Lancom Radius Server hat mit Netgear-WLAN-AP Probleme

Mitglied: josefse

josefse (Level 1)

19.07.2015 um 10:36 Uhr, 1337 Aufrufe, 1 Kommentar

Wir haben hier folgende Problemstellung:
Neuer Lancom-Router 1781A mit 2 VLAN´s: Intranet und Gastnetz
Vorhandener Netgear WLAN-AP (WNDAP360) mit beiden VLAN´s.

Bisher war die WLAN-Anmeldung über WPA2-PSK realisiert, funktionierte für beide Netze wunderbar.
Nun soll auf WPA2-Enterprise umgestellt werden und hierfür der integrierte Radius-Server des Lancom-Routers benutzt werden.
Der Radius-Server funktioniert, wurde bereits mit einem Testprogramm geprüft, sendet korrekt accept bzw. reject.
(sent RADIUS accept for user id 'xxx' to 10.2.1.129)
In den zulässigen Clients des Radius wurde der WLAN-AP eingetragen und ein Kennwort vergeben.
Im Netgear ist der Lancom als Radius konfiguriert und auch das Kennwort hinterlegt.

Möchte man nun einen WLAN-Client anmelden, wird man auf dem Client nach Benutzername/Passwort gefragt, als Antwort nach erfolgter Eingabe kommt immer zurück, daß die Kombi aus Benutzername/Paßwort nicht paßt. Zugriff verweigert.
Im syslog-Protokoll des Lancom kommt folgende Meldung:

sent RADIUS challenge for user id 'xxx' to 10.2.1.54

Beim Client kommt jedoch keine Meldung vom Radius an.

Ich vermute stark, daß der Netgear AP nicht so recht mit dem Lancom zurechtkommt?
Jedoch den Netgear nur aus Verdacht zu tauschen und danach evtl. dieselbe Problematik wieder zu haben, ist wohl auch keine Lösung.

Kann das jemand bestätigen, daß Lancom und Netgear Probleme haben, oder gibt es da noch Einstellungen, welche zu beachten sind und zum Erfolg führen könnten?
1 Kommentar
Mitglied: aqui
19.07.2015 um 10:55 Uhr
Beim Client kommt jedoch keine Meldung vom Radius an.
Das ist gut möglich, da du ja mit 2 IP Netzen irgendwo ein Routing machen musst ! Folglich ist es essentiell wichtig das die gegenseitige Erreichbarkeit gewährleistet ist.
Der NG AP muss also die IP Adresse des Radius mit seiner Management IP pingen können und auch andersrum muss das funktionieren.
Zusätzlich wirst du ja sicher eine Firewall oder wenigstens IP Accesslisten zwischen Gast- und Mitarbeiter WLAN konfiguriert haben.
Hier musst du auch sicherstellen das die Radius Pakete diese passieren können, sonst schlägt logischerweise die Authentisierung fehl.
Ich vermute stark, daß der Netgear AP nicht so recht mit dem Lancom zurechtkommt?
Das ist Blödsinn, sorry aber das Radius Protokoll ist weltweit genormt und das kann nicht das Problem sein. Anhand das der Radius die Challenge ausführt kannst du ja auch sehen das dem nicht so ist.
Wichtig ist allerdings WAS der Radius final an den AP zurückschickt ??? Dort muss wenigstens ein Accept auch rausgehen (oder ein Deny).
Lies dir die hiesigen Tutorials durch zu dem Thema die beantworten alle Fragen zum Radius:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...
und
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
und auch:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...

Auch ein Wireshark Sniffer Trace über die Radius Authentisierung würde hier sehr weiterhelfen !