Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3440 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP with Windows RADIUS authentication

ChrisH1
We are currently trying to setup a VPN solution with lots of road warriors and Active Directory single sign on. We cannot have separate logins for Windows and the VPN, or require additional VPN client software to be installed - this has to work out-of-the-box. Setting up a VPN connection in Windows is about all the users can manage.

We are evaluating Sophos UTM as central access server with L2TP remote access, and a NAP service on the domain controller as RADIUS server for backend authentication.
All works well, users can use the native Windows functionality to logon via the VPN "dial-up" connection and can authenticate against the domain. 

BUT: If we set an user's account to "user must change password at next logon", the VPN connection fails. Presumably the RADIUS response is not "password okay", but "password is expired, change now" and the UTM somehow fails to interpret this correctly.

Is there any way around this? Is there anything we have to configure in the NAP?


This thread was automatically locked due to age.
  • 0
    Chris, this is just a WAG because I haven't tried it.  In the Windows Server 'Remote Access Service Policy' for L2TP for the Astaro, edit the 'Dial-in Profile' to allow PAP and SPAP.  If that doesn't fix your problem, you should have your reseller submit a ticket to Astaro Support - they'll know if this a bug report or a feature request. [;)]

    Cheers - Bob
  • 0
    Thank you for your reply. Unfortunately allowing PAP and SPAP had no effect at all.
    We'll contact our reseller, although I guess this is more a feature request than a bug.
  • 0 in reply to ChrisH1
    Unfortunately allowing PAP and SPAP had no effect

    You may need to reboot the Astaro for it to get the new configuration. Maybe just do a configuration backup and restore. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.