njord90
Goto Top

NPS WLAN Probleme

Guten Morgen liebe Community,

ich habe ein Problem mit unserer 802.1X Authentifizierung über den Windows NPS.

Das ganze stellt sich so da dass es manche Geräte gibt die aktuell bei der Verbindung mit dem entsprechenden WiFi nur die Meldung bekommen: "Keine Verbindung mit dem Netzwerk möglich"

Das ganze läuft über selbst erstellte Zertifikate und einer Gruppensteuerung.

Ich habe jetzt schon die Zertifikate auf funktionierenden und nicht funktionierenden Geräten überprüft aber die sind identisch.
Der NPS selbst gibt in den Logs auch keine Information bzw. meldet die Geräte mit Reason Code 0 zurück was eigentlich einen Zugriff erlauben sollte. Die Informationen tauchen aber auch nur im geschriebenen Log auf und nicht in der Ereignisanzeige.

Als WLC ist ein AC-1004 und die AP-N505 von FS im Einsatz.
Soft- und Firmware des WLC und AP´s sind aktuell. Aber auch hier bekomme ich in den Logs keinen Hinweis warum die Verbindung nicht klappt, ich sehe nur das der Client sich auf einen AP verbindet und direkt danach wieder verlässt.

Ein Trace mit Wireshark ist leider auch nicht möglich da gar keine Daten mitgeschnitten werden.

Mir gehen so langsam ein bisschen die Ideen aus was ich noch testen könnte um dem Problem auf den Grund zu gehen aber vielleicht könnt Ihr mir einen Schubs in die richtige Richtung geben.

Ich wünsch euch allen schonmal ein schönes Wochenende.

PS.: Netzwerkadapter habe ich auch schon kontrolliert und verschiedene Treiberstände durchprobiert

Mfg Njord90

Content-ID: 8045896890

Url: https://administrator.de/contentid/8045896890

Ausgedruckt am: 21.11.2024 um 15:11 Uhr

aqui
aqui 04.08.2023 aktualisiert um 11:33:28 Uhr
Goto Top
Das ganze läuft über selbst erstellte Zertifikate
Meinst du damit das Radius Server Zertifikat an sich oder arbeitest du mit User Zertifikaten? Das wird aus deiner Beschreibung leider nicht klar.
Ich habe jetzt schon die Zertifikate überprüft aber die sind identisch.
Das dürften sie aber zumindestens bei der Verwendung von User Zertifikaten niemals sein, denn die sind bekanntlich für jeden User individuell.
Für Grundlagen zu der Thematik siehe auch hier.
Sehr ungewöhnlich ist das der WLC nichts mitloggt. Dort MUSS üblicherweise immer der Assozationsversuch des Clients am betreffenden WLAN und auch der Radius Request geloggt werden. Kommt nichts lässt das vermuten das das Eventlogging dafür ggf. deaktiviert wurde im Setup. Es wäre nicht normal wenn der Controller die Client Accesses nicht loggen würde. Das macht ja sogar jede Plaste Fritzbox zuhause ganz ohne Controller.
Njord90
Njord90 04.08.2023 um 11:52:30 Uhr
Goto Top
@aqui ja stimmt sorry sind Server Zertifikate ausgestellt über eine eigene CA.

