в system - dns добавьте ptr записи ForestDNSZones.[домен] - адрес AD DomainDNSZones.[домен] - адрес AD Configuration.[домен] - адрес AD

так он к нему по ip конектит

дело не в этом, для авторизации используются эти имена

не совсем понял, у меня вот.

Галочку если убрать, мне помогло

Но mschapv2 так и не заработал(

галочку наоборот уже поставил для тестов, без нее тоже не работало. сейчас еще уберу

в system - dns добавьте ptr записи ForestDNSZones.[домен] - адрес AD DomainDNSZones.[домен] - адрес AD Configuration.[домен] - адрес AD

Интересно, для mschap поможет?

в system - dns добавьте ptr записи ForestDNSZones.[домен] - адрес AD DomainDNSZones.[домен] - адрес AD Configuration.[домен] - адрес AD

не помогло

такое впечатление, что он не понимает, что эти пользователи входят в группу allowed

такое впечатление, что он не понимает, что эти пользователи входят в группу allowed

а в ААА сервере ты новую группу создал

или пихал в существующию AD?

попробуй как вариант создать новую группу

я почему то не встречал подобной проблемы, на всех устройствах группу создавали новую

в существующую. сейчас попробую новую

Интересно, для mschap поможет?

возможно, в целом вот есть статья: https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=016171&lang=EN

можно в целом указать домен и dns сервером адрес ad

такое впечатление, что он не понимает, что эти пользователи входят в группу allowed

а в настройках самого впн на компьютере включен pap?

да, как вариант

хотя говорит что локальные пользаки конектят

нет, включил. но теперь в логах вместо имени пользователя ad пишет

а когда pap был отключен говорил неправильный пароль, при этом логин определял правильно

pap должнен быть включен

не определяется принадлежность к группе судя по всему, в тесте группы точно проходит акк?

на компе он также вводится? без всяких доменов

на компе он также вводится? без всяких доменов

да

если теперь только эту группу указать в качестве allowed

или any поставить, будет вообще подключать?

а вот это тоже думал, но боюсь. Если отвалится пешком 10 км идти.

попробую ночью. если отвалится - через teamviewer буду восстанавливать

ssl vpn можно как резерв настроить

можно и с ним кста проверить авторизацию группы

наверно так и попробую, но попозже.

так админку наружу вынеси

локал пользователя админ оставь

сейчас вспомнил, почему SSL не поднял. У нас 80 и 443 порты внутрь на балансировщик пробрасываются. А админку и SSL на нестандартных портах не поднять?

ладно teamviewer наше все :)

Кстати добавил пользователя ad-user в разрешенные, авторизация заработала, но теперь пускает всех из домена не зависимо от групп

получается ext-group-user не отрабатывает как надо (или вложенность групп ему не нравится), хотя внутри его все тесты работают, в общем надо его ставить в allowed и пробовать

сейчас вспомнил, почему SSL не поднял. У нас 80 и 443 порты внутрь на балансировщик пробрасываются. А админку и SSL на нестандартных портах не поднять?

Поднять, без проблем)

ладно это следующий этап. пока буду AD мучить.

Match default rule, DROP [count=2] - count=2 - что значит?

были открыты порты, правила деактивировал и тут начало сыпать в лог

В файерволе правило по умолчанию, самое последнее. Запрещает все, что не разрешено

Count -количество одинаковых обращений

можно и с ним кста проверить авторизацию группы

Протестил. Получается следующее. ext-group-user не отрабатывает. (Disallowed user) А внутри тесты OK Ставил его и отдельно на allowed - не помогает. Если в allowed поставить ad-users то авторизовывает и показывает правильно. Но пускает всех из домена.

Что то накручено, а что не понятно

Это адешка бесится наверное так как уровень домена левел 2))

В файерволе правило по умолчанию, самое последнее. Запрещает все, что не разрешено

спасибо

Это адешка бесится наверное так как уровень домена левел 2))

такое нашел в сетях. неужели правда

за 10 лет проблему оставили by design - не верю

такое нашел в сетях. неужели правда

работает все

вы создали новую группу в ААА?

у нас все работает и не на одном устройстве

вы создали новую группу в ААА?

да создал на ней тоже самое, потом вернул как было

что за оборудование?

что за прошивка?

zywall 310 V4.35(AAAB.3)

zywall 310 V4.35(AAAB.3)

все работать должно

у нас на 310 все отлично работает

zywall 310 V4.35(AAAB.3)

когда в ААА указали, в юзерах в группе подправили объект АААА в ext-group-user???

тогда еще раз, попробуйте создать группу в USers и утащите туда группу с адешки

ну да :(

тоесть у вас получится группа в группе

группа с АД будет в локальной группе в самой зувал

если нет, то косяк где то там)

тоесть у вас получится группа в группе

да. но даже когда ставлю даже напрямую без вложенности группы, без изменений

если здесь передвинуть group ad на первое место локальная авторизация не отвалится?

у нас на 310 все отлично работает

https://support.zyxel.eu/hc/en-us/articles/360011220780-L2TP-Active-Directory-authentication-not-working-after-firmware-update-4-35-patch-2

может это? Получается только ждать апгрейда....

если здесь передвинуть group ad на первое место локальная авторизация не отвалится?

нет

https://support.zyxel.eu/hc/en-us/articles/360011220780-L2TP-Active-Directory-authentication-not-working-after-firmware-update-4-35-patch-2

так у тебя радиуса вроде нет?

Нет. Но там же про AD речь.

Роль NPS поднять в домене

Господа, вопрос безопасности, если я запрещу по Гео айпи российским адресам доступ к самому Зувалу, но не буду запрещать к тому что за Зувалом, я вообще в рунете смогу работать???

Зулусов не сложно резать, но тут свои долбят ((

Должно

Только с ipsec аккуратнее

а с ним что не так?