Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 17657 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to connect l2tp using radius

FrancWest
Hi,

[ASL 8.203]

I'm unable to setup a VPN connection using L2TP and RADIUS as authentication server.

Radius is setup fine. When I use the test button I get the following reply:

User authentication:
Authentication test passed.

User is a member of the following groups:
Radius Users

The Radius server is listed on first position on the authentication servers tab.

However, when setting up the L2TP connection from a client (Windows 7, iPad, iPhone) it fails to connect. The live log of ASL shows the following:

2011:12:18-03:27:00 firewall pppd-l2tp[29463]: rcvd [CHAP Response id=0x43 , name = ""]
2011:12:18-03:27:00 firewall pppd-l2tp[29463]: rc_check_reply: received invalid reply digest from RADIUS server
2011:12:18-03:27:00 firewall pppd-l2tp[29463]: Peer  failed CHAP authentication 

Using local authentication on ASL everything works fine.

What am I doing wrong?

Franc.


This thread was automatically locked due to age.
  • 0 in reply to FrancWest
    this is the error that is show when connecting using the iPad (I've downloaded the config from the user portal).

    2011:12:18-23:14:54 firewall pppd-l2tp[28350]: rcvd [CHAP Response id=0xfb , name = ""]
    2011:12:18-23:14:54 firewall pppd-l2tp[28350]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:12:18-23:14:54 firewall pppd-l2tp[28350]: Peer  failed CHAP authentication 

    Franc.
  • 0
    If the issue here is the communication between the Astaro and the WinServer, I hate to disagree with Manfred, but I think you may need to enable MSCHAPv2.  What does the IAS log on the WinServer show?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    the NPS server doesn't show any useful information. The eventlog doesn't show any errors. The NPS log shows this:


    12/19/2011 00:18:47.693NPSServer
    IAS

    1

    0
    Astaro Firewall
    Astaro L2TP VPN
    Astaro L2TP VPN
    1


    4
    3
    66


    When changing the user to locally authenticate and also the L2TP authentication to local the iPad and the Windows 7 clients connects fine without changing anything on the client side.

    It must be something between the Astaro and the NPS server.

    Franc.
  • 0 in reply to FrancWest
    And I forgot to mention. Once I enable MSChap V2 on the client the connection drops during the verifiying user name and password phase with the error that the request authentication method is not supported. When I enable PAP, the connection attempt fails one step further on the 'registering the computer on the network' phase. Both these scenarios are when using RADIUS authentication on the L2TP remote access settings page of ASL. When using local authentication on this page MS CHAP V2 works fine and both clients connect successfully.

    Franc.
  • 0
    Hi Franc,

    maybe the problem is, that ASG and the Radius server try to negoiate the auth method and fail on that. I would try two ways:

    1. Using PAP on the client, disable 'include windows Domain..' on client, enable LCP Extension on client

    2. Enable MS CHAP V2 on client, enable MS CHAP V2 only on radius server, play with 'include windows Domain..', enable LCP Extension

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    thanks. Unfortunately I can't get it working. Still the same issue. With MS ChapV2 the client disconnects during the verifying username and password phase with the 'unsupported authentication' error. With PAP is fails at registering the computer on the network.

    So, I give up using RADIUS. I simply can't get it to work. Back to local accounts....

    Franc.