使用Meraki Security Appliance客户端VPN进行Azure多因素身份验证

Question

我们有一台Meraki MX65w安全设备，我们正在尝试使用Azure Multifactor Authentication Server为客户端VPN配置双因素身份验证。 Azure MFA服务器安装在充当域控制器的Windows 2012 Server上。到目前为止，我们已经让Meraki Client VPN通过RADIUS与Azure MFA服务器通信，并使用Windows域使用Azure MFA进行身份验证，但是一旦用户验证VPN在客户端计算机上失败。如果失败，我们会在客户端计算机上收到事件查看器错误691。

有没有人能够让这个工作或有任何见解？

以下是Meraki和Azure MFA服务器的日志。

MFA服务器日志：

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d |＃authType = radius

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #applicationName =＆＃34; App Name＆＃34;

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #username =＆＃34;用户名＆＃34;

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #countryCode =＆＃39; 1＆＃39;

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #phoneNumber =＆＃34; phonenumber＆＃34;

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #phoneExtension =＆＃39;＆＃39;

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d |＃authRequestMode = sms

Apr 19 12:55:04＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #Requesting popConn的回复。

Apr 19 12:55:13＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #Got Response。

Apr 19 12:55:13＆＃34; servername＆＃34; pfsvc：0 | pfAuth | e4a442c5-3bce-4569-b815-f74998d9dc3d | #authenticated = true

Apr 19 12:55:13＆＃34; servername＆＃34; pfsvc：i | pfsvc | e4a442c5-3bce-4569-b815-f74998d9dc3d | #Parcuth成功获得用户＆＃34;用户名＆＃34;。通话状态：SUCCESS_SMS_AUTHENTICATED - ＆＃34;短信认证＆＃34;。

Apr 19 12:55:13＆＃34; servername＆＃34; pfsvc：Pfauth成功用户＆＃34;用户名＆＃34;。通话状态：SUCCESS_SMS_AUTHENTICATED - ＆＃34;短信认证＆＃34;。

Meraki日志：

Apr 19 12:59:22 1492621123.038484109事件站点到站点VPN：无效的DH组20。

Apr 19 12:59:22 1492621123.044228839事件站点到站点VPN：无效的DH组19。

Apr 19 12:59:22 1492621123.078883895事件站点到站点VPN：ISAKMP-SA建立XXX.XXX.XXX.XXX [4500] -XXX.XXX.XXX.XXX [4500] spi：3c0b8c455e8bce17：ab2e64f2e82cc0f6 < / p>

Apr 19 12:59:22 1492621123.096275876事件站点到站点VPN：不匹配

Apr 19 12:59:22 1492621123.106365076事件站点到站点VPN：已建立IPsec-SA：ESP / Transport XXX.XXX.XXX.XXX [4500] - ＆gt; XXX.XXX.XXX.XXX [4500] SPI = 24782156（0x17a254c）

Apr 19 12:59:22 1492621123.112679864事件站点到站点VPN：已建立IPsec-SA：ESP / Transport XXX.XXX.XXX.XXX [4500] - ＆gt; XXX.XXX.XXX.XXX [4500] SPI = 2850023456（0xa9dfe820）

Apr 19 12:59:25 1492621125.847448434 url​​s src = XXX.XXX.XXX.XXX：49478 dst = 134.170.165.75:443 mac = xx：xx：xx：xx：xx request：UNKNOWN https://pfd.phonefactor.net/。 ..

Apr 19 12:59:42 1492621143.417618358事件站点到站点VPN：找不到XXX.XXX.XXX.XXX的配置。

Apr 19 12:59:42 1492621143.424528373事件站点到站点VPN：未能开始谈判。