*Aug  4 11:41:40: %RDS-7-INFO:   [ 2087][       PADDING][           rds_authen_req_bait] aaa request authentication to group radius.
*Aug  4 11:41:40: %RDS-7-USER_I: [ 2086][       355,  0][                rds_authen_req] Receive user(2) authentication request, session_id 355, username host/NB-Koechling.domain.xyz, mac 505a.6566.8cda, ip 0.0.0.0.
*Aug  4 11:41:40: %RDS-7-USER_I: [ 2086][       355,145][                rds_authen_req] Add new user success.
*Aug  4 11:41:40: %RDS-7-USER_D: [ 2086][       355,145][         rds_get_last_time_srv] get last radius server failed, user last server is NULL.
*Aug  4 11:41:40: %RDS-7-USER_I: [ 2086][       355,145][                rds_authen_req] Get authen server success.
*Aug  4 11:41:40: %RDS-7-USER_D: [ 2086][       355,145][    rds_attr_encap_nas_port_id] Add attribute nas_port(36879), NAS-PORT-ID(if_name) is: CAPWAP-Tunnel 15
*Aug  4 11:41:40: %RDS-7-USER_D: [ 2086][       355,145][         rds_attr_encap_nas_id] Add attribute NAS-ID from radius self, nas id is .
*Aug  4 11:41:40: %RDS-7-USER_D: [ 2086][       355,145][       rds_attr_encap_nas_port] Add attribute NAS-PORT with wlan nas port(4).
*Aug  4 11:41:40: %RDS-7-USER_I: [ 2086][       355,145][                rds_authen_req] Add authen attr success.
*Aug  4 11:41:40: %RDS-7-USER_D: [ 2086][       355,145][                  rds_send_pkt] Send msg to 10.150.0.12, auth-port 1812 acct-port 1813
*Aug  4 11:41:40: %RDS-7-DETAIL: [ 2086][       PADDING][                 rds_get_srcip] get source ip from global list
*Aug  4 11:41:40: %RDS-7-USER_I: [ 2086][       355,145][                  rds_send_pkt] Make packet success
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][                  rds_show_pkt] Radius Protocol
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][                  rds_show_pkt]   Code: Access-Request(1)
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][                  rds_show_pkt]   Packet identifier: 0x91(145)
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][                  rds_show_pkt]   Length: 280
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][                  rds_show_pkt]   Authenticator: 36a1fdef04f969626f0fca72d12c70a0
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][            rds_show_attribute]   Attribute value Pairs
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: User-Name
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=34  t=1: host/NB-Koechling.domain.xyz
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Nas-Port-Id
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=18  t=87: 4341505741502d54756e6e656c203135
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Nas-Port-Type
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=6  t=61: 19
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Frame-Ip-Address
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=6  t=8: 0.0.0.0
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Nas-Ip-Port
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=6  t=5: 4
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Acct-Session-Id
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=40  t=44: 649d99d6a2dc_000_0000000355_1691142100
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Calling-Station-Id
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=14  t=31: 353035613635363638636461
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Called-Station-Id
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=28  t=30: 3634396439396436616433363a4c75656c696e67496e7465726e
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     AVP: Vendor-Specific
*Aug  4 11:41:40: %RDS-7-PACKET: [ 2086][       PADDING][     rds_attr_tlv_debug_output]     l=12  t=26: 00001311040600000001

Das sind die Log- Informationen vom WLC zu einem der betroffenen Clients. Nachdem was ich daraus lese sieht das aber eigentlich sauber aus und sollte kein Problem machen.
Lasse mich aber gerne eines besseren belehren :D
aqui
aqui 04.08.2023 aktualisiert um 18:02:42 Uhr
Goto Top
Wieso Plural? Wenn du nicht mit User Zertifikaten arbeitest benötigst du gerade mal ein einziges Zertifikat für den Radius Server?! 🤔

Das sähe dann sauber aus wenn du am Ende ein Access Accept vom Radius erhalten hast! 😉 Leider fehlt dieser Part. face-sad
Beachte auch die Windows Besonderheiten im o.a. Tutorial wenn du eine Domain mit übergibst wie es bei dir in den Logs den Anschein hat.
aqui
aqui 12.08.2023 um 16:53:36 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Njord90
Njord90 18.08.2023 um 08:37:34 Uhr
Goto Top
Moin @aqui sorry die verspätete Rückmeldung. Die Woche war ein bisschen vollgepackt.

Ne das Problem ist noch nicht behoben bin da aber mit dem Support von FS dran zu schauen woran es hängt.

Die Authentifizierung am Radius läuft sauber durch und die Rückantwort kommt auch an aber danach bekommt der Client so wie es aussieht keine IP.

So bald ich da ein Ergebnis hab würde ich es hier reinschreiben und den Beitrag dann auf gelöst setzen face-smile
aqui
aqui 18.08.2023 um 09:28:41 Uhr
Goto Top
... 👍🏻