IKEv2 an externen Radius Server

[TimRear]

Hallo zusammen,

erst einmal danke für Eure Hilfe hier im Forum. Ich bin schon einige Zeit lesend unterwegs und konnte viele nützliche Tipps finden!
Nun habe ich jedoch ein Problem, wo ich mir ein wenig die Zähne ausbeiße...

Wir haben "NCP Secure Clients" im Einsatz, welche bisher per PSK die Verbindung zum Lancom ISG-5000 erfolgreich aufgebaut haben.
Nun möchten wir die Authentifizierung jedoch über einen NPS Server auf einem Windows Server 2019 realisieren.

Vorgegangen bin ich nach folgender Anleitung:
https://knowledgebase.lancom-systems.de ... COM+Router

Die Verbindung kann am Client aber leider nicht aufgebaut werden. Folgende Meldung aus dem Logbuch:
16.05.2024 16:58:04 - Auth: ConRef=87,Remote is authenticating with=14,SIGNATURE (RFC7427)
16.05.2024 16:58:04 - IkeV2: ConRef=87,Auth - Receiving EAP payload
16.05.2024 16:58:04 - Ike: ConRef=87, RECV_MSG2_AUTH, name=10292-eap, vpngw=217.xxx.xxx.xxx:4500
16.05.2024 16:58:04 - Ikev2: ConRef=87,Received notify messages -
16.05.2024 16:58:04 - Ikev2: Notifymsg=<IKEV2_NOTIFY_AUTHENTICATION_FAILED>
16.05.2024 16:58:04 - Ikev2: ConRef=87,Received notify ERROR message -
16.05.2024 16:58:04 - Ikev2: Notifymsg=<IKEV2_NOTIFY_AUTHENTICATION_FAILED>
16.05.2024 16:58:04 - ERROR - 2110: XAUTH wrong UserId or Password
16.05.2024 16:58:04 - IPSec: Disconnected from 10292-eap on channel 1.


Sicherlich hat von Euch jemand bereits Erfahrung hiermit und kann mir sagen, was ich ggf. falsch gemacht haben könnte oder ob die Anleitung vielleicht verwaltet ist?

Herzlichen Dank!

[Frühstücksdirektor]

Hallo TimRear,

ja, das habe ich schon mal gemacht. Leider ist das Debugging auf dem Windows-Server nicht so umfangreich und komfortable wie auf dem LANCOM Router. Daher würde ich mal auf dem LANCOM starten, obwohl ich vermute, dass der Windows Server das Reject schickt.

Auf dem LANCOM den RADIUS-Trace starten (tr # radius) und ggf. tr # vpn-status.
Dann schauen wir mal weiter.

Viele Grüße,
Frühstücksdirektor

[TimRear]

Guten Morgen Frühstücksdirektor,

ich habe mich gerade noch einmal frisch ausgeruht an die Thematik begeben und die Anleitung von A-Z erneut durchgegangen.

Ein Problem scheine ich gefunden zu haben - Scheinbar muss im DEFAULT Authentifizierungsprofil "DH2" aktiviert sein - das war nicht drin.
Dennoch wird die Verbindung nicht korrekt aufgebaut. Am Windows Server finde ich leider, wie Du schon sagtest, nicht viel hilfreiches Log-Material. Zur Not muss ich mal schauen ob ich mit Wireshark was raus bekomme...

Anbei die Traces - vielleicht und hoffentlich sagen sie Dir mehr als mir:
(IP-Adressen und persönliche Daten habe ich händisch anonymisiert)

