Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 4 subscribers
  • Views 12059 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN - RADIUS Server Probleme seit Update 9.408-4

fireb

Hallo, ich habe seit dem Update auf die neueste UTM Version Probleme mit der Verbindung zu meinem Radius Server welcher unter Windows Server 2012 über den NPS Dienst läuft.

Wenn ich auf der UTM unter den Authentifizierungsdiensten bei meinem angelegten Server unter "Servereinstellungen testen" auf "TEST" klicke, erhalte ich folgende Fehlermeldung: 

Error: bad response authenticator
 
Wenn ich jetzt allerdings den vereinbarten Schlüssel neu eintrage und danach ohne zu Speichern wieder auf "TEST" klicke funktioniert es und ich erhalte die Meldung "Servertest bestanden".
 
Auch habe ich schon seit der vorigen UTM Version 9.407-3 das Problem, dass ich keine L2TP VPN Verbindung, welche über RADIUS Authentifiziert wird, mehr aufbauen kann. Ich erhalte hier immer die Fehlermeldung, dass der Benutzer nicht Authentifiziert werden konnte.
 
Komisch ist allerdings nur, dass SSL-VPN welches auch über den selben RADIUS Server läuft, einwandfrei funktioniert. 
 
Wisst Ihr da vielleicht eine Lösung für mein Problem?
 
lg
Manuel


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to seroal

    Hallo Sebastian,

     

    mit der direkten AD Anbindung habe ich es noch nicht versucht. Es muss sich hierbei um einen Fehler der neuen Version handeln. Denn da ich den VPN / Radius Fehler bereits bei der vorigen Version 9.407-3 hatte habe ich mehrmals versucht das VPN Problem zu lösen und hierbei hat der Servertest immer einwandfrei funktioniert. Auch der Test mit dem Benutzernamen und der NAS-Kennung hat in der Weboberfläche immer einwandfrei funktioniert. Was nun aber seit der neuen Version auch nicht mehr funktioniert.

    Das wäre das Log aus dem Radius Server. Im User Authentication Daemon Log auf der UTM scheinen meinen Verbindungsversuche von gerade eben leider nicht auf.

    Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

     

    Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

     

    Benutzer:

                    Sicherheits-ID:                                        WAJS\manuel

                    Kontoname:                                                           manuel

                    Kontodomäne:                                                       DOMAIN

                    Vollqualifizierter Kontoname:                domain.local/Benutzer/Administration/Manuel

     

    Clientcomputer:

                    Sicherheits-ID:                                        NULL SID

                    Kontoname:                                                           -

                    Vollqualifizierter Kontoname:                -

                    Betriebssystemversion:                                            -

                    Empfänger-ID:                                                        -

                    Anrufer-ID:                                                             212.95.7.66

     

    NAS:

                    NAS-IPv4-Adresse:                                  -

                    NAS-IPv6-Adresse:                                  -

                    NAS-ID:                                                                  l2tp

                    NAS-Porttyp:                                                          -

                    NAS-Port:                                                               0

     

    RADIUS-Client:

                    Clientanzeigenname:                                                             SOPHOSUTM

                    Client-IP-Adresse:                                   10.1.1.1

     

    Authentifizierungsdetails:

                    Name der Verbindungsanforderungsrichtlinie:       Windows-Authentifizierung für alle Benutzer verwenden

                    Netzwerkrichtlinienname:                       l2tp

                    Authentifizierungsanbieter:                    Windows

                    Authentifizierungsserver:                        SRV1.domain.local

                    Authentifizierungstyp:                            MS-CHAPv2

                    EAP-Typ:                                 -

                    Kontositzungs-ID:                   -

                    Protokollierungsergebnisse:                                    Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

                    Ursachencode:                                        66

                    Ursache:                                                 Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.

     

    Funktioniert haben muss es mit der UTM Version 9.406-3 denn zu diesen Zeitpunkt als diese Version noch installiert war habe ich meinen neuen Internetanschluss bekommen und dadurch habe ich damals mehrmals die VPN Verbindung probiert.

    Ein paar Tage nach dem ich bereits das neue 9.407-3 Update eingespielt hatte ist mir dann aufgefallen, dass die VPN Verbindung plötzlich nicht mehr funktioniert.

    Der Radius Server läuft direkt auf meinem Domänencontroller unter Windows Server 2012 und dieser bezieht diese direkt aus dem AD.

    Ich habe den Sophos Authenticator in Verwendung. Diesen habe ich allerdings nur für das Benutzerportal aktiviert. Komischerweise kann ich mich aber auch beim Benutzerportal, welches auf den Radius Server zugreift, einwandfrei mit dem Token anmelden.

