Michael
2008-06-25 09:38:00 UTC
Hi,
I have a Windows Server 2003 with IAS and RADIUS up and running. User
connect with 802.1X (PEAP + MS-CHAPv2) and are authenticated using the local
RADIUS server. Everything runs great so far.
Now other users, being on another external RADIUS should be able to connect
to the local network. So I added the proxy, wrote the rules and basically it
runs well:
With clients connecting with PAP it works:
Benutzer "***@EXTERNAL.de" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = LOCALIP
NAS-Kennung = <nicht vorhanden>
Clientanzeigename = CLIENTNAME
Client-IP-Adresse = LOCALIP
Kennung der Anruferstation = 0.0.0.0
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 0
Proxyrichtlinienname = NAME
Authentifizierungsanbieter = RADIUS-Proxy
Authentifizierungsserver = REMOTERADIUS-IP
Richtlinienname = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
But who wants the user to use PAP, they MUST use MSCHAPv2. Unfortunately it
doesn´t work:
Benutzer "***@EXTERNAL.de" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = LOCALIP
NAS-Kennung = <nicht vorhanden>
Kennung der Anrufstation = 000B8651E9D0
Kennung der Empfängerstation = 000000000000
Clientanzeigename = CLIENTNAME
Client-IP-Adresse = LOCALIP
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 0
Proxyrichtlinienname = NAME
Authentifizierungsanbieter = RADIUS-Proxy
Authentifizierungsserver = REMOTERADIUS-IP
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Code = 112
Ursache = Der Remote-RADIUS-Server hat die Authentifizierungsanforderung
nicht verarbeitet.
So where is the problem?
(assumptions:)
- PAP uses the unencrypted login data and sends it to (my) local
RADIUS-Server. The RADIUS takes take this request, takes the unencrypted pass
and proxies it to the external server
- MS-CHAPv2 uses encypted login data and sends them to the local
RADIUS-Server. That makes no problem as long it is a local user, but when it
wants to proxy it to the external RADIUS, it seems it doesn´t decrypt it and
afterwards uses it with the external one. Instead it uses that encrypted
strings and take that while sending.
So, how can I set my local Windows 2003 RADIUS server to send this properly
to the external server?
I have a Windows Server 2003 with IAS and RADIUS up and running. User
connect with 802.1X (PEAP + MS-CHAPv2) and are authenticated using the local
RADIUS server. Everything runs great so far.
Now other users, being on another external RADIUS should be able to connect
to the local network. So I added the proxy, wrote the rules and basically it
runs well:
With clients connecting with PAP it works:
Benutzer "***@EXTERNAL.de" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = LOCALIP
NAS-Kennung = <nicht vorhanden>
Clientanzeigename = CLIENTNAME
Client-IP-Adresse = LOCALIP
Kennung der Anruferstation = 0.0.0.0
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 0
Proxyrichtlinienname = NAME
Authentifizierungsanbieter = RADIUS-Proxy
Authentifizierungsserver = REMOTERADIUS-IP
Richtlinienname = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
But who wants the user to use PAP, they MUST use MSCHAPv2. Unfortunately it
doesn´t work:
Benutzer "***@EXTERNAL.de" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = LOCALIP
NAS-Kennung = <nicht vorhanden>
Kennung der Anrufstation = 000B8651E9D0
Kennung der Empfängerstation = 000000000000
Clientanzeigename = CLIENTNAME
Client-IP-Adresse = LOCALIP
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 0
Proxyrichtlinienname = NAME
Authentifizierungsanbieter = RADIUS-Proxy
Authentifizierungsserver = REMOTERADIUS-IP
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Code = 112
Ursache = Der Remote-RADIUS-Server hat die Authentifizierungsanforderung
nicht verarbeitet.
So where is the problem?
(assumptions:)
- PAP uses the unencrypted login data and sends it to (my) local
RADIUS-Server. The RADIUS takes take this request, takes the unencrypted pass
and proxies it to the external server
- MS-CHAPv2 uses encypted login data and sends them to the local
RADIUS-Server. That makes no problem as long it is a local user, but when it
wants to proxy it to the external RADIUS, it seems it doesn´t decrypt it and
afterwards uses it with the external one. Instead it uses that encrypted
strings and take that while sending.
So, how can I set my local Windows 2003 RADIUS server to send this properly
to the external server?