Code: Alles auswählen

[VPN-Status] 2024/05/17 10:43:03,085
Peer DEFAULT: Received an IKE_SA_INIT-REQUEST of 932 bytes
Gateways: 217.x.y.z:500<--134.x.y.z:5158
SPIs: 0x462CAEFAE529A74F0000000000000000, Message-ID 0
Peer identified: DEFAULT
IKE_SA ('', '' IPSEC_IKE SPIs 0x462CAEFAE529A74F9FEDE01EBF43873C) entered to SADB
Received 5 notifications:
  +NAT_DETECTION_DESTINATION_IP(0x491509086E3A983C64C4F65A45397A309349B92C) (STATUS)
  +NAT_DETECTION_SOURCE_IP(0x77AD97512450F62B8A2D492DAC4BC14933FDB354) (STATUS)
  +IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
  +REDIRECT_SUPPORTED (STATUS)
  +SIGNATURE_HASH_ALGORITHMS(0x0001000200030004) (STATUS)
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE-SA:
  IKE-Proposal-1  (3 transforms)
    ENCR : AES-GCM-16-256
    PRF  : PRF-HMAC-SHA-256
    DH   : 2
  IKE-Proposal-2  (3 transforms)
    ENCR : AES-GCM-16-256
    PRF  : PRF-HMAC-SHA-384
    DH   : 2
  IKE-Proposal-3  (4 transforms)
    ENCR : AES-128-CTR
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-4  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-5  (4 transforms)
    ENCR : AES-CBC-256
    PRF  : PRF-HMAC-SHA1
    INTEG: HMAC-SHA1
    DH   : 2
  IKE-Proposal-6  (4 transforms)
    ENCR : AES-128-CTR
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-7  (4 transforms)
    ENCR : AES-CBC-192
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-8  (4 transforms)
    ENCR : AES-CBC-192
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-9  (4 transforms)
    ENCR : AES-CBC-192
    PRF  : PRF-HMAC-SHA1
    INTEG: HMAC-SHA1
    DH   : 2
  IKE-Proposal-10  (3 transforms)
    ENCR : AES-GCM-16-128
    PRF  : PRF-HMAC-SHA-256
    DH   : 2
  IKE-Proposal-11  (4 transforms)
    ENCR : AES-128-CTR
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-12  (4 transforms)
    ENCR : AES-CBC-128
    PRF  : PRF-HMAC-SHA-256
    INTEG: HMAC-SHA-256
    DH   : 2
  IKE-Proposal-13  (4 transforms)
    ENCR : AES-CBC-128
    PRF  : PRF-HMAC-SHA1
    INTEG: HMAC-SHA1
    DH   : 2
+Received KE-DH-Group 2 (1024 bits)

[VPN-Status] 2024/05/17 10:43:03,087
Peer DEFAULT: Constructing an IKE_SA_INIT-RESPONSE for send
+IKE-SA:
  IKE-Proposal-1  (3 transforms)
    ENCR : AES-GCM-16-256
    PRF  : PRF-HMAC-SHA-256
    DH   : 2
+KE-DH-Group 2 (1024 bits)
Switching to port pair 4500 ( NAT-T keep-alive is off)
IKE_SA_INIT [responder] for peer DEFAULT initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: 0x462CAEFAE529A74F, responder cookie: 0x9FEDE01EBF43873C
NAT-T enabled. We are not behind a nat, the remote side is  behind a nat
SA ISAKMP for peer DEFAULT
 Authenticated-Encryption      : AES-GCM-16-256
 IKE-DH-Group                  : 2
 PRF                           : PRF-HMAC-SHA-256
life time soft 05/18/2024 08:19:03 (in 77760 sec) / 0 kb
life time hard 05/18/2024 10:43:03 (in 86400 sec) / 0 kb
DPD: NONE
Negotiated: IKE_FRAGMENTATION IKEV2_FRAGMENTATION

Sending an IKE_SA_INIT-RESPONSE of 373 bytes (responder)
Gateways: 217.x.y.z:4500-->134.x.y.z:4500, tag 0 (UDP)
SPIs: 0x462CAEFAE529A74F9FEDE01EBF43873C, Message-ID 0

