RADIUS-Timeout für IKEv1/Aggressive Mode + XAuth

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
jwerner
Beiträge: 2
Registriert: 14 Aug 2017, 20:21

RADIUS-Timeout für IKEv1/Aggressive Mode + XAuth

Beitrag von jwerner »

Hallo,

wir verwenden für User-to-Site-VPN derzeit IKEv1 im Aggressive Mode mit XAuth, wobei die Authentifizierung gegen einen RADIUS-Server (WebADM OpenOTP) erfolgt. Als Token dienen YubiKeys (HOTP) oder alternativ Mobiltelefone (TOTP) mit einer Token-App (Google Authenticator, Microsoft Authenticator o.ä.).

Um das Login komfortabler zu gestalten, würden wir gerne auf ein Verfahren umstellen, bei dem der OTP-Server per Push-Nachricht eine Anforderung an das Mobiltelefon des Users schickt, wo dieser dann das Login autorisiert. Das wird z.B. von Duo Security oder auch von OpenOTP ("One-Tap Push Login") unterstützt.

Damit das funktionieren kann, muss der LANCOM aber etwas länger als üblich auf die erfolgreiche Authentifizierung warten, damit der User Zeit hat, die Anmeldung an seinem Gerät zu bestätigen. Ein Timeout von 60 Sekunden wäre ca. nötig. Hier der Passus aus der Doku von Duo:
If your clients allow you to configure the RADIUS timeout and/or retry count, set them to values such that the clients will not give up for at least 60 seconds. This is necessary if your users choose to use Duo's out-of-band factors (phone callback, push) to log in, as the authentication proxy will not be able to respond to a RADIUS authentication request until the user responds to the authentication challenge. If your clients do not allow you to configure the RADIUS timeout and/or retry behavior, then your users may be unable to use Duo's out-of-band factors to login.
(https://duo.com/docs/radius)

Im LANCONFIG-GUI (Kommunikation > RADIUS) scheint es keine Möglichkeit zu geben, einen Timeout zu konfigurieren. Weiß jemand, ob das möglich ist?

Danke & Gruß
Jan
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS-Timeout für IKEv1/Aggressive Mode + XAuth

Beitrag von alf29 »

Moin,

Setup/RADIUS/Auth.-Retry auf der CLI legt fest, wie oft der RADIUS-Client eine Anfrage an den Server wiederholt, bis er aufgibt.

Setup/RADIUS/Auth.-Timeout auf der CLI legt fest, wie lange er zwischen diesen Wiederholungen wartet. Achtung! diese Einstellung ist global und wirkt sich auf alle Module im LCOS aus, die RADIUS-Anfragen verschicken.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
jwerner
Beiträge: 2
Registriert: 14 Aug 2017, 20:21

Re: RADIUS-Timeout für IKEv1/Aggressive Mode + XAuth

Beitrag von jwerner »

Hallo Alfred,

vielen Dank für die rasche Antwort, dann sollte dem ja nichts mehr im Weg stehen :)

Gruß
Jan
Antworten