L
L
Logout_902016-03-24 09:36:09
linux
Logout_90, 2016-03-24 09:36:09

How to configure StrongSwan + Windows RADIUS (NAP) + EAP?

Good day! There is such a problem: the user has a certificate that is issued by Windows CA, is configured by strongswan to organize an IKEv2 VPN, which passes data for authorization to RADIUS (NAP).
However, the connection does not occur.
Here is what is in the strongswan logs:

Mar 24 09:21:56 vpn charon: 03[CFG] RADIUS server '192.168.10.5' is candidate: 210
Mar 24 09:21:56 vpn charon: 03[CFG] sending RADIUS Access-Request to server '192.168.10.5'
Mar 24 09:21:56 vpn charon: 03[CFG] => 134 bytes @ 0x7f2711cfaba0
Mar 24 09:21:56 vpn charon: 03[CFG]    0: 01 45 00 86 1E 0B A9 37 8E 63 61 78 6A BB 74 4B  .E.....7.caxj.tK
Mar 24 09:21:56 vpn charon: 03[CFG]   16: 61 CB 5D 94 01 06 C0 A8 0A 02 3D 06 00 00 00 05  a.].......=.....
Mar 24 09:21:56 vpn charon: 03[CFG]   32: 06 06 00 00 00 02 05 06 00 00 00 01 57 05 61 6C  ............W.al
Mar 24 09:21:56 vpn charon: 03[CFG]   48: 6C 04 06 C0 A8 0A 04 1E 14 31 39 32 2E 31 36 38  l........192.168
Mar 24 09:21:56 vpn charon: 03[CFG]   64: 2E 31 30 2E 34 5B 34 35 30 30 5D 1F 14 31 39 32  .10.4[4500]..192
Mar 24 09:21:56 vpn charon: 03[CFG]   80: 2E 31 36 38 2E 31 30 2E 32 5B 34 35 30 30 5D 4F  .168.10.2[4500]O
Mar 24 09:21:56 vpn charon: 03[CFG]   96: 0B 02 00 00 09 01 C0 A8 0A 02 20 0A 63 65 6E 74  .......... .cent
Mar 24 09:21:56 vpn charon: 03[CFG]  112: 2D 76 70 6E 50 12 5A B4 14 AA 18 A6 5C 60 AE 43  -vpnP.Z.....\`.C
Mar 24 09:21:56 vpn charon: 03[CFG]  128: 01 A9 03 95 5F E0                                ...._.
Mar 24 09:21:56 vpn charon: 03[CFG] received RADIUS Access-Reject from server '192.168.10.5'
Mar 24 09:21:56 vpn charon: 03[CFG] => 44 bytes @ 0x7f2711cfac30
Mar 24 09:21:56 vpn charon: 03[CFG]    0: 03 45 00 2C B8 C7 B6 56 4C 30 D1 70 23 9F 47 31  .E.,...VL0.p#.G1
Mar 24 09:21:56 vpn charon: 03[CFG]   16: A5 3B FE B0 4F 06 04 00 00 04 50 12 29 33 07 A1  .;..O.....P.)3..
Mar 24 09:21:56 vpn charon: 03[CFG]   32: BB 92 5E 4C 1F F5 01 D9 B4 4A B3 D4              ..^L.....J..
Mar 24 09:21:56 vpn charon: 03[IKE] RADIUS authentication of '192.168.10.2' failed
Mar 24 09:21:56 vpn charon: 03[IKE] initiating EAP_RADIUS method failed

And here is what is in the security logs on RADIUS:
Сервер сетевых политик отказал пользователю в доступе.

За дополнительными сведениями обратитесь к администратору сервера сетевых политик.

Пользователь:
  ИД безопасности:			NULL SID
  Имя учетной записи:			??

  Домен учетной записи:			DOMAIN
  Полное имя учетной записи:	DOMAIN\??


Компьютер клиента:
  ИД безопасности:			NULL SID
  Имя учетной записи:			-
  Полное имя учетной записи:	-
  Версия ОС:			-
  Идентификатор вызываемой станции:		192.168.10.4[4500]
  Идентификатор вызывающей станции:		192.168.10.2[4500]

NAS:
  Адрес IPv4 NAS:		192.168.10.4
  Адрес IPv6 NAS:		-
  Идентификатор NAS:			cent-vpn
  Тип порта NAS:			Виртуальная
  Порт NAS:			1

RADIUS-клиент:
  Понятное имя клиента:		cent-vpn
  IP-адрес клиента:			192.168.10.4

Сведения о проверке подлинности:
  Имя политики запроса на подключение:	Использовать проверку подлинности Windows для всех пользователей
  Имя сетевой политики:		-
  Поставщик проверки подлинности:		Windows
  Сервер проверки подлинности:		win-test.domain.ru
  Тип проверки подлинности:		EAP
  Тип EAP:			-
  Идентификатор сеанса учетной записи:		-
  Результаты входа в систему:			Сведения об учетных данных были записаны в локальный файл журнала.
  Код причины:			8
  Причина:				Указанная учетная запись пользователя не существует.

Tell me, what's the problem? How to give the correct user to the screw RADIUS? I remind you that authorization is through a certificate.

Answer the question

In order to leave comments, you need to log in

Didn't find what you were looking for?

Ask your question

Ask a Question

731 491 924 answers to any question