Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN mit RADIUS unter W2k8

Frage Netzwerke

Mitglied: beowulf1980

beowulf1980 (Level 1) - Jetzt verbinden

16.08.2009, aktualisiert 21:20 Uhr, 6694 Aufrufe, 6 Kommentare

Hi,

also so langsam verzweifel ich. Ich probiere jetzt seit über 2 Wochen das VPN wieder zum laufen zu kriegen.
Ich wollte nach ner Domainumstellung von W2k zu W2k8 das VPN unterm IAS, respektive NPS, wieder genauso einstellen wies vorher war.

Hab ich auch getan aber er will ums verrecken nicht die Authentifizierung machen.
Ich hab mir mit Wireshark mal den Vorgang angeschaut. Leider zeigt der mir auch nicht mehr an als das vom RADIUS-Client das Request-Paket kommt und der RADIUS-Server ein Reject-Paket zurückschickt.

Im Server-Log seh ich dann halt schon das ne Anfrage kam diese wird aber aufgrund von unbekanntem Benutzernamen oder Passwort abgelehnt.
Nach den zahlreichen versuchen meinserseits, selbst mit Copy&Paste, geh ich davon aus das es nicht an ner Falscheingabe liegt. Sondern der RADIUS-Server irgendwie die Anfrage nicht richtig verarbeitet.

Hat einer Idee wo ich noch schauen könnte ?

Gruß
Beowulf
Mitglied: spacyfreak
16.08.2009 um 22:18 Uhr
Hast du in der RAS-Policy die Gruppe Domain Users genommen oder Domänen Benutzer in der die User Mitglied sein müssen?

Ansonsten könntest du auch auf dem Radius mit Network Monitor sniffen was da in den Paketen drinsteht.
Bitte warten ..
Mitglied: beowulf1980
17.08.2009 um 00:27 Uhr
Ich finde diesen Satz etwas verwirrend
"Hast du in der RAS-Policy die Gruppe Domain Users genommen oder Domänen Benutzer in der die User Mitglied sein müssen?"
Auf was genau möchtest du mich da hinweisen ? ;)

Also ich hab da schon zig Varianten ausprobiert.
Ich bin da eben auch nicht ganz sicher was ich alles einstellen muss.

Ich hatte am Anfang nur die Netzwerkrichtlinie eingerichtet. Da kam halt immer die Fehlermeldung in der Ereignisanzeige, das keine Verbindungsanforderungsrichtlinie eingerichtet wäre.
Da hab ich dann eben noch eine dazu gemacht und seitdem bekomm ich halt immer die Meldung mit dem Benutzernamen und Passwort.

Momentan ist es so eingestellt das in der Netzwerkrichtlinie abgefragt wird ob der User in einer Gruppe ist die ich selber angelegt habe.

Und in der Verbindungsanforderungsrichtlinie hab ich, weils ja eine Bedingung Zwang ist die Uhrzeiten eingestellt. Eben rund um die Uhr.

Ich hatte auch schon mal Domänen-Benutzer bei der Netzwerkrichtlinie eingetragen aber da kam der selbe Fehler.

In der Richtlinie hab ich auch eingestellt das er die Einwähleigenschaften des Kontos ignorieren soll und nur nach der NPS-Richtlinie geht.
Bitte warten ..
Mitglied: spacyfreak
17.08.2009 um 17:30 Uhr
Na dann siehts doch so aus als hättest du fast alles richtig gemacht.

Wenn der sagt Username / PW ist falsch dann ist prinzipiell schonmal die Abfrage schick, also Radius funktioniert - nur kann er warum auch immer den User nicht authentisieren.
Was ist mit Domain-Prefix bei der Useranmeldung? Eventuell Domain\Username probieren anstatt nur Username.
Normalerweise macht das aber nix, wenn man eh nur eine domain hat dann nimmt er die Default Domain egal ob der User nen prefix angibt oder nicht.

Ich würde erstmal zur Fehlereingrenzung die Gruppe "Domain Users" nehmen als Bedingung bei der Ras-Policy - nimmst du eine eigene Gruppe muss das unter Umständen eine Universelle Gruppe sein (kommt drauf an...).
Ausserdem solltest du nach jeder Veränderung der Radius Config den Radius Dienst neu starten!

Bei der Ras-Policy unter Advanced das Attribut "Ignore User properties" oder so ähnl9ch auf "True" setzen damit der Radius die Kontrolle übernimmt.
Doch das scheint schon ok zu sein sonst hättest ne andere Fehlermeldung im Eventlog.

Ansonsten - sniff doch mal auf dem Radus mti Network Monitor! Das hilft sehr oft, und grad bei Radius sehr hilfreich weil ja da alles unverschlüsselt ist, ausser das Userpasswort.
Bitte warten ..
Mitglied: beowulf1980
17.08.2009 um 18:08 Uhr
Also danke erstmal für die Tips.

Also ich hab mal den Inhalt der Pakete ausm Wireshark kopiert. Vielleicht kannst du damit was anfangen. Ich hab nur die IP-Adressen ersetzt.


Also hier Access-Request
01.
No.     Time        Source                Destination           Protocol Info 
02.
     15 7.239311    10.0.10.126         10.0.10.125         RADIUS   Access-Request(1) (id=221, l=115) 
03.
 
