woraxor
Goto Top

EAP-TLS Authentifizierung

Hallo Zusammen,

Nach diesem Wochenende können einige Rechner sich nicht mehr mit unserem WIFI verbinden.
Die Connection wird über EAP-TLS Zertifizierung (RADIUS-Server) bewerkstellig.

Hat jemand eine Idee, was man Überprüfen könnte? das Problem ist, das im Radius die Anfragen noch nicht einmal als Fehler auftauchen face-confused

Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.

Viele Grüße

Content-ID: 4321952914

Url: https://administrator.de/forum/eap-tls-authentifizierung-4321952914.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

lcer00
lcer00 18.10.2022 um 09:46:49 Uhr
Goto Top
Hallo,

der Radius sollte doch ein Log haben...

ansonsten - bitte präzesiere Deine Frage etwas. Welche Geräte sind involviert? Wer ist Radius-Server, wer Radius-Client? Welches OS auf den Clients?

Grüße

lcer
SlainteMhath
SlainteMhath 18.10.2022 um 09:54:40 Uhr
Goto Top
Moin,

Server-/Client-Certs und CA-Cert sind nicht abgelaufen?

lg,
SLainte
Woraxor
Woraxor 18.10.2022 um 09:58:30 Uhr
Goto Top
Hi Icer00,

leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.

Invoviert sind aktuell IOS/ Android / Notebooks.
Woraxor
Woraxor 18.10.2022 um 09:58:51 Uhr
Goto Top
Moin,

schon geprüft, das ist nicht der Fall.

VG
lcer00
lcer00 18.10.2022 um 10:38:13 Uhr
Goto Top
Hallo,
Zitat von @Woraxor:

Hi Icer00,

leider kenn ich mich nicht so tief in der Materie mit Radius aus. Client OS Win10 21H1.
Radius Server ist ein Windows Server 2022.

Dann schau das Radius-Log auf dem Server an: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...

Da siehst Du, ob es ankommt und warum es abgelehnt wird.

Da fehlen noch Angaben zum Radius-Client: vermutlich Euer WiFi-Accesspoint. Welcher ist das?

Grüße

lcer
Dani
Dani 18.10.2022 aktualisiert um 11:03:43 Uhr
Goto Top
Moin,
Ich habe die Vermutung, das es mit dem aktuellen Oktober Patch von MS$ zu tun hat.
könnte gut sein. Ich meine gelesen zu haben, dass mit einem Update TLS 1.0/1.1 deaktiviert wurde. Gilt natürlich primär für Windows Betriebssysteme.


Gruß,
Dani
Woraxor
Woraxor 18.10.2022 um 11:25:13 Uhr
Goto Top
Das ganze läuft über einen Cisco WAC
Woraxor
Woraxor 18.10.2022 um 11:32:31 Uhr
Goto Top
ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?

Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"

kann es sein, das der Radius gewisse anfragen blockt?
lcer00
lcer00 18.10.2022 um 11:44:00 Uhr
Goto Top
Hallo,
Zitat von @Woraxor:

ich habe mir gerade die LOGs angeschaut, der Reason-Code steht bei 0 "IAS_SUCCESS". Das ist doch ein gutes Zeichen?

Wenn wir vom CISCO WAC zum RADIUS die auth. versuchen bekommen wir ein "authentication failed"

kann es sein, das der Radius gewisse anfragen blockt?
Also wenn das IAS_SUCCESS sich auch tatsächlich auf die nicht funktionierende Anfrage bezieht, heisst das:
- Der Radius-Client (Cisco) kann sich erfolgreich mit dem Radius-Server verbinden
- Der PC hat dem dem Radius-Client eine Anfrage gestellt, die der Radius-Client erfolgreich an den Radius-Server weiterleiten konnte.
- Der Einstellungen des Radius-Servers sollten demzufolge passen.

Wenn das trotzdem nicht klappt:
- DHCP überprüfen - vielleicht klappt die Einwahl ins Netz, nicht jedoch die Adresszuweisung
- Log am Cisco auf Debug schalten und durchsehen.

Grüße

lcer
Spirit-of-Eli
Spirit-of-Eli 18.10.2022 um 13:54:27 Uhr
Goto Top
Moin,

im Radius Log des W2022 Servers wird mindestens eine Meldung pro Login generiert. Entweder sucess mit entsprechendem Profil oder eben denied mit entsprechendem reason.
Schau daher mal ins Log.

Gruß
Spirit
Woraxor
Woraxor 18.10.2022 um 15:36:41 Uhr
Goto Top
Ich glaube eher das es die windowsUpdates sind:

https://support.microsoft.com/de-de/topic/october-17-2022-kb5020436-os-b ...

jetzt ist nur die Frage, wo der Patchüberall draufgeklatscht werden muss....

