IAS als RADIUS für VPN Access

[bastian.will 10]

Moin Moin,

 

folgendes Szenario:

1 Linux (Astaro) Firewall/VPN Gateway, der zur authentifizierung einen MS IAS Server auf einem Win2k3 Standard Server nutzen soll.

 

Habe folgendes gemacht:

- IAS Server installiert

- Als Radius Client die Linux Maschine angegeben (mit RADIUS Standard, wie in Astaro Beschreibung)

- Den Key habe ich frei gewählt

- Eine neue Gruppe "VPN-User" im AD eingerichtet und diese im IAS eingetragen.

- Auf Linux Maschine die IP des Win2k3 eingetragen und den gleich Key (mehrmals probiert) eingetragen.

 

Soweit so gut, aber es funktionierte nicht.

 

Dann habe ich mir einen Radius Testclient genommen und das ganze mal getestet.

Ergebnis: Timeout

 

Kann mir jemand von Euch sagen, woran es liegen könnte? Hab ich irgendwas wichtiges vergessen?

 

Danke schon einmal.

 

Gruß

BW

[Velius 10]

Hi

 

Hast du den IAS, Rechtsklick auf den Stamm, "Register Server in Active Directory" ausgeführt?

 

 

Gruss

Velius

[bastian.will 10]

Ja, hatte ich gemacht!

 

 

Leider klappt es noch immer nicht.

Gibt es Testclients, die eventuell ein bischen mehr preisgeben als nur "Timeout"?

 

Kann ja sein, daß das Problem gar nicht in der Verbindung liegt sonder der Timeout sonst wo her kommt!

[Velius 10]

Du musst dafür schon das erweiterte Log auf dem IAS einschalten.

 

Remote Access Logging -> local File -> die entsprechenden Optionen setzen.

 

 

Hier findest du noch die Interpretation des Logfiles:

Interpreting IAS-formatted log files

 

 

Gruss

Velius

[bastian.will 10]

Hab das Protokoll mal aktiviert!

Nur ist die Protokolldatei nicht mal vorhanden! :-(

 

Das heißt, der Timeout ist wirklich ein Timeout :-(

Nur woher?

[Velius 10]

Hast du da nachgekuckt?

 

cmd -> %windir%\system32\LogFiles -> "Enter"

[bastian.will 10]

Ja, hab ich!

 

Da ich keine LogFile drin!

 

Gibt es Alternativen zum IAS, die auch mit AD zusammenarbeiten?

[Velius 10]

Weiss ned, ist aber gut möglich.

 

Versuch doch die Event Logs des Servers zu checken oder den IAS zu reinstallieren.

[bastian.will 10]

Es gibt ein paar neue Erkenntnisse:

 

Nach reinstall des IAS funktioniert zumindest schon mal die Kommuniktaion mit dem Server! *freu*

 

Folgende Richtlinie habe ich angelegt:

NAS-Identifier muss "pptp" sein und User muss der Gruppe "VPN-User" angehören.

Bei meinem Benutzer ist das der Fall, wenn ich das ganze nun teste erhalte ich folgendes Log im EventLog:

 

Benutzer "bw" wurde Zugriff verweigert.

Vollqualifizierter Benutzername = XXX\bw

NAS-IP-Adresse = 192.168.XXX.101

NAS-Kennung = pptp

Kennung der Anrufstation = <nicht vorhanden>

Kennung der Empfängerstation = 1115551212

Clientanzeigename = XXXWSBW

Client-IP-Adresse = 192.168.XXX.101

NAS-Porttyp = <nicht vorhanden>

NAS-Port = 0

Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

Authentifizierungsanbieter = Windows

Authentifizierungsserver = <unbestimmt>

Richtlinien-Name = <unbestimmt>

Authentifizierungstyp = PAP

EAP-Typ = <unbestimmt>

Code = 36

Ursache = Das Benutzerkonto ist momentan gesperrt und kann nicht authentifiziert werden. Nur eine Person mit Administratorrechten für den Computer bzw. die Domäne kann die Sperrung des Benutzerkontos aufheben.

 

Der User ist in der Gruppe "VPN-User" und auch der NAS-Identifier wird richtig übergeben.

Das ganze habe ich mit Radlogin, einem RADIUS Test Tool, getestet.

Dort gebe ich User und Kennwort an, daher ist die Authentifizierung richtig nur weißt der Server sie zurück! ???

 

Danke schon mal!