Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN mit RADIUS unter W2k8

Frage Netzwerke

Mitglied: beowulf1980

beowulf1980 (Level 1) - Jetzt verbinden

16.08.2009, aktualisiert 21:20 Uhr, 6744 Aufrufe, 6 Kommentare

Hi,

also so langsam verzweifel ich. Ich probiere jetzt seit über 2 Wochen das VPN wieder zum laufen zu kriegen.
Ich wollte nach ner Domainumstellung von W2k zu W2k8 das VPN unterm IAS, respektive NPS, wieder genauso einstellen wies vorher war.

Hab ich auch getan aber er will ums verrecken nicht die Authentifizierung machen.
Ich hab mir mit Wireshark mal den Vorgang angeschaut. Leider zeigt der mir auch nicht mehr an als das vom RADIUS-Client das Request-Paket kommt und der RADIUS-Server ein Reject-Paket zurückschickt.

Im Server-Log seh ich dann halt schon das ne Anfrage kam diese wird aber aufgrund von unbekanntem Benutzernamen oder Passwort abgelehnt.
Nach den zahlreichen versuchen meinserseits, selbst mit Copy&Paste, geh ich davon aus das es nicht an ner Falscheingabe liegt. Sondern der RADIUS-Server irgendwie die Anfrage nicht richtig verarbeitet.

Hat einer Idee wo ich noch schauen könnte ?

Gruß
Beowulf
Mitglied: spacyfreak
16.08.2009 um 22:18 Uhr
Hast du in der RAS-Policy die Gruppe Domain Users genommen oder Domänen Benutzer in der die User Mitglied sein müssen?

Ansonsten könntest du auch auf dem Radius mit Network Monitor sniffen was da in den Paketen drinsteht.
Bitte warten ..
Mitglied: beowulf1980
17.08.2009 um 00:27 Uhr
Ich finde diesen Satz etwas verwirrend
"Hast du in der RAS-Policy die Gruppe Domain Users genommen oder Domänen Benutzer in der die User Mitglied sein müssen?"
Auf was genau möchtest du mich da hinweisen ? ;)

Also ich hab da schon zig Varianten ausprobiert.
Ich bin da eben auch nicht ganz sicher was ich alles einstellen muss.

Ich hatte am Anfang nur die Netzwerkrichtlinie eingerichtet. Da kam halt immer die Fehlermeldung in der Ereignisanzeige, das keine Verbindungsanforderungsrichtlinie eingerichtet wäre.
Da hab ich dann eben noch eine dazu gemacht und seitdem bekomm ich halt immer die Meldung mit dem Benutzernamen und Passwort.

Momentan ist es so eingestellt das in der Netzwerkrichtlinie abgefragt wird ob der User in einer Gruppe ist die ich selber angelegt habe.

Und in der Verbindungsanforderungsrichtlinie hab ich, weils ja eine Bedingung Zwang ist die Uhrzeiten eingestellt. Eben rund um die Uhr.

Ich hatte auch schon mal Domänen-Benutzer bei der Netzwerkrichtlinie eingetragen aber da kam der selbe Fehler.

In der Richtlinie hab ich auch eingestellt das er die Einwähleigenschaften des Kontos ignorieren soll und nur nach der NPS-Richtlinie geht.
Bitte warten ..
Mitglied: spacyfreak
17.08.2009 um 17:30 Uhr
Na dann siehts doch so aus als hättest du fast alles richtig gemacht.

Wenn der sagt Username / PW ist falsch dann ist prinzipiell schonmal die Abfrage schick, also Radius funktioniert - nur kann er warum auch immer den User nicht authentisieren.
Was ist mit Domain-Prefix bei der Useranmeldung? Eventuell Domain\Username probieren anstatt nur Username.
Normalerweise macht das aber nix, wenn man eh nur eine domain hat dann nimmt er die Default Domain egal ob der User nen prefix angibt oder nicht.

Ich würde erstmal zur Fehlereingrenzung die Gruppe "Domain Users" nehmen als Bedingung bei der Ras-Policy - nimmst du eine eigene Gruppe muss das unter Umständen eine Universelle Gruppe sein (kommt drauf an...).
Ausserdem solltest du nach jeder Veränderung der Radius Config den Radius Dienst neu starten!

Bei der Ras-Policy unter Advanced das Attribut "Ignore User properties" oder so ähnl9ch auf "True" setzen damit der Radius die Kontrolle übernimmt.
Doch das scheint schon ok zu sein sonst hättest ne andere Fehlermeldung im Eventlog.

Ansonsten - sniff doch mal auf dem Radus mti Network Monitor! Das hilft sehr oft, und grad bei Radius sehr hilfreich weil ja da alles unverschlüsselt ist, ausser das Userpasswort.
Bitte warten ..
Mitglied: beowulf1980
17.08.2009 um 18:08 Uhr
Also danke erstmal für die Tips.

Also ich hab mal den Inhalt der Pakete ausm Wireshark kopiert. Vielleicht kannst du damit was anfangen. Ich hab nur die IP-Adressen ersetzt.


Also hier Access-Request
01.
No.     Time        Source                Destination           Protocol Info 
02.
     15 7.239311    10.0.10.126         10.0.10.125         RADIUS   Access-Request(1) (id=221, l=115) 
03.
 