VG
Woraxor
Woraxor 18.10.2022 um 16:19:39 Uhr
Goto Top
Anscheinend haben auch noch mehrere Personen Probleme mit Cisco WAC und den Patches vom Oktober

https://www.borncity.com/blog/2022/10/18/sonderupdates-fr-windows-fixen- ...

VG
lcer00
lcer00 18.10.2022 um 18:34:57 Uhr
Goto Top
Hallo,

Wenn es tls-Handshake Fehler sind würde ich eigentlich kein ias_success erwarten…

Grüße

lcer
Woraxor
Woraxor 19.10.2022 aktualisiert um 08:19:42 Uhr
Goto Top
Moin,

das dachte ich mir auch...
Nur wenn ich die Historie zurückgehe. Ist das einzige was zwischen Funktionalem Zustand und nicht mehr funktionalem Zustand passiert ist, die Windows Updates face-confused

Viele Grüße
lcer00
lcer00 19.10.2022 um 08:28:04 Uhr
Goto Top
1) Hast Du das IAS-Log überprüft, ob das ias_success sich wirklich auf die nicht funktionierende Anfrage bezieht?

2) Probleme gab es mit den Zertifikate im Mai mit KB5014754
https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-au ... Das hast Du nicht zufällig auch erst jetzt eingespielt?

Grüße

lcer
Woraxor
Woraxor 19.10.2022 um 09:11:43 Uhr
Goto Top
Moin,

ne, damit hatten wir im Mai schon Probleme face-wink

Folgender Log für den Fehlerhaften Rechner von Gestern:

"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,

Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?! face-confused
Nur damit wir vom selben sprechen

VG
lcer00
lcer00 19.10.2022 um 11:39:38 Uhr
Goto Top
Zitat von @Woraxor:

Moin,

ne, damit hatten wir im Mai schon Probleme face-wink

Folgender Log für den Fehlerhaften Rechner von Gestern:

"RADIUS","IAS",10/18/2022,10:11:47,11,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertifiktasrichtlinie",0,"311 1 10/17/2022 13:18:56 78870",30,,,,,,,,"665d5fb9/a8:6d:ac:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,,,

Die Fett markierte 0 müsste doch der Code sein? oder bin ich komplett falsch?! face-confused
Nur damit wir vom selben sprechen

VG

der 5. Wert (paket-Type) ist eine "11". siehe https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windo ...

Es fehlt ein die 1 - das beschreibt den Request. zu dem fehlt dann z.B. noch ein Accept (Code 2). Es werden normalerweise pro Anfrage immer mindestens 2 Zeilen geloggt.

Grüße

lcer
lcer00
lcer00 19.10.2022 um 11:49:36 Uhr
Goto Top
Hallo

schau mal die Abfolge in https://www.rfc-editor.org/rfc/rfc2138#page-61

Grüße

lcer
Woraxor
Woraxor 19.10.2022 um 11:54:36 Uhr
Goto Top
huhu,

ich habe gerade noch einmal den Fehler repliziert.

Ich bekomme aktuell als erstes eine Paket-Type von 1 -> danach von 11 -> das geht ca. 5 mal so weiter bis schlussendlich eine 3 Access-Reject kommt.

VG
lcer00
lcer00 19.10.2022 um 12:40:34 Uhr
Goto Top
Und welcher Grund wird beim reject angegeben?

Grüße

lcer
Woraxor
Woraxor 19.10.2022 um 13:31:18 Uhr
Goto Top
"RADIUS","IAS",10/18/2022,10:11:47,3,,"Notebook01$",,,,,,,,0,"1.1.1.1","WLC",,,,,,,5,"Zertrule",259,"311 1 2.2.2.2 10/17/2022 13:18:56 78875",,,,"Microsoft: Smartcard- oder anderes Zertifikat",,,,,"634e6fb95/a9:6c:ad:dc:e7:81/141243",,,,,,,,,,,,,,,,,,,,,,,,,"CRP.Wireless",1,,

wäre das dann 259? oder 5? (Fett markiert)

VG
lcer00
Lösung lcer00 19.10.2022 um 14:10:38 Uhr
Goto Top
259

https://social.technet.microsoft.com/Forums/en-US/200db4ae-b1f0-4eb7-b53 ...

Das weist auf die Zertifikatssperrlisten hin. Sind im Zertifikat welche angegeben? Wenn ja, sind die erreichbar?

Grüße

lcer
Woraxor
Woraxor 19.10.2022 um 16:03:50 Uhr
Goto Top
Hiho,

Ja nice, da war der Fehler begraben face-smile

Viele Grüße
Dani
Dani 19.10.2022 um 17:04:17 Uhr
Goto Top
Moin,
Ja nice, da war der Fehler begraben face-smile
Zertifikate gesperrt oder Sperrliste abgelaufen?!


Gruß,
Dani
Woraxor
Woraxor 19.10.2022 um 21:21:27 Uhr
Goto Top
Moin Dani,

das Zertifikat war gesperrt.

VG