beowulf1980
Goto Top

VPN mit RADIUS unter W2k8

Hi,

also so langsam verzweifel ich. Ich probiere jetzt seit über 2 Wochen das VPN wieder zum laufen zu kriegen.
Ich wollte nach ner Domainumstellung von W2k zu W2k8 das VPN unterm IAS, respektive NPS, wieder genauso einstellen wies vorher war.

Hab ich auch getan aber er will ums verrecken nicht die Authentifizierung machen.
Ich hab mir mit Wireshark mal den Vorgang angeschaut. Leider zeigt der mir auch nicht mehr an als das vom RADIUS-Client das Request-Paket kommt und der RADIUS-Server ein Reject-Paket zurückschickt.

Im Server-Log seh ich dann halt schon das ne Anfrage kam diese wird aber aufgrund von unbekanntem Benutzernamen oder Passwort abgelehnt.
Nach den zahlreichen versuchen meinserseits, selbst mit Copy&Paste, geh ich davon aus das es nicht an ner Falscheingabe liegt. Sondern der RADIUS-Server irgendwie die Anfrage nicht richtig verarbeitet.

Hat einer Idee wo ich noch schauen könnte ?

Gruß
Beowulf

Content-ID: 122836

Url: https://administrator.de/contentid/122836

Ausgedruckt am: 24.11.2024 um 19:11 Uhr

spacyfreak
spacyfreak 16.08.2009 um 22:18:03 Uhr
Goto Top
Hast du in der RAS-Policy die Gruppe Domain Users genommen oder Domänen Benutzer in der die User Mitglied sein müssen?

Ansonsten könntest du auch auf dem Radius mit Network Monitor sniffen was da in den Paketen drinsteht.
beowulf1980
beowulf1980 17.08.2009 um 00:27:22 Uhr
Goto Top
Ich finde diesen Satz etwas verwirrend
"Hast du in der RAS-Policy die Gruppe Domain Users genommen oder Domänen Benutzer in der die User Mitglied sein müssen?"
Auf was genau möchtest du mich da hinweisen ? ;)

Also ich hab da schon zig Varianten ausprobiert.
Ich bin da eben auch nicht ganz sicher was ich alles einstellen muss.

Ich hatte am Anfang nur die Netzwerkrichtlinie eingerichtet. Da kam halt immer die Fehlermeldung in der Ereignisanzeige, das keine Verbindungsanforderungsrichtlinie eingerichtet wäre.
Da hab ich dann eben noch eine dazu gemacht und seitdem bekomm ich halt immer die Meldung mit dem Benutzernamen und Passwort.

Momentan ist es so eingestellt das in der Netzwerkrichtlinie abgefragt wird ob der User in einer Gruppe ist die ich selber angelegt habe.

Und in der Verbindungsanforderungsrichtlinie hab ich, weils ja eine Bedingung Zwang ist die Uhrzeiten eingestellt. Eben rund um die Uhr.

Ich hatte auch schon mal Domänen-Benutzer bei der Netzwerkrichtlinie eingetragen aber da kam der selbe Fehler.

In der Richtlinie hab ich auch eingestellt das er die Einwähleigenschaften des Kontos ignorieren soll und nur nach der NPS-Richtlinie geht.
spacyfreak
spacyfreak 17.08.2009 um 17:30:06 Uhr
Goto Top
Na dann siehts doch so aus als hättest du fast alles richtig gemacht.

Wenn der sagt Username / PW ist falsch dann ist prinzipiell schonmal die Abfrage schick, also Radius funktioniert - nur kann er warum auch immer den User nicht authentisieren.
Was ist mit Domain-Prefix bei der Useranmeldung? Eventuell Domain\Username probieren anstatt nur Username.
Normalerweise macht das aber nix, wenn man eh nur eine domain hat dann nimmt er die Default Domain egal ob der User nen prefix angibt oder nicht.

Ich würde erstmal zur Fehlereingrenzung die Gruppe "Domain Users" nehmen als Bedingung bei der Ras-Policy - nimmst du eine eigene Gruppe muss das unter Umständen eine Universelle Gruppe sein (kommt drauf an...).
Ausserdem solltest du nach jeder Veränderung der Radius Config den Radius Dienst neu starten!

Bei der Ras-Policy unter Advanced das Attribut "Ignore User properties" oder so ähnl9ch auf "True" setzen damit der Radius die Kontrolle übernimmt.
Doch das scheint schon ok zu sein sonst hättest ne andere Fehlermeldung im Eventlog.