    Hier wäre noch das Log aus der Firewall während dem Verbindungsaufbau:

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: received Vendor ID payload [RFC 3947]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: ignoring Vendor ID payload [FRAGMENTATION 80000000]

    2016:11:14-14:37:49 firewall pluto[6180]: packet from 123.123.123.123:62751: received Vendor ID payload [Dead Peer Detection]

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[7] 123.123.123.123:62751 #7: responding to Main Mode from unknown peer 123.123.123.123:62751

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[7] 123.123.123.123:62751 #7: NAT-Traversal: Result using RFC 3947: peer is NATed

    2016:11:14-14:37:49 firewall pluto[6180]: | NAT-T: new mapping 123.123.123.123:62751/48242)

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[7] 123.123.123.123:48242 #7: ignoring informational payload, type IPSEC_INITIAL_CONTACT

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[7] 123.123.123.123:48242 #7: Peer ID is ID_IPV4_ADDR: '10.6.246.169'

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[8]123.123.123.123:48242 #7: deleting connection "L_REF_IpsL2t1"[7] instance with peer 123.123.123.123 {isakmp=#0/ipsec=#0}

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[8]123.123.123.123:48242 #7: Dead Peer Detection (RFC 3706) enabled

    2016:11:14-14:37:49 firewall pluto[6180]: "L_REF_IpsL2t1"[8]123.123.123.123:48242 #7: sent MR3, ISAKMP SA established

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[4] 123.123.123.123:48242 #8: NAT-Traversal: received 2 NAT-OA. using first, ignoring others

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[4] 123.123.123.123:48242 #8: responding to Quick Mode

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[4] 123.123.123.123:48242 #8: IPsec SA established {ESP=>0x0d56e41d <0x62e04dac NATOA=10.6.246.169 DPD}

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Plugin radius.so loaded.

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: RADIUS plugin initialized.

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Plugin radattr.so loaded.

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: RADATTR plugin initialized.

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Plugin ippool.so loaded.

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Plugin pppol2tp.so loaded.

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: pppd 2.4.5 started by (unknown), uid 0

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Using interface ppp0

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Connect: ppp0 <-->

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Overriding mtu 1500 to 1380

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Overriding mru 1500 to mtu value 1380

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Overriding mtu 1500 to 1380

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Peer manuel.wajs failed CHAP authentication

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Overriding mtu 1500 to 1380

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Overriding mru 1500 to mtu value 1380

    2016:11:14-14:37:50 firewall pppd-l2tp[3380]: Terminating on signal 15

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[8]123.123.123.123:48242 #7: received Delete SA(0x0d56e41d) payload: deleting IPSEC State #8

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[8]123.123.123.123:48242 #7: deleting connection "L_REF_IpsL2t1"[4] instance with peer 123.123.123.123 {isakmp=#0/ipsec=#0}

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[8]123.123.123.123:48242 #7: received Delete SA payload: deleting ISAKMP State #7

    2016:11:14-14:37:50 firewall pluto[6180]: "L_REF_IpsL2t1"[8] 123.123.123.123:48242: deleting connection "L_REF_IpsL2t1"[8]instance with peer 123.123.123.123 {isakmp=#0/ipsec=#0}

    2016:11:14-14:37:50 firewall pluto[6180]: ERROR: asynchronous network error report on eth0 for message to 123.123.123.123 port 48242, complainant 123.123.123.123: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    2016:11:14-14:37:50 firewall pluto[6180]: ERROR: asynchronous network error report on eth0 for message to 123.123.123.123 port 48242, complainant 123.123.123.123: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    2016:11:14-14:37:56 firewall pppd-l2tp[3380]: Connection terminated.

    2016:11:14-14:37:56 firewall pppd-l2tp[3380]: Modem hangup

    2016:11:14-14:37:56 firewall pppd-l2tp[3380]: Exit.

     

    Lg

    Manuel

  • 0 in reply to fireb

    Hi,

     

    das User Authentication Daemon Log zu der Zeit wäre noch interessant. Aber irgendwie scheint mir der Radius die Methode nicht zu akzeptieren... Wäre mal interessant, wie deine Richtlinie auf dem Radius Server konfiguriert ist... Akzeptiert der nur MS-CHAPv2? Was ist auf deinem Client eingestellt?

     

     

    Gruß

    Sebastian

  • 0 in reply to seroal

    Hallo Sebastian,

    ich hab's nun geschafft. Nachdem ich alle 3 Richtlinien gelöscht und wieder neu angelegt habe funktioniert es nun.

    Könntest Du mir vielleicht nur sagen, welche Authentifizierungsmethoden Du ausgewählt hast?

    Derzeit sind bei mir nur MS-CHAP und MS-CHAP-v2 ausgewählt. Die anderen klingen mir nicht allzu sicher.

     

    lg

    Manuel

  • 0 in reply to fireb

    Hallo Manuel,

     

    das hört sich doch gut an... Manchmal scheint die Ursache ausgemacht, liegt aber dann doch woanders.... Ich habe für ein 802.1x WLAN nur MS-Chapv2 aktiviert.... Muss halt mit deinen Clients übereinstimmen...

     

    Gruß

    Sebastian

Unfiltered HTML