Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 17650 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to connect l2tp using radius

FrancWest
Hi,

[ASL 8.203]

I'm unable to setup a VPN connection using L2TP and RADIUS as authentication server.

Radius is setup fine. When I use the test button I get the following reply:

User authentication:
Authentication test passed.

User is a member of the following groups:
Radius Users

The Radius server is listed on first position on the authentication servers tab.

However, when setting up the L2TP connection from a client (Windows 7, iPad, iPhone) it fails to connect. The live log of ASL shows the following:

2011:12:18-03:27:00 firewall pppd-l2tp[29463]: rcvd [CHAP Response id=0x43 , name = ""]
2011:12:18-03:27:00 firewall pppd-l2tp[29463]: rc_check_reply: received invalid reply digest from RADIUS server
2011:12:18-03:27:00 firewall pppd-l2tp[29463]: Peer  failed CHAP authentication 

Using local authentication on ASL everything works fine.

What am I doing wrong?

Franc.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Peter,

    Yes, the test I did was with the l2tp NAS identifier. I even removed the NAS identifier on the Wn 2008 R2 NPS server network policy so that only the group membership condition was there, but then it still fails when connecting, but passes when doing the test.

    Franc.
  • 0 in reply to FrancWest
    Hi Manfred,

    thanks for the screen shot. Now I'm getting a little further on the Windows 7 client, but it fails on the 'registering the computer on the network' phase. 
    Windows 7 first it gave the error that the encryption is not supported, so I changed the encryption to optional. After that it gives the error: The PPP link control protocol was terminated. The Astaro log shows:

    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: sent [LCP TermReq id=0x3 "peer refused to authenticate"]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: rcvd [IPCP ConfReq id=0x1     ]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: Discarded non-LCP packet when LCP not open
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: rcvd [LCP TermAck id=0x3 "peer refused to authenticate"]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: Connection terminated. 

    On the iPad it connects fine when using local authentication, but fails when using remote authentication. I guess that also has to do with using CHAP instead of PAP (according to the logs the iPad also uses CHAP). But how can I change the authentication method on the iPads VPN connection? There isn't a setting for that. And the ASL user portal where I downloaded the iPad configuration file from also doesn't have an option to change that.

    Franc.
Reply
  • 0 in reply to FrancWest
    Hi Manfred,

    thanks for the screen shot. Now I'm getting a little further on the Windows 7 client, but it fails on the 'registering the computer on the network' phase. 
    Windows 7 first it gave the error that the encryption is not supported, so I changed the encryption to optional. After that it gives the error: The PPP link control protocol was terminated. The Astaro log shows:

    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: sent [LCP TermReq id=0x3 "peer refused to authenticate"]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: rcvd [IPCP ConfReq id=0x1     ]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: Discarded non-LCP packet when LCP not open
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: rcvd [LCP TermAck id=0x3 "peer refused to authenticate"]
    2011:12:18-12:23:30 firewall pppd-l2tp[24147]: Connection terminated. 

    On the iPad it connects fine when using local authentication, but fails when using remote authentication. I guess that also has to do with using CHAP instead of PAP (according to the logs the iPad also uses CHAP). But how can I change the authentication method on the iPads VPN connection? There isn't a setting for that. And the ASL user portal where I downloaded the iPad configuration file from also doesn't have an option to change that.

    Franc.
Children
No Data