CISCO Mobility Express - RADIUS OTHER - Nicht Authentifiziert

Mitglied: samet22
Hallo liebe Community,

Ich bin leicht enttäuscht ... Ich habe unsere alten Aps gegen neue Cisco AP 1832i ausgetauscht und Mobility-Express aktiviert. Alles schön und gut ABER -> Ich habe Mac-Authentifizierung über Windows-NPS zusätzlich für das Interne WLAN aktiviert und soweit "funktioniert" es jedoch die Authentifizierung auf den Windows-NPS läuft OHNE einer "Authentifizierungsverschlüsselung" durch!

Als Radius Typ musste ich beim Mobility-Express OTHER (KEIN FREE RADIUS, KEIN CISCO ACS) nehmen damit dies über NPS klappt. Das GROßE PROBLEM: Die Anfrage an den NPS wird als "Nicht Authentifiziert" weitergeleitet! Nicht einmal PAP oder SPAP ist hier möglich (PAP wird nur genommen wenn ich FREE RADIUS auswähle, aber dann klappt die Anforderung über NPS nicht)! Übersehe ich hier eine Einstellung oder ist das von Cisco ernstgemeint, dass bei OTHER nicht einmal PAP aktiviert werden kann??? Dies haben meine 7-8 Jahre alten Accesspoints ohne Probleme können ...

Bitte um kurze Feedbacks ob ich damit leben muss wenn ich die Sache über Windows-NPS abwickeln will?

Danke!

lg Samet

Content-Key: 1392344112

Url: https://administrator.de/contentid/1392344112

Ausgedruckt am: 28.11.2021 um 05:11 Uhr

Mitglied: aqui
aqui 15.10.2021 aktualisiert um 12:48:29 Uhr
Goto Top
Ich habe unsere alten Switche gegen neue Cisco AP 1832i ausgetauscht
LAN Switches gegen APs tauschen ?? Äpfel mit Birnen ?? Du sprichst in Rätseln...
Normal macht Cisco PEAP wie alle anderen Hersteller auch. Ggf. hast du dort etwas falsch konfiguriert im Setup. Zudem ist der Radius Request selber durch ein Passwort gesichert.
Die klassischen_Cisco_APs (und alle anderen Hersteller auch) machen das wenigstens fehlerfrei. Egal ob man MBP (Mac Bypass) oder 802.1x User Credentials verwendet mit dem Radius.

Was sagt denn ein Wireshark Trace zwischen AP und Radius bei der Client Anmeldung ?? Den solltest du einmal posten um das o.a. Verhalten einmal sehen und nachvollziehen zu können
Mitglied: samet22
samet22 15.10.2021 aktualisiert um 12:56:19 Uhr
Goto Top
Hallo Aqui,

ja da hast du recht ich habe mich verschrieben :D Wir haben unsere alten APs ausgetauscht ...

also so sieht die Informationsübergabe im Eventlog aus:

CISCO:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.

Benutzer:
Sicherheits-ID: XXXXXXXX\a8817eXXXXX
Kontoname: a8817e48XXXX
Kontodomäne: XXXX
Vollqualifizierter Kontoname: XXX\a8817e48XXXX

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 84-f1-47-9XXXX:XX-INTERN
ID der Anrufstation: a8-81-7e-48XXXX

NAS:
NAS-IPv4-Adresse: 192.168.0.180
NAS-IPv6-Adresse: -
NAS-ID: SLCISAP01
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: 1

RADIUS-Client:
Clientanzeigename: SLCISAPME
Client-IP-Adresse: 192.168.0.180

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXX
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 36313639353966652F61383A38313A37653A34383A65323A32632F313335
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Die alten APs:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.

Benutzer:
Sicherheits-ID: XXXXX\a8817e4XXXX
Kontoname: a8817e4XXXX
Kontodomäne: XXXXX
Vollqualifizierter Kontoname: XXXX\a8817e48XXX

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 02-20-A6-FXXXX
ID der Anrufstation: A8-81-7E-4XXX;SL-INTERN

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: -

RADIUS-Client:
Clientanzeigename: SLAP12
Client-IP-Adresse: 192.168.0.192

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXXX
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.


Damit die Authentifizierung mit CISCO über NPS klappt habe ich Beim NPS folgendes aktivieren müssen:
"Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen". -> Warum ich es aktivieren musste ist leider im Eventlog ersichtlich : Authentifizierungstyp: Nicht authentifiziert ...
Mitglied: catachan
catachan 15.10.2021 um 17:52:21 Uhr
Goto Top
Hi

ich würde WLAN nicht über Mac Adresse authentifizieren sondern über 802.1x mit Zertifikaten ( EAP-TLS / PEAP-TLS)

LG
Mitglied: samet22
samet22 16.10.2021 aktualisiert um 14:42:55 Uhr
Goto Top
Hallo, danke für deine antwort. Um über mobility express eap-tls peap-tls einrichten zu können muss ich mir CISCO ISE installieren/kaufen. Aus dem Grund wollte ich die mac authentifizierung und es wäre super wenn wenigstens PAP zum Einsatz kommen würde... finde ich komisch... wenn ich free raidus nämlich auswähle, so handelt er sich PAP aus...
Mitglied: catachan
catachan 16.10.2021 um 14:51:50 Uhr
Goto Top
Wie kommst du da drauf dass du eine ISE brauchst ?
Mitglied: samet22
samet22 18.10.2021 um 14:38:59 Uhr
Goto Top
Zitat von @catachan:

Wie kommst du da drauf dass du eine ISE brauchst ?

Aha und wie kann man das bei Mobility Express ohne ISE lösen? soweit mir bekannt geht dies nur über ISE ... und im Internet habe ich auch nichts darüber gefunden ... kannst du einen Link mit einer Beschreibung?

... Wichtiger Hinweis: Ich habe keinen WLAN Controller sondern verwende Mobility Express (der Interne Wlan-Controller vom AP).

Danke!

lg
Mitglied: catachan
catachan 18.10.2021 um 14:56:27 Uhr
Goto Top
Hi

in der Cisco Doku findest du natürlich die ISE weil das ihr eigener Radius Server ist. Geht aber mit NPS und Freeradius genau so.

Mobility Express config:
https://www.cisco.com/c/en/us/support/docs/wireless/mobility-express/213 ...

NPS: https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...

LG
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement8 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

general
Sicherheit beim Online-BankingWeyershausenVor 12 StundenAllgemeinSicherheitsgrundlagen18 Kommentare

Hallo, in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Reinigung der Apple Watch gelöst honeybeeVor 1 TagFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...