samet22
Goto Top

CISCO Mobility Express - RADIUS OTHER - Nicht Authentifiziert

Hallo liebe Community,

Ich bin leicht enttäuscht ... Ich habe unsere alten Aps gegen neue Cisco AP 1832i ausgetauscht und Mobility-Express aktiviert. Alles schön und gut ABER -> Ich habe Mac-Authentifizierung über Windows-NPS zusätzlich für das Interne WLAN aktiviert und soweit "funktioniert" es jedoch die Authentifizierung auf den Windows-NPS läuft OHNE einer "Authentifizierungsverschlüsselung" durch!

Als Radius Typ musste ich beim Mobility-Express OTHER (KEIN FREE RADIUS, KEIN CISCO ACS) nehmen damit dies über NPS klappt. Das GROßE PROBLEM: Die Anfrage an den NPS wird als "Nicht Authentifiziert" weitergeleitet! Nicht einmal PAP oder SPAP ist hier möglich (PAP wird nur genommen wenn ich FREE RADIUS auswähle, aber dann klappt die Anforderung über NPS nicht)! Übersehe ich hier eine Einstellung oder ist das von Cisco ernstgemeint, dass bei OTHER nicht einmal PAP aktiviert werden kann??? Dies haben meine 7-8 Jahre alten Accesspoints ohne Probleme können ...

Bitte um kurze Feedbacks ob ich damit leben muss wenn ich die Sache über Windows-NPS abwickeln will?

Danke!

lg Samet

Content-ID: 1392344112

Url: https://administrator.de/forum/cisco-mobility-express-radius-other-nicht-authentifiziert-1392344112.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
aqui 15.10.2021 aktualisiert um 12:48:29 Uhr
Goto Top
Ich habe unsere alten Switche gegen neue Cisco AP 1832i ausgetauscht
LAN Switches gegen APs tauschen ?? Äpfel mit Birnen ?? Du sprichst in Rätseln...
Normal macht Cisco PEAP wie alle anderen Hersteller auch. Ggf. hast du dort etwas falsch konfiguriert im Setup. Zudem ist der Radius Request selber durch ein Passwort gesichert.
Die klassischen_Cisco_APs (und alle anderen Hersteller auch) machen das wenigstens fehlerfrei. Egal ob man MBP (Mac Bypass) oder 802.1x User Credentials verwendet mit dem Radius.

Was sagt denn ein Wireshark Trace zwischen AP und Radius bei der Client Anmeldung ?? Den solltest du einmal posten um das o.a. Verhalten einmal sehen und nachvollziehen zu können
samet22
samet22 15.10.2021 aktualisiert um 12:56:19 Uhr
Goto Top
Hallo Aqui,

ja da hast du recht ich habe mich verschrieben :D Wir haben unsere alten APs ausgetauscht ...

also so sieht die Informationsübergabe im Eventlog aus:

CISCO:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.

Benutzer:
Sicherheits-ID: XXXXXXXX\a8817eXXXXX
Kontoname: a8817e48XXXX
Kontodomäne: XXXX
Vollqualifizierter Kontoname: XXX\a8817e48XXXX

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 84-f1-47-9XXXX:XX-INTERN
ID der Anrufstation: a8-81-7e-48XXXX

NAS:
NAS-IPv4-Adresse: 192.168.0.180
NAS-IPv6-Adresse: -
NAS-ID: SLCISAP01
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: 1

RADIUS-Client:
Clientanzeigename: SLCISAPME
Client-IP-Adresse: 192.168.0.180

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXX
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 36313639353966652F61383A38313A37653A34383A65323A32632F313335
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Die alten APs:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.

Benutzer:
Sicherheits-ID: XXXXX\a8817e4XXXX
Kontoname: a8817e4XXXX
Kontodomäne: XXXXX
Vollqualifizierter Kontoname: XXXX\a8817e48XXX

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 02-20-A6-FXXXX
ID der Anrufstation: A8-81-7E-4XXX;SL-INTERN

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: -

RADIUS-Client:
Clientanzeigename: SLAP12
Client-IP-Adresse: 192.168.0.192

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXXX
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.


Damit die Authentifizierung mit CISCO über NPS klappt habe ich Beim NPS folgendes aktivieren müssen:
"Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen". -> Warum ich es aktivieren musste ist leider im Eventlog ersichtlich : Authentifizierungstyp: Nicht authentifiziert ...
catachan
catachan 15.10.2021 um 17:52:21 Uhr
Goto Top
Hi

ich würde WLAN nicht über Mac Adresse authentifizieren sondern über 802.1x mit Zertifikaten ( EAP-TLS / PEAP-TLS)

LG
samet22
samet22 16.10.2021 aktualisiert um 14:42:55 Uhr
Goto Top
Hallo, danke für deine antwort. Um über mobility express eap-tls peap-tls einrichten zu können muss ich mir CISCO ISE installieren/kaufen. Aus dem Grund wollte ich die mac authentifizierung und es wäre super wenn wenigstens PAP zum Einsatz kommen würde... finde ich komisch... wenn ich free raidus nämlich auswähle, so handelt er sich PAP aus...
catachan
catachan 16.10.2021 um 14:51:50 Uhr
Goto Top
Wie kommst du da drauf dass du eine ISE brauchst ?
samet22
samet22 18.10.2021 um 14:38:59 Uhr
Goto Top
Zitat von @catachan:

Wie kommst du da drauf dass du eine ISE brauchst ?

Aha und wie kann man das bei Mobility Express ohne ISE lösen? soweit mir bekannt geht dies nur über ISE ... und im Internet habe ich auch nichts darüber gefunden ... kannst du einen Link mit einer Beschreibung?

... Wichtiger Hinweis: Ich habe keinen WLAN Controller sondern verwende Mobility Express (der Interne Wlan-Controller vom AP).

Danke!

lg
catachan
catachan 18.10.2021 um 14:56:27 Uhr
Goto Top
Hi

in der Cisco Doku findest du natürlich die ISE weil das ihr eigener Radius Server ist. Geht aber mit NPS und Freeradius genau so.

Mobility Express config:
https://www.cisco.com/c/en/us/support/docs/wireless/mobility-express/213 ...

NPS: https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...

LG