Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 17648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to connect l2tp using radius

FrancWest
Hi,

[ASL 8.203]

I'm unable to setup a VPN connection using L2TP and RADIUS as authentication server.

Radius is setup fine. When I use the test button I get the following reply:

User authentication:
Authentication test passed.

User is a member of the following groups:
Radius Users

The Radius server is listed on first position on the authentication servers tab.

However, when setting up the L2TP connection from a client (Windows 7, iPad, iPhone) it fails to connect. The live log of ASL shows the following:

2011:12:18-03:27:00 firewall pppd-l2tp[29463]: rcvd [CHAP Response id=0x43 , name = ""]
2011:12:18-03:27:00 firewall pppd-l2tp[29463]: rc_check_reply: received invalid reply digest from RADIUS server
2011:12:18-03:27:00 firewall pppd-l2tp[29463]: Peer  failed CHAP authentication 

Using local authentication on ASL everything works fine.

What am I doing wrong?

Franc.


This thread was automatically locked due to age.
  • 0
    Could you please verify when you run the RADIUS test that it passes when you have the l2tp Nas-Identifier selected?
  • 0 in reply to peterkieser
    Hi Franc,

    when I tested a simmilar setup I had to use PAP onlay in the L2TP setting on the client. I made some screenshots.

    Regards
    Manfred
  • 0
    Hi Peter,

    Yes, the test I did was with the l2tp NAS identifier. I even removed the NAS identifier on the Wn 2008 R2 NPS server network policy so that only the group membership condition was there, but then it still fails when connecting, but passes when doing the test.

    Franc.
  • 0 in reply to FrancWest
    Hi Manfred,

    thanks for the screen shot. Now I'm getting a little further on the Windows 7 client, but it fails on the 'registering the computer on the network' phase. 
    Windows 7 first it gave the error that the encryption is not supported, so I changed the encryption to optional. After that it gives the error: The PPP link control protocol was terminated. The Astaro log shows:

    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: sent [LCP TermReq id=0x3 "peer refused to authenticate"]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: rcvd [IPCP ConfReq id=0x1     ]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: Discarded non-LCP packet when LCP not open
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: rcvd [LCP TermAck id=0x3 "peer refused to authenticate"]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: Connection terminated. 

    On the iPad it connects fine when using local authentication, but fails when using remote authentication. I guess that also has to do with using CHAP instead of PAP (according to the logs the iPad also uses CHAP). But how can I change the authentication method on the iPads VPN connection? There isn't a setting for that. And the ASL user portal where I downloaded the iPad configuration file from also doesn't have an option to change that.

    Franc.
  • 0
    Hi Franc,

    did you play around with the PPP settings (Button on my second screenshot)? Try activate/deactivate the 'LCP Extensions' (in German it's called 'LCP Erweiterung')

    For your iPad I can't give you a hint - my home is a fruit free zone ;-) )

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    yes, I've tried all combinations and even disabled all three, but still no go. 

    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Plugin radius.so loaded.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: RADIUS plugin initialized.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Plugin radattr.so loaded.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: RADATTR plugin initialized.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Plugin ippool.so loaded.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Plugin pppol2tp.so loaded.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: pppd 2.4.5 started by (unknown), uid 0
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: using channel 46
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Using interface ppp0
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Connect: ppp0 
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Overriding mtu 1500 to 1380
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: PPPoL2TP options: lnsmode tid 34886 sid 17179 debugmask 0
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Overriding mru 1500 to mtu value 1380
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: sent [LCP ConfReq id=0x1    ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: rcvd [LCP ConfReq id=0x0    ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: sent [LCP ConfAck id=0x0    ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: rcvd [LCP ConfNak id=0x1 ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: sent [LCP ConfReq id=0x2   ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: rcvd [LCP ConfAck id=0x2   ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Overriding mtu 1400 to 1380
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: PPPoL2TP options: lnsmode tid 34886 sid 17179 debugmask 0
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: peer refused to authenticate: terminating link
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Overriding mtu 1500 to 1380
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: PPPoL2TP options: lnsmode tid 34886 sid 17179 debugmask 0
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Overriding mru 1500 to mtu value 1380
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: sent [LCP TermReq id=0x3 "peer refused to authenticate"]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: rcvd [IPCP ConfReq id=0x1     ]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Discarded non-LCP packet when LCP not open
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: rcvd [LCP TermAck id=0x3 "peer refused to authenticate"]
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Connection terminated.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: RADATTR plugin removed file /var/run/radattr.ppp0.
    2011:12:18-18:23:37 firewall pppd-l2tp[12831]: Exit. 

    Franc.
  • 0
    I responded on your other thread that you need to put the RADIUS server ahead of your AD server.  I think it's a bug that the AD server answers first even though the requesting item in the Astaro specifically is looking for an answer from RADIUS.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    RADIUS is indeed listed first on the list. I even tried it with disabling the AD authentication server, but still no luck.

    Franc.
  • 0
    Franc, please show a pic of the Remote Access Policy for Astaro L2TP.  Also, the RADIUS Client Properties and the 'Authentication' tab of the 'Dial-in Profile'.  Also, the 'Security' tab of the Windows VPN definition, and confirm that Windows Firewall is off for the connection.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    find attached.

    From the iPad the connection is also not working. Only when setting to local authentication it works both for windows and for iOS. when using RADIUS it always fails.

    With windows it fails at a different stage (since I can specify PAP authentication). With windows it fails at the PPP stage. With iOS it fails at the authentication stage. It seems it's using CHAP to authenticate. Although I've enabled CHAP on the RADIUS server it still fails.

    Franc.