EAP TLS WLAN - Verbindungsprobleme an einem Standort
Hallo zusammen,
ich habe ein Problem bei einem EAP-TLS WLAN, welches wir am Hauptstandort und an zwei Zweigstellen ausstrahlen.
Am Hauptstandort und an einer Niederlassung funktioniert die Anmeldung. Am zweiten Standort nicht.
Im Einsatz ist der NPS von MS auf einem Server 2016, eine Sophos XGS (wo die SSID eingerichtet ist) dient als Radius Client, die beiden Zweigstellen haben eine Sophos RED-Box und Sophos Accesspoints sind im Einsatz.
für die zwei Zweigstellen gelten die gleichen Firewall-Rules. Die RED´s sind ebenfalls gleich eingerichtet und auch die gleichen Modelle.
im IAS Log sieht an sich alles normal aus, nur, dass die Clients keine Adresse bekommen aus dem dafür vorgesehenen DHCP Bereich. Daher ist der Connect Result (Unknown).
Das Clientzertifikat passt.
In der XGS im Logviewer steht auch nichts aussagekräftiges. Keine Fehler oder sonstiges.
Ich habe auch schon mal Wireshark mitlaufen lassen, einmal bei einem erfolgreichen Connect von Niederlassung A und einem erfolglosen Connect von Niederlassung B am NPS Server.
Hier sehe ich ebenfalls keine Paket-Drops oder Ähnliches wenn man beides miteinander vergleicht.
Was ich bis jetzt bei Niederlassung B versucht habe:
- MTU anzupassen (obwohl NL A und NL B gleich eingerichtet waren)
- Eine LTE Box als Internet-Gateway (um den sich dort befindlichen Kabel-Anschluss auszuschließen und den dementsprechenden Router) getestet
- Switch vor Ort (an dem Router, AP etc. hängt) testweise getauscht.
- RED neugestartet
Was ich noch machen möchte:
- Die RED Verbindung löschen und neu einrichten und die RED-Box vor Ort tauschen (sobald wir eine neue Box für eine weitere Zweigstelle erhalten)
Danke schon mal im Voraus für die Hilfe.
Viele Grüße
itwahn
ich habe ein Problem bei einem EAP-TLS WLAN, welches wir am Hauptstandort und an zwei Zweigstellen ausstrahlen.
Am Hauptstandort und an einer Niederlassung funktioniert die Anmeldung. Am zweiten Standort nicht.
Im Einsatz ist der NPS von MS auf einem Server 2016, eine Sophos XGS (wo die SSID eingerichtet ist) dient als Radius Client, die beiden Zweigstellen haben eine Sophos RED-Box und Sophos Accesspoints sind im Einsatz.
für die zwei Zweigstellen gelten die gleichen Firewall-Rules. Die RED´s sind ebenfalls gleich eingerichtet und auch die gleichen Modelle.
im IAS Log sieht an sich alles normal aus, nur, dass die Clients keine Adresse bekommen aus dem dafür vorgesehenen DHCP Bereich. Daher ist der Connect Result (Unknown).
Das Clientzertifikat passt.
In der XGS im Logviewer steht auch nichts aussagekräftiges. Keine Fehler oder sonstiges.
Ich habe auch schon mal Wireshark mitlaufen lassen, einmal bei einem erfolgreichen Connect von Niederlassung A und einem erfolglosen Connect von Niederlassung B am NPS Server.
Hier sehe ich ebenfalls keine Paket-Drops oder Ähnliches wenn man beides miteinander vergleicht.
Was ich bis jetzt bei Niederlassung B versucht habe:
- MTU anzupassen (obwohl NL A und NL B gleich eingerichtet waren)
- Eine LTE Box als Internet-Gateway (um den sich dort befindlichen Kabel-Anschluss auszuschließen und den dementsprechenden Router) getestet
- Switch vor Ort (an dem Router, AP etc. hängt) testweise getauscht.
- RED neugestartet
Was ich noch machen möchte:
- Die RED Verbindung löschen und neu einrichten und die RED-Box vor Ort tauschen (sobald wir eine neue Box für eine weitere Zweigstelle erhalten)
Danke schon mal im Voraus für die Hilfe.
Viele Grüße
itwahn
Please also mark the comments that contributed to the solution of the article
Content-Key: 53224556523
Url: https://administrator.de/contentid/53224556523
Printed on: July 8, 2024 at 12:07 o'clock
6 Comments
Latest comment
DHCP hat nichts mit Multicast zu tun und basiert bekanntlich rein auf Broadcasts! 🧐
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
Fehlendes DHCP Relay auf der Routing Komponente (FW) zum Hauptstandort dürfte wohl in der Tat das ursächliche Problem sein sofern der zentrale DHCP Server genutzt wird!
Hätte man als Administrator auch kinderleicht mit einem Kupferclient und Wireshark im remoten WLAN Segment selber rausfinden können wenn kein DHCP Reply auf einem DHCP Request des Clients kommt...
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
Fehlendes DHCP Relay auf der Routing Komponente (FW) zum Hauptstandort dürfte wohl in der Tat das ursächliche Problem sein sofern der zentrale DHCP Server genutzt wird!
Hätte man als Administrator auch kinderleicht mit einem Kupferclient und Wireshark im remoten WLAN Segment selber rausfinden können wenn kein DHCP Reply auf einem DHCP Request des Clients kommt...