Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN mit Authentifizierung über Active Directory

Guten Morgen,
ich habe hier ein kleines oder größeres Problem mit der Authentifizierung von PPTP VPN-Verbindungen.
Ziel soll es sein, eine PPTP VPN-Verbindung mit den Benutzerdaten aus der Active Directory herzustellen.
Wenn ich das nun richtig verstanden habe, kann ich die PPTP-Einwahl auf der Astaro nur mittels eines RADIUS-Servers an der AD authentifizieren. Leider komme ich genau hier nicht weiter. Ich habe auf einem Windows 2008 Server einen NAP installiert, einen RADIUS-Client angelegt und die Verbindungsanforderungs- und Netzwerkrichtlinien definiert. Wenn ich nun auf der Astaro einen neuen Radius-Server angebe, kann ich zwar die Servereinstellungen erfolgreich testen, allerdings funktioniert die Anmeldung dann nicht. Gebe ich nur Benutzername und Passwort an, erhalte ich folgende Meldung:
Benutzerauthentifizierung: Authentication test passed.
Benutzer ist Mitglied folgender Gruppen: Für diesen Benutzer wurden keine Gruppen gefunden
Wenn ich nun noch unten die NAS-Kennung auf pptp einstelle und diese Einstellung teste, erhalte ich folgende Meldungen:
Benutzerauthentifizierung: Radius authentication failed
Benutzer ist Mitglied folgender Gruppen: Für diesen Benutzer wurden keine Gruppen gefunden
Ich vermute nun, dass in den Richtlinien irgendwas noch nicht stimmt. Leider habe ich jedoch nichts darüber gefunden, wie ich den Radius einrichten muss, damit sich die User über die Astaro sauber daran Authentifizieren können.
Ich hoffe, hier kann mir jemand helfen! Danke!
Grüße
LGsys


This thread was automatically locked due to age.
Parents
  • Hi,

    also grundsätzlich kann ich schon mal sagen: das geht.
    Die Schwierigkeit lag bei mir eher darin, den NAS Dienst richtig einzustellen, wobei die deutsche Übersetzung im Windows da einen schön in die Falle jagen kann.

    Im wesentlichen hab ich auf dem NAS zwei Dinge in der Verbindungsanforderungsrichtlinie angegeben: NAS Identifier und NAS Client IP (IP der ASG). Dann schaust du am besten in Eventlog (da gibts für den NAS Dienst einen eigenen Bereich) und schaust was die ASG an den NAS sendet und passt dann den NAS Dienst entsprechen an. Das schwierige ist wie gesagt die richtigen Felder im NAS zu finden.

    Es gibt hier in der KB einen Artikel, der die Einrichtung des NAS für die authentifizierung von WLAN Clients beschreibt - da hast du einen guten Anfang zum weiterforschen.

    Viele Grüße
    Manfred
  • Vielen Dank für die Tips! Der Fehler aus dem Eventlog sagt zwar unheimlich viel aus, hilft aber leider nicht weiter:
    Der Verbindungsversuch ist fehlgeschlagen, da die Netzwerkzugriffsberechtigung für den Benutzer verweigert wurde. Aktivieren Sie die Netzwerkzugriffsberechtigung, um den Netzwerkzugriff für das Benutzerkonto zuzulassen. Falls der Zugriff über eine entsprechende Netzwerkrichtlinie gesteuert wird, aktivieren Sie die Netzwerkzugriffsberechtigung für diese Netzwerkrichtlinie. 

    Was ist im "deutschen" Windows mit NAS ID gemeint? Das gibt es so leider nicht in den Verbindungsanforderungsrichtlinien. Empfangs-ID oder NAS-Bezeichner passen von der Beschreibung her nicht.

    Danke.
  • Hm - die Meldung klingt so, also ob eine passende Verbindungsanfragerichtlinie gefunden wurde, aber keine passende Netzwerkrichtlinie. 

    Mach doch mal bitte ein paar aussagekräftige Screenshots von deinen Einstellungen im NPS Dienst.

    Viele Grüße
    Manfred
Reply
  • Hm - die Meldung klingt so, also ob eine passende Verbindungsanfragerichtlinie gefunden wurde, aber keine passende Netzwerkrichtlinie. 

    Mach doch mal bitte ein paar aussagekräftige Screenshots von deinen Einstellungen im NPS Dienst.

    Viele Grüße
    Manfred
Children
  • Hier mal ein Screenshot der Netzwerkrichtlinie. Diese wurde so durch den Assistenten eingerichtet. Der Test-Benutzer ist Mitglied der dort angegeben Gruppe.

  • Also ich habe in der Verbindungsanforderungsrichtlinie folgendes drin:
    NAS-Bezeichner: l2tp (müsste bei pptp bei dir sein)
    Client-IPv4-Adress: 

    Ich vermute mal, wenn die Verbindungsanforderungsrichtlinie passt, könnte es an den geforderten Authentifizierungsmethoden liegen - du könntes da mal PAP, MSCHAP und CHAP zusätzlich angeben und schauen obs dann klappt. Aber wie schon gesagt, das Eventlog vom NPS Server zeigt dir, was von der ASG in welchem Feld am NPS ankommt und danach musst du schauen.

    Viele Grüße
    Manfred
  • Leider reißen die Probleme nicht ab. Mittlerweile habe ich es geschafft, dass sich die Astaro korrekt mit dem Radius unterhält.
    Leider können Sich die Benutzer aber immer noch nicht mittels Radius authentifizieren. Im Eventlog des Radius kommt die Meldung dass der Benuter sich sauber authentifizieren konnte und Vollzugriff gewährt wird, auf dem Client erscheint aber folgende Fehlermeldung:

    Als zulässige Authentifizierung ist im Radius und im Client CHAP und MS CHAPv2 erlaubt.
    Im Protokoll der Astaro erschein folgendes:
    rc_map2id: can't find tty /dev/ in map database
    rc_check_reply: received invalid reply digest from RADIUS server
    Peer test-benutzer failed CHAP authentication
    sent [CHAP Failure id=0x9c ""]
    sent [LCP TermReq id=0x3 "Authentication failed"]