jessicar
Goto Top

MDE - WLAN lässt sich nicht hinzufügen

Hallo zusammen,

ich habe ein Problem mit der WLAN Verteilung auf unseren neuen MDE Geräten. Vielleicht hat hier ja jemand eine Idee.

Bei uns bekommt jedes Gerät einen eigenen AD Eintrag für die WLAN Anmeldung. (Eigener Nutzername und eigenes Passwort)
Bis dato hat das auch immer wunderbar funktioniert.

Die Domain haben wir immer direkt unter "Identität eingegeben" vor den jeweiligen Gerätenamen - so in der Art
(fiktive Bezeichnungen)

mulan\abc-mde-040

Bei den neuen Geräten ist bei der WLAN Einrichtung Domain und Identität in 2 Felder gesplittet, ansich auch kein Problem, klappt aber leider nicht. (Ich habe auch mal testhalber die Daten eines Bestehenden Gerätes verwendet um einen Einrichtungsfehler im AD auszuschließen.

wäre ja dann:

mulan.de
abc-mde-040

Habe auch mal probiert das .de wegzulassen oder trotzdem (zusätzlich) den kompletten Domänennamen anzugeben.

Die Verbindungsangaben PEAP etc. wurden nicht verändert.

Vielleicht hat ja jemand einen Tipp dazu.

Es kommt danach übrigens keine Fehlermeldung, er versucht nur immer wieder neu eine Verbindung aufzubauen.

VG
Jessi

Content-ID: 9313549551

Url: https://administrator.de/forum/mde-wlan-laesst-sich-nicht-hinzufuegen-9313549551.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

em-pie
em-pie 23.08.2023 um 12:46:24 Uhr
Goto Top
Moin,

ich liebe solche Posts.
Ich nehme an, dass deine AVM-Repeater und der Debian 3 RADIUS sich nicht mit den Honeywell MDE vertragen.

Sollte ich hier irgendwelche falschen Geräte genannt haben, so tut es mir leid. Dann muss ich wohl meine Glaskugel noch einmal reparieren lassen und stattdessen auf das Kaffeesatzlesen zurückgreifen face-sad
JessicaR
JessicaR 23.08.2023 um 14:14:57 Uhr
Goto Top
Hallo,
entschuldige. face-smile

Hier noch ein paar Angaben:

Wir verwenden MDEs von Zebra TC21 (identisch zu den alten) - die Bestandsgeräte haben jedoch noch Android 10 installiert, die neuen Geräte Android 11.
Ich vermute dass es ein Zertifikatsproblem ist, da wir bei den alten Geräten bei CA Zertifikat die Option "nicht Validiert" gewählt hatten. Dies ist so wie ich gelesen habe ab Andoid 11 nicht mehr möglich. (das Feld ist bei den neuen Geräten auch ausgegraut)

Einrichtung auf der Sophos:

Network name: Lager
Network SSID: Lager
Encryption mode: WPA2/WPA Enterprise
Client traffic: Seperate Zone
Comment:
Advanced
Algorithm: TKIP & AES (compatible)
Frequency band: 2.4 and 5 GHz
Time-based access:
Client isolation: Enabled
Hide SSID: No
U-APSD: Enabled
Fast transition: Disabled
MAC filtering type: None

Hilft das schon weiter?
Mr-Gustav
Mr-Gustav 23.08.2023 um 14:16:49 Uhr
Goto Top
Was sagt den der Radius Server in seinen Logs dazu ? Kommt das überhaupt richtig an ?
Gibst du den MDE Geräten irgendwelche ROOT CA´s mit ?

Welchen Radius Server hast du denn ? Welche Android Version haben die Tabs ?

LG
em-pie
em-pie 23.08.2023 um 14:25:06 Uhr
Goto Top
Moin,

Hilft das schon weiter?
in jedem Fall. Ggf. bei der Sophos noch wichtig: welches Modellreihe: SG, XG oder XGS (s. u.)

Einrichtung auf der Sophos:
...
dann mach auf der Sophos mal das Live Log in der Wireless Protection an (sofern die Sophos aus der SG-Serie stammt, bei der XG/ XGS weiß ich das nicht) und schaue, was da alles protokolliert wird.

Ich tippe aber, dass auf den Clients (den TC21 mit Android 11) das Root Certificate eurer internen CA fehlt.
JessicaR
JessicaR 23.08.2023 um 14:27:51 Uhr
Goto Top
Hallo,

die Einrichtung hat der Kollege vor mir gemacht, ich versuche mich da gerade etwas in die Thematik reinzufuchsen.

Ein paar Angaben habe ich bereits in der Antwort über dir angegeben.
Ich bin mir gerade auch nicht sicher wo ich die Logs einsehen kann bzw. wie ich den Radius Server herausfinde.

Die neuen Geräte haben Android 11, die alten Android 10.
Daher denke ich auch das hier das Problem liegt.

Wir geben den Geräten nämlich aktuell nichts mit und haben vorher immer nur "nicht validieren" bei den CA Zertifikaten angegeben.

face-confused
mininik
mininik 23.08.2023 um 14:41:23 Uhr
Goto Top
Auf Zertifikatsprüfung zu verzichten ist so das Dümmste, was man machen kann. Wozu nutzt man es dann überhaupt?

Importiere eure Root CA auf den TC21. Optimalerweise hat man dafür ein MDM. Wenn nicht, eben von Hand face-smile
Mr-Gustav
Mr-Gustav 23.08.2023 um 14:47:48 Uhr
Goto Top
Ja das "Problem" ist bei Android 11 bekannt.
Einfach die passenden Zertifikate per MDM oder per Hand mitgeben und gut ist. Dann rennt alles wie es soll.
aqui
aqui 23.08.2023 um 17:40:40 Uhr
Goto Top
Algorithm: TKIP & AES (compatible)
Der übliche Fehler. face-sad TKIP hat in moderen WPA2 Installationen nichts mehr zu suchen. Nur noch AES-CCMP verwenden!
Zur Radius Thematik ist oben ja schon alles gesagt.