04.
Frame 15 (157 bytes on wire, 157 bytes captured) 
05.
Ethernet II, Src: Cisco_e2:3b:8e (00:0b:5f:e2:3b:8e), Dst: Dell_33:d0:b7 (00:22:19:33:d0:b7) 
06.
Internet Protocol, Src: 10.0.10.126 (10.0.10.126), Dst: 10.0.10.125 (10.0.10.125) 
07.
    Version: 4 
08.
    Header length: 20 bytes 
09.
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
10.
        0000 00.. = Differentiated Services Codepoint: Default (0x00) 
11.
        .... ..0. = ECN-Capable Transport (ECT): 0 
12.
        .... ...0 = ECN-CE: 0 
13.
    Total Length: 143 
14.
    Identification: 0xac4b (44107) 
15.
    Flags: 0x00 
16.
        0... = Reserved bit: Not set 
17.
        .0.. = Don't fragment: Not set 
18.
        ..0. = More fragments: Not set 
19.
    Fragment offset: 0 
20.
    Time to live: 255 
21.
    Protocol: UDP (0x11) 
22.
    Header checksum: 0xb970 [correct] 
23.
        [Good: True] 
24.
        [Bad : False] 
25.
    Source: 10.0.10.126 (10.0.10.126) 
26.
    Destination: 10.0.10.125 (10.0.10.125) 
27.
User Datagram Protocol, Src Port: sightline (1645), Dst Port: sightline (1645) 
28.
    Source port: sightline (1645) 
29.
    Destination port: sightline (1645) 
30.
    Length: 123 
31.
    Checksum: 0x418f [validation disabled] 
32.
        [Good Checksum: False] 
33.
        [Bad Checksum: False] 
34.
Radius Protocol 
35.
    Code: Access-Request (1) 
36.
    Packet identifier: 0xdd (221) 
37.
    Length: 115 
38.
    Authenticator: 50494E6F7C055A8B6881266714BDB203 
39.
    [The response to this request is in frame 16] 
40.
    Attribute Value Pairs 
41.
        AVP: l=14  t=User-Name(1): administrator 
42.
        AVP: l=6  t=NAS-IP-Address(4): 10.0.10.126 
43.
        AVP: l=16  t=Calling-Station-Id(31): 10.0.10.186 
44.
        AVP: l=18  t=User-Password(2): Encrypted 
45.
        AVP: l=6  t=NAS-Port(5): 477 
46.
        AVP: l=35  t=Vendor-Specific(26) v=Cisco(9)
Und hier Access-Reject
01.
No.     Time        Source                Destination           Protocol Info 
02.
     16 7.245384    10.0.10.125         10.0.10.126         RADIUS   Access-Reject(3) (id=221, l=20) 
03.
 
04.
Frame 16 (62 bytes on wire, 62 bytes captured) 
05.
Ethernet II, Src: Dell_33:d0:b7 (00:22:19:33:d0:b7), Dst: Cisco_e2:3b:8e (00:0b:5f:e2:3b:8e) 
06.
Internet Protocol, Src: 10.0.10.125 (10.0.10.125), Dst: 10.0.10.126 (10.0.10.126) 
07.
    Version: 4 
08.
    Header length: 20 bytes 
09.
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 
10.
        0000 00.. = Differentiated Services Codepoint: Default (0x00) 
11.
        .... ..0. = ECN-Capable Transport (ECT): 0 
12.
        .... ...0 = ECN-CE: 0 
13.
    Total Length: 48 
14.
    Identification: 0x18e9 (6377) 
15.
    Flags: 0x00 
16.
        0... = Reserved bit: Not set 
17.
        .0.. = Don't fragment: Not set 
18.
        ..0. = More fragments: Not set 
19.
    Fragment offset: 0 
20.
    Time to live: 128 
21.
    Protocol: UDP (0x11) 
22.
    Header checksum: 0xcc32 [correct] 
23.
        [Good: True] 
24.
        [Bad : False] 
25.
    Source: 10.0.10.125 (10.0.10.125) 
26.
    Destination: 10.0.10.126 (10.0.10.126) 
27.
User Datagram Protocol, Src Port: sightline (1645), Dst Port: sightline (1645) 
28.
    Source port: sightline (1645) 
29.
    Destination port: sightline (1645) 
30.
    Length: 28 
31.
    Checksum: 0x8eb5 [validation disabled] 
32.
        [Good Checksum: False] 
33.
        [Bad Checksum: False] 
34.
Radius Protocol 
35.
    Code: Access-Reject (3) 
36.
    Packet identifier: 0xdd (221) 
37.
    Length: 20 
38.
    Authenticator: 4B860BCBD5C6FCD3EB463CD096DC21B4 
39.
    [This is a response to a request in frame 15] 
40.
    [Time from request: 0.006073000 seconds]
Danke und Gruß
Beowulf
Bitte warten ..
Mitglied: one
22.11.2010 um 15:56 Uhr
Ist das gelöst worden? Wenn ja, wie?
Bitte warten ..
Mitglied: beowulf1980
22.11.2010 um 17:04 Uhr
Also ich hab die kompletten Regeln im NPS nochmal gelöscht, den nochmal komplett deaktivert, die Rolle entfernt usw.

Dann Neustart alles wieder drauf gemacht und erstmal nur auf die Domänenbenutzer beschränkt.

Ich kann dir auch gerne nochmal die Options raussuchen die ich eingestellt hab.

Gruß
Beowulf
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Welcher RADIUS-Server (5)

Frage von Gurustrator zum Thema Netzwerke ...

Microsoft
LDAP-RADIUS Authentifizierung VPN bei abgelaufenen Kennwort. (8)

Frage von UnbekannterNR1 zum Thema Microsoft ...

LAN, WAN, Wireless
gelöst ProCurve ereicht Radius-Server nicht (10)

Frage von RalphT zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Windows 10
Windows 10 Ordnerfreigabe (19)

Frage von Xaero1982 zum Thema Windows 10 ...

Monitoring
Netzwerk-Monitoring Software (17)

Frage von Ghost108 zum Thema Monitoring ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...