Ansonsten - sniff doch mal auf dem Radus mti Network Monitor! Das hilft sehr oft, und grad bei Radius sehr hilfreich weil ja da alles unverschlüsselt ist, ausser das Userpasswort.
beowulf1980
beowulf1980 17.08.2009 um 18:08:52 Uhr
Goto Top
Also danke erstmal für die Tips.

Also ich hab mal den Inhalt der Pakete ausm Wireshark kopiert. Vielleicht kannst du damit was anfangen. Ich hab nur die IP-Adressen ersetzt.


Also hier Access-Request
No.     Time        Source                Destination           Protocol Info
     15 7.239311    10.0.10.126         10.0.10.125         RADIUS   Access-Request(1) (id=221, l=115)

Frame 15 (157 bytes on wire, 157 bytes captured)
Ethernet II, Src: Cisco_e2:3b:8e (00:0b:5f:e2:3b:8e), Dst: Dell_33:d0:b7 (00:22:19:33:d0:b7)
Internet Protocol, Src: 10.0.10.126 (10.0.10.126), Dst: 10.0.10.125 (10.0.10.125)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 143
    Identification: 0xac4b (44107)
    Flags: 0x00
        0... = Reserved bit: Not set
        .0.. = Don't fragment: Not set  
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 255
    Protocol: UDP (0x11)
    Header checksum: 0xb970 [correct]
        [Good: True]
        [Bad : False]
    Source: 10.0.10.126 (10.0.10.126)
    Destination: 10.0.10.125 (10.0.10.125)
User Datagram Protocol, Src Port: sightline (1645), Dst Port: sightline (1645)
    Source port: sightline (1645)
    Destination port: sightline (1645)
    Length: 123
    Checksum: 0x418f [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
Radius Protocol
    Code: Access-Request (1)
    Packet identifier: 0xdd (221)
    Length: 115
    Authenticator: 50494E6F7C055A8B6881266714BDB203
    [The response to this request is in frame 16]
    Attribute Value Pairs
        AVP: l=14  t=User-Name(1): administrator
        AVP: l=6  t=NAS-IP-Address(4): 10.0.10.126
        AVP: l=16  t=Calling-Station-Id(31): 10.0.10.186
        AVP: l=18  t=User-Password(2): Encrypted
        AVP: l=6  t=NAS-Port(5): 477
        AVP: l=35  t=Vendor-Specific(26) v=Cisco(9)

Und hier Access-Reject
No.     Time        Source                Destination           Protocol Info
     16 7.245384    10.0.10.125         10.0.10.126         RADIUS   Access-Reject(3) (id=221, l=20)

Frame 16 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Dell_33:d0:b7 (00:22:19:33:d0:b7), Dst: Cisco_e2:3b:8e (00:0b:5f:e2:3b:8e)
Internet Protocol, Src: 10.0.10.125 (10.0.10.125), Dst: 10.0.10.126 (10.0.10.126)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
        0000 00.. = Differentiated Services Codepoint: Default (0x00)
        .... ..0. = ECN-Capable Transport (ECT): 0
        .... ...0 = ECN-CE: 0
    Total Length: 48
    Identification: 0x18e9 (6377)
    Flags: 0x00
        0... = Reserved bit: Not set
        .0.. = Don't fragment: Not set  
        ..0. = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (0x11)
    Header checksum: 0xcc32 [correct]
        [Good: True]
        [Bad : False]
    Source: 10.0.10.125 (10.0.10.125)
    Destination: 10.0.10.126 (10.0.10.126)
User Datagram Protocol, Src Port: sightline (1645), Dst Port: sightline (1645)
    Source port: sightline (1645)
    Destination port: sightline (1645)
    Length: 28
    Checksum: 0x8eb5 [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
Radius Protocol
    Code: Access-Reject (3)
    Packet identifier: 0xdd (221)
    Length: 20
    Authenticator: 4B860BCBD5C6FCD3EB463CD096DC21B4
    [This is a response to a request in frame 15]
    [Time from request: 0.006073000 seconds]

Danke und Gruß
Beowulf
one
one 22.11.2010 um 15:56:13 Uhr
Goto Top
Ist das gelöst worden? Wenn ja, wie?
beowulf1980
beowulf1980 22.11.2010 um 17:04:16 Uhr
Goto Top
Also ich hab die kompletten Regeln im NPS nochmal gelöscht, den nochmal komplett deaktivert, die Rolle entfernt usw.

Dann Neustart alles wieder drauf gemacht und erstmal nur auf die Domänenbenutzer beschränkt.

Ich kann dir auch gerne nochmal die Options raussuchen die ich eingestellt hab.

Gruß
Beowulf