04.
Frame 15 (157 bytes on wire, 157 bytes captured) 
05.
Ethernet II, Src: Cisco_e2:3b:8e (00:0b:5f:e2:3b:8e), Dst: Dell_33:d0:b7 (00:22:19:33:d0:b7) 
06.
Internet Protocol, Src: 10.0.10.126 (10.0.10.126), Dst: 10.0.10.125 (10.0.10.125) 
07.
    Version: 4 
08.
    Header length: 20 bytes 
09.
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
10.
        0000 00.. = Differentiated Services Codepoint: Default (0x00) 
11.
        .... ..0. = ECN-Capable Transport (ECT): 0 
12.
        .... ...0 = ECN-CE: 0 
13.
    Total Length: 143 
14.
    Identification: 0xac4b (44107) 
15.
    Flags: 0x00 
16.
        0... = Reserved bit: Not set 
17.
        .0.. = Don't fragment: Not set 
18.
        ..0. = More fragments: Not set 
19.
    Fragment offset: 0 
20.
    Time to live: 255 
21.
    Protocol: UDP (0x11) 
22.
    Header checksum: 0xb970 [correct] 
23.
        [Good: True] 
24.
        [Bad : False] 
25.
    Source: 10.0.10.126 (10.0.10.126) 
26.
    Destination: 10.0.10.125 (10.0.10.125) 
27.
User Datagram Protocol, Src Port: sightline (1645), Dst Port: sightline (1645) 
28.
    Source port: sightline (1645) 
29.
    Destination port: sightline (1645) 
30.
    Length: 123 
31.
    Checksum: 0x418f [validation disabled] 
32.
        [Good Checksum: False] 
33.
        [Bad Checksum: False] 
34.
Radius Protocol 
35.
    Code: Access-Request (1) 
36.
    Packet identifier: 0xdd (221) 
37.
    Length: 115 
38.
    Authenticator: 50494E6F7C055A8B6881266714BDB203 
39.
    [The response to this request is in frame 16] 
40.
    Attribute Value Pairs 
41.
        AVP: l=14  t=User-Name(1): administrator 
42.
        AVP: l=6  t=NAS-IP-Address(4): 10.0.10.126 
43.
        AVP: l=16  t=Calling-Station-Id(31): 10.0.10.186 
44.
        AVP: l=18  t=User-Password(2): Encrypted 
45.
        AVP: l=6  t=NAS-Port(5): 477 
46.
        AVP: l=35  t=Vendor-Specific(26) v=Cisco(9)
Und hier Access-Reject
01.
No.     Time        Source                Destination           Protocol Info 
02.
     16 7.245384    10.0.10.125         10.0.10.126         RADIUS   Access-Reject(3) (id=221, l=20) 
03.
 
04.
Frame 16 (62 bytes on wire, 62 bytes captured) 
05.
Ethernet II, Src: Dell_33:d0:b7 (00:22:19:33:d0:b7), Dst: Cisco_e2:3b:8e (00:0b:5f:e2:3b:8e) 
06.
Internet Protocol, Src: 10.0.10.125 (10.0.10.125), Dst: 10.0.10.126 (10.0.10.126) 
07.
    Version: 4 
08.
    Header length: 20 bytes 
09.
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
10.
        0000 00.. = Differentiated Services Codepoint: Default (0x00) 
11.
        .... ..0. = ECN-Capable Transport (ECT): 0 
12.
        .... ...0 = ECN-CE: 0 
13.
    Total Length: 48 
14.
    Identification: 0x18e9 (6377) 
15.
    Flags: 0x00 
16.
        0... = Reserved bit: Not set 
17.
        .0.. = Don't fragment: Not set 
18.
        ..0. = More fragments: Not set 
19.
    Fragment offset: 0 
20.
    Time to live: 128 
21.
    Protocol: UDP (0x11) 
22.
    Header checksum: 0xcc32 [correct] 
23.
        [Good: True] 
24.
        [Bad : False] 
25.
    Source: 10.0.10.125 (10.0.10.125) 
26.
    Destination: 10.0.10.126 (10.0.10.126) 
27.
User Datagram Protocol, Src Port: sightline (1645), Dst Port: sightline (1645) 
28.
    Source port: sightline (1645) 
29.
    Destination port: sightline (1645) 
30.
    Length: 28 
31.
    Checksum: 0x8eb5 [validation disabled] 
32.
        [Good Checksum: False] 
33.
        [Bad Checksum: False] 
34.
Radius Protocol 
35.
    Code: Access-Reject (3) 
36.
    Packet identifier: 0xdd (221) 
37.
    Length: 20 
38.
    Authenticator: 4B860BCBD5C6FCD3EB463CD096DC21B4 
39.
    [This is a response to a request in frame 15] 
40.
    [Time from request: 0.006073000 seconds]
Danke und Gruß
Beowulf
Bitte warten ..
Mitglied: one
22.11.2010 um 15:56 Uhr
Ist das gelöst worden? Wenn ja, wie?
Bitte warten ..
Mitglied: beowulf1980
22.11.2010 um 17:04 Uhr
Also ich hab die kompletten Regeln im NPS nochmal gelöscht, den nochmal komplett deaktivert, die Rolle entfernt usw.

Dann Neustart alles wieder drauf gemacht und erstmal nur auf die Domänenbenutzer beschränkt.

Ich kann dir auch gerne nochmal die Options raussuchen die ich eingestellt hab.

Gruß
Beowulf
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...