[VPN-Status] 2024/05/17 10:43:03,143
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 624 bytes (encrypted)
Gateways: 217.x.y.z:4500<--134.x.y.z:4500
SPIs: 0x462CAEFAE529A74F9FEDE01EBF43873C, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Updating remote port to 5150
Received 3 notifications:
  +INITIAL_CONTACT (STATUS)
  +HTTP_CERT_LOOKUP_SUPPORTED (STATUS)
  +MOBIKE_SUPPORTED (STATUS)
-Proposal in IKE_SA_INIT exchange (peer DEFAULT) is not supported by peer IPSEC-VORLAGE (after identification)
+Road-warrior identified and accepted (Peer testusr@kundeDC7B1 using <Unknown 0>)
+EAP-Authentication detected

[VPN-Status] 2024/05/17 10:43:03,172
Peer testusr@kundeDC7B1: Constructing an IKE_AUTH-RESPONSE for send
+Local-ID  217.x.y.z:IPV4_ADDR
+I use AUTH(DIGITAL SIGNATURE:sha1WithRSAEncryption)
+Signature of length 256 bytes (2048 bits) computed
Sending an IKE_AUTH-RESPONSE of 1199 bytes (responder encrypted)
Gateways: 217.x.y.z:4500-->134.x.y.z:5150, tag 0 (UDP)
SPIs: 0x462CAEFAE529A74F9FEDE01EBF43873C, Message-ID 1

[VPN-Status] 2024/05/17 10:43:03,246
IKE: Adding RADIUS authorization request for: testusr@kundeDC7B1
  Remote ID                     : testusr@kundedom.local
  Local gateway                 : 217.x.y.z
  Remote gateway                : 134.x.y.z
  Initiator ID                  : testusr@kundedom.local
  EAP ID                        : testusr@kundedom.local
  Identifier                    : 0xCF
  RADIUS State                  : 0x<invalid constData pointer>
  EAP-Failure                   : false
  EAP-Success                   : false
  EAP-Message                   : 25 bytes
  Error                         : No such name

[VPN-Status] 2024/05/17 10:43:03,246
Peer testusr@kundeDC7B1 [responder]: Received an IKE_AUTH-REQUEST of 88 bytes (encrypted)
Gateways: 217.x.y.z:4500<--134.x.y.z:5150
SPIs: 0x462CAEFAE529A74F9FEDE01EBF43873C, Message-ID 2
Updating remote port to 5150
+Forwarding EAP-RESPONSE(207/IDENTITY) to RADIUS server

[VPN-Status] 2024/05/17 10:43:03,246
-Received RADIUS-FAIL for peer testusr@kundeDC7B1

[VPN-Status] 2024/05/17 10:43:03,247
Peer testusr@kundeDC7B1: Constructing an IKE_AUTH-RESPONSE for send
Sending EAP-RESPONSE(207/IDENTITY)
NOTIFY(AUTHENTICATION_FAILED)
Sending an IKE_AUTH-RESPONSE of 94 bytes (responder encrypted)
Gateways: 217.x.y.z:4500-->134.x.y.z:5150, tag 0 (UDP)
SPIs: 0x462CAEFAE529A74F9FEDE01EBF43873C, Message-ID 2

[VPN-Status] 2024/05/17 10:43:03,614
Peer testusr@kundeDC7B1 [responder]: Received an INFORMATIONAL-REQUEST of 72 bytes (encrypted)
Gateways: 217.x.y.z:4500<--134.x.y.z:5150
SPIs: 0x462CAEFAE529A74F9FEDE01EBF43873C, Message-ID 3
Could not create an INFORMATIONAL exchange for peer  (could not set com channel handle for peer testusr@kundeDC7B1)

Fühlt sich so an, als ob der Austausch zwischen Router / NPS nicht sauber klappt. Könnte ich mit den Zertifikaten etwas falsch gemacht haben? Das am Router erstellte Zertifikat habe ich ma Windows Server importiert und die NPS Dienste neu gestartet..

Herzlichen Danke für Deine Hilfe!

[Frühstücksdirektor]

Hallo TimRear,

1. Das mit dem DH2 solltest du dringend fixen. DH-Gruppe 2 ist unsicher und veraltet. Du muss im VPN-Client in der Konfig mindestens auf DH-15 gehen und das auch im LANCOM eintragen.

