: I modified the NPS-settings by following THIS manual -> again no success.

But: Another basic question: Why do I have to create a radius-authenticated group on Astaro? If there's no such group testing the connection says that there's no group. The VPN-connection posts the same errors as with the group. Maybe someone can tell what this astaro-local group is for.

Thanks and greetinx again.

You're right - no RADIUS Group is used in PPTP or L2TP Remote Access.  I didn't read Post #12 closely enough before.  You said you specified "Radius Client IP == astaro-internal-bridge-red" in the NPS settings - I think that's your problem.  Just specify pptp and the Security Group allowed to use it.

Did that work?

Cheers - Bob

Hi Bob,

wish I could give positive reply. Unfortunately it's still the same. 691 / 734 error.  All logfiles show the same as before deleting the gateway.

I don't know what to try next. Maybe I forgot some NPS basics? But which of them can influence to authentication method. I'd say it's fact that the mistake must be with the NPS-authentication?


greetinx
LoD

Here's what works for me:


Cheers - Bob

Sorry for the delayed reply.

I worked on this a couple of hours double-checking my settings. They are the same as you posted, Bob.

I'll leave the network as is (ISA 2006 for authenticating VPN-Users) for some time. It would have been nice to have this working before holidays but it can stay for 3 weeks or 4 I guess.

Thanks for the great support here. Especially to Bob!

I get here soon (I know it won't let me relax to know there's an unsolved problem so I'll be trying and posting results very soon I guess ^^).


greetinx
LoD

Re (with some test results):


I left the port forwarding and switched ISA to radius authentication. After one error message (812) I added CHAP authentication as there was only ChapV2 enabled on client side. On NPS I used the default "Connection to MS Routing & RAS". Result: VPN could be enabled.

I thought it would help and copied the working policies, added pptp nas identifier and ....got 691 again [:S]. Note that the user/password are saved on the laptop. They must be ok. THIS is a good list of vpn/radius errors - and solutions. Under 691 it only advises to check the authentication. As written in the astaro document MS-ChapV2 is supported. So I disabled everything else on both sides and tried again -> again 691.

Might there be another problem? It's a Win7 Pro edition. Maybe there were some issues concerning VPN / radius? Did anyone here about some?

regards,
lod

Hi @ all,

just wanted to inform all that the problem has been solved:
In cooperation with the astaro support we detected that the problem was the lenght of the key entered on radius side.

The shared secret cannot be more than 48 characters long (I had 76 or something like that. Small cause large effect ;-)

As T.H. from support told me, this possible source of frustration (as in my case) will be closed by a future update.


Thnx to all, special thanks to T.H. for great support,

LoD

Edit says: Just to answer the topic I had to add a standard static route for the special remote network. This one's defined with the special gateway in our lan.