Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2947 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Migration of VPN connections to RADIUS authentication

IngoPohlschneider
Hello everyone
I am currently setting up a MS Radius server to be used with our UTM to authenticate external users via their Active Directory accounts (separate domain) for VPN access.

For internal users we use that for L2TP (with another Radius server) and it works well but since the colleague that set that up left the company and did not write down any documentation I don't know how to set everything up.

Currently the users have local accounts on the UTM for PPTP-VPN which I want to replace with the Radius-based auth. Thats why I need to set everything up that has to be set up and then switch from local to radius auth during our next maintenance window.

I would like to make sure everything is configured correctly before I with the authentication method on the UTM.

I used this guide: How to use RADIUS Authentication: Astaro Security Gateway/Sophos UTM

My RADIUS server passes the Server-Test but User-Tests are not working as I expected:

If I select no NAS-Identifier it passes the first test (no matter if the user exists, password is correct...it always passes). The second test fails
If I select a NAS-Identifier (pptp) no test is passed.

I attached two screenshots of the current RADIUS config

Any idea how I can check if everything is working correctly before I switch the auth-method?
Shouldn't the checks go green? (and red if wrong credentials are supplied?)

best regards


This thread was automatically locked due to age.
  • 0
    What do you see in the User authentication daemon log for the tests you did above?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello Balfson
    I just tried again.

    Here are the log messages:

    1) Test 1 OK Test2 Failed - Credentials correct / no NAS -Identifier
    2013:09:26-07:33:55  aua[28764]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2013:09:26-07:33:55  aua[28764]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: radius"
    2013:09:26-07:33:55  aua[28764]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: radius" 


    2) Test 1 OK Test 2 Failed - Credentials wrong / No NAS-Identifier
    2013:09:26-07:34:50  aua[29053]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2013:09:26-07:34:50  aua[29053]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: radius"
    2013:09:26-07:34:50  aua[29053]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: radius" 


    3) Test 1 Failed Test 2 Failed - Credentials correct / PPTP NAS-Identifier
    2013:09:26-07:35:46  aua[29305]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2013:09:26-07:35:46  aua[29305]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f[[:P]]ptp, u:, ip:0.0.0.0"
    2013:09:26-07:35:46  aua[29305]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test failed: Radius authentication failed" 


    Does not give much of a clue as I see it [[:(]]

    I also locked in the IAS-logs on the windows server (never mind the timestamps), but I am unable to read the plaintext [:P]
    Eventviewer does not show any events on that matter
    "","IAS",09/26/2013,07:39:18,1,"","EXT\",,,,,"pptp",,,0,"","",,,,,,,1,,0,"311 1  09/25/2013 11:23:37 79",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:39:18,3,,"EXT\",,,,,,,,0,"","",,,,,,,1,,16,"311 1  09/25/2013 11:23:37 79",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:40:32,1,"","EXT\",,,,,"pptp",,,0,"","",,,,,,,1,,0,"311 1  09/25/2013 11:23:37 80",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:40:32,3,,"EXT\",,,,,,,,0,"","",,,,,,,1,,16,"311 1  09/25/2013 11:23:37 80",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:43:59,1,"ext\","EXT\",,,,,"pptp",,,0,"","",,,,,,,1,,0,"311 1  09/25/2013 11:23:37 81",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:43:59,3,,"EXT\",,,,,,,,0,"","",,,,,,,1,,16,"311 1  09/25/2013 11:23:37 81",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:48:20,1,"ext\","EXT\",,,,,"pptp",,,0,"","",,,,,,,1,,0,"311 1  09/25/2013 11:23:37 82",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
    "","IAS",09/26/2013,07:48:20,3,,"EXT\",,,,,,,,0,"","",,,,,,,1,,16,"311 1  09/25/2013 11:23:37 82",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,


    I am not into that deep enough to know where windows logs failed logins [[:(]]
  • 0
    I'm almost certain that this is a configuration error outside the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello BAlfson,
    I suppose so too. But it would be nice to know what is wrong [[[[:P]]]]

    I'd like to know what the issue is [[[[:P]]]]
    If I don't find out I will see during the maint. window this weekend [[[[:P]]]]

    But thats not really the way to go [[[[:P]]]]
  • 0
    Well,
    the weekend is here and unfortunately it doesn't work.
    But I guess the UTM is not the reason [:(]

    If I enable a PPTP-profile on the other RADIUS server it works fine.

    But the DMZ-Server seems not to (be able to) authenticate the user.

    I am not sure how to test if the RADIUS server is even able to authenticate the Domain-users or if it is simply not finding a matching policy

    Any ideas?

    Best regards
  • 0
    How about eliminating the NAS port type setting?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've been struggling with this as well.  My Google searches have turned up a number of replies from the venerable BAlfson, one of which ended up being the answer although I'm not happy with it.  I wanted to post here in case anyone else finds this in a Google search.

    Looking in the Windows Security Event viewer, I see that Sophos indeed appears to be attempting PAP authentication despite the guide saying to only check the MS-CHAP variants.  This is a bit disconcerting as PAP is an unencrypted protocol and sends passwords in plaintext.  Is it really not possible to configure Sophos to user an encrypted auth protocol for RADIUS?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML