
Hi Phil,<div><br></div><div>Thanks a lot for the quick response.</div><div><br></div><div>The reason I was attempting this is because I have to provide a service for roaming users and I was having issues with obtaining a certificate for the NPS server.</div>

<div><br></div><div>Does this mean that I could use a self signed certificate for the NPS that is recognized by the freeradius and have a commercial certificate on the freeradius that is then recognized by the clients?</div>

<div>So it's kept EAP-MSCHAPv2 all the way.</div><div><br></div><div>Is this correct?</div><div><br></div><div>Sorry for the lame questions but I am reasonably new to freeradius have only been using it to blindly proxy requests to the NPS.<br>

<br><div class="gmail_quote">On 25 January 2013 13:45, Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On 01/25/2013 01:19 PM, Bertalan Voros wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hello All,<br>

<br>

Could someone tell me if it is possible to terminate PEAP on a<br>

freeradius server then proxy the request to an NPS server using MSCHAPv2?<br>

</blockquote>

<br></div>

Yes. Simply set "Proxy-To-Realm" in inner-tunnel/authorize, and FreeRADIUS will proxy the packets.<br>

<br>

server inner-tunnel {<br>

  authorize {<br>

    ...<br>

    update control {<br>

      Proxy-To-Realm := NPS<br>

    }<br>

    ...<br>

  }<br>

<br>

However, personally I would strongly recommend you proxy the inner as EAP-MSCHAPv2, rather than using the magic "turn into plain mschapv2" code i.e. you *should* set in "eap.conf":<br>

<br>

eap {<br>

  ...<br>

  peap {<br>

    ...<br>

    proxy_tunneled_request_as_eap = yes<br>

    ...<br>

  }<br>

}<br>

<br>

If you set this option to "no" the proxied packet will be changed into plain MSCHAP, but that code path is complex and has had problems in the past. NPS can handle EAP-MSCHAPv2 just fine, so you shouldn't need to do this.<br>


-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/<u></u>list/users.html</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>Bertalan Voros<div>m: 07932858025</div>

</div>