2. Die Meldung "-Proposal in IKE_SA_INIT exchange (peer DEFAULT) is not supported by peer IPSEC-VORLAGE (after identification)" habe ich bisher noch nicht gesehen, spricht aber für ein Problem in der Konfig, hat aber vmtl. mit eigentlichen Problem nichts zu tun. Solltest du bereinigen. Was ist denn die Gegenstelle IPSEC-VORLAGE und was hat die hiermit zu tun????

3. So wie es aussieht, lehnt der Windows-Server die Authentifizierung ab mit "No such name", sieht man auch am "-Received RADIUS-FAIL for peer testusr@kundeDC7B1". Das Problem würde ich also nicht im LANCOM direkt suchen. Da stimmt was nicht mit der EAP-Identität (im Client konfiguriert) und dem User im AD (passt nicht zusammen). Ist der User denn in der Gruppe der erlaubten User, der sich auf dem Windows-Server einwählen dürfen? Ich habe leider die Windows-Fehlermeldung für den Fall nicht mehr präsent.

Btw: Der Trace ist aber nicht komplett. Es fehlt der RADIUS-Teil....

Viele Grüße,
Frühstücksdirektor

[TimRear]

Hallo Frühstücksdirektor,

1. DH2 hatte ich testweise mit aufgenommen um einen potentiellen Fehler zu vermeiden. Ist nun am Client auf DH14 umgestellt und am Router deaktiviert (DH14 ist drin). Fehler ist im Trace keiner diesbezüglich zu sehen.

2. Das Profil IPSEC-VORLAGE stamm noch von vorherigen Einwahlen. Es wird nicht mehr benötigt und wurde gerade gelöscht.

3. Du hast mit Deiner Vermutung richtig gelegen. Ich habe die Logiles und die Ereignisanzeige studiert und bin fündig geworden. Der Benutzer wurde immer korrekt übermittelt, aber wegen falschem Kennwort abgelehnt. Das Kennwort war jedoch korrekt im Client eingetragen. Ich habe in der Netzwerkrichtlinie des NPS den "Typ des Netzwerkzugriffsservers" auf "Nicht angegeben" gestellt. Dann klappt die Einwahl

Tausend Dank für Deine Mühe, Frühstücksdirektor!

[TimRear]

Ich habe doch noch ein kurze Frage hierzu...

Sowohl die Einwahl mittels "externem Radius Server (Server 2019)" als auch "Lancom Router internem Radius Server mit OTP" klappen.
Finde ich beides schonmal ziemlich geil!

Kann man das irgendwie koppeln, also Einwahl über externen Radius Server / AD-Anbindung und zusätzlich ein OTP drauf schalten?

Ich sehe hier das Problem, dass im Default Profil ja der externe Radius Server gesetzt wird, das OTP aber von dem lokalen Radius Server bereitgestellt werden muss. Muss der externe Radius Server nach/während Authentifizierung irgendwie an den Lancom internen Radius Server weiterleiten?

[Frühstücksdirektor]

Das wäre interessant.
Im Prinzip müsste der LANCOM als RADIUS-Proxy agieren und nur die OTP-Attribute einfügen, während der NPS die normalen EAP-Attribute einfügt.

Im bin mir aber nicht sicher, ob das überhaupt gehen kann, da es ja ein Ende-zu-Ende EAP-Tunnel zwischen Client und NPS gibt.

Ich habe auch nichts gefunden, wo so etwas im Plain-RADIUS-Fall geht...
Da bin ich echt überfragt.

[TimRear]

Hallo Frühstücksdirektor,

wäre auf jeden Fall ne richtig schöne Lösung - mir fehlt aber gerade leider die Zeit, mich hiermit weiter auseinander zu setzen.

Falls sich bei mir etwas neues ergeben sollte, werde ich es Euch hier aber wissen lassen. Anders herum, falls jemand von Euch weitere Ideen hierzu hat, gerne her damit

Vielen Dank und Euch allen eine gute Zeit!