6
NPS WLAN Probleme
Guten Morgen liebe Community,
ich habe ein Problem mit unserer 802.1X Authentifizierung über den Windows NPS.
Das ganze stellt sich so da dass es manche Geräte gibt die aktuell bei der Verbindung mit dem entsprechenden WiFi nur die Meldung bekommen: "Keine Verbindung mit dem Netzwerk möglich"
Das ganze läuft über selbst erstellte Zertifikate und einer Gruppensteuerung.
Ich habe jetzt schon die Zertifikate auf funktionierenden und nicht funktionierenden Geräten überprüft aber die sind identisch.
Der NPS selbst gibt in den Logs auch keine Information bzw. meldet die Geräte mit Reason Code 0 zurück was eigentlich einen Zugriff erlauben sollte. Die Informationen tauchen aber auch nur im geschriebenen Log auf und nicht in der Ereignisanzeige.
Als WLC ist ein AC-1004 und die AP-N505 von FS im Einsatz.
Soft- und Firmware des WLC und AP´s sind aktuell. Aber auch hier bekomme ich in den Logs keinen Hinweis warum die Verbindung nicht klappt, ich sehe nur das der Client sich auf einen AP verbindet und direkt danach wieder verlässt.
Ein Trace mit Wireshark ist leider auch nicht möglich da gar keine Daten mitgeschnitten werden.
Mir gehen so langsam ein bisschen die Ideen aus was ich noch testen könnte um dem Problem auf den Grund zu gehen aber vielleicht könnt Ihr mir einen Schubs in die richtige Richtung geben.
Ich wünsch euch allen schonmal ein schönes Wochenende.
PS.: Netzwerkadapter habe ich auch schon kontrolliert und verschiedene Treiberstände durchprobiert
Mfg Njord90
ich habe ein Problem mit unserer 802.1X Authentifizierung über den Windows NPS.
Das ganze stellt sich so da dass es manche Geräte gibt die aktuell bei der Verbindung mit dem entsprechenden WiFi nur die Meldung bekommen: "Keine Verbindung mit dem Netzwerk möglich"
Das ganze läuft über selbst erstellte Zertifikate und einer Gruppensteuerung.
Ich habe jetzt schon die Zertifikate auf funktionierenden und nicht funktionierenden Geräten überprüft aber die sind identisch.
Der NPS selbst gibt in den Logs auch keine Information bzw. meldet die Geräte mit Reason Code 0 zurück was eigentlich einen Zugriff erlauben sollte. Die Informationen tauchen aber auch nur im geschriebenen Log auf und nicht in der Ereignisanzeige.
Als WLC ist ein AC-1004 und die AP-N505 von FS im Einsatz.
Soft- und Firmware des WLC und AP´s sind aktuell. Aber auch hier bekomme ich in den Logs keinen Hinweis warum die Verbindung nicht klappt, ich sehe nur das der Client sich auf einen AP verbindet und direkt danach wieder verlässt.
Ein Trace mit Wireshark ist leider auch nicht möglich da gar keine Daten mitgeschnitten werden.
Mir gehen so langsam ein bisschen die Ideen aus was ich noch testen könnte um dem Problem auf den Grund zu gehen aber vielleicht könnt Ihr mir einen Schubs in die richtige Richtung geben.
Ich wünsch euch allen schonmal ein schönes Wochenende.
PS.: Netzwerkadapter habe ich auch schon kontrolliert und verschiedene Treiberstände durchprobiert
Mfg Njord90
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8045896890
Url: https://administrator.de/contentid/8045896890
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
6 Kommentare
Neuester Kommentar
Das ganze läuft über selbst erstellte Zertifikate
Meinst du damit das Radius Server Zertifikat an sich oder arbeitest du mit User Zertifikaten? Das wird aus deiner Beschreibung leider nicht klar.Ich habe jetzt schon die Zertifikate überprüft aber die sind identisch.
Das dürften sie aber zumindestens bei der Verwendung von User Zertifikaten niemals sein, denn die sind bekanntlich für jeden User individuell.Für Grundlagen zu der Thematik siehe auch hier.
Sehr ungewöhnlich ist das der WLC nichts mitloggt. Dort MUSS üblicherweise immer der Assozationsversuch des Clients am betreffenden WLAN und auch der Radius Request geloggt werden. Kommt nichts lässt das vermuten das das Eventlogging dafür ggf. deaktiviert wurde im Setup. Es wäre nicht normal wenn der Controller die Client Accesses nicht loggen würde. Das macht ja sogar jede Plaste Fritzbox zuhause ganz ohne Controller.
@aqui ja stimmt sorry sind Server Zertifikate ausgestellt über eine eigene CA.
Das sind die Log- Informationen vom WLC zu einem der betroffenen Clients. Nachdem was ich daraus lese sieht das aber eigentlich sauber aus und sollte kein Problem machen.
Lasse mich aber gerne eines besseren belehren :D
*Aug 4 11:41:40: %RDS-7-INFO: [ 2087][ PADDING][ rds_authen_req_bait] aaa request authentication to group radius.
*Aug 4 11:41:40: %RDS-7-USER_I: [ 2086][ 355, 0][ rds_authen_req] Receive user(2) authentication request, session_id 355, username host/NB-Koechling.domain.xyz, mac 505a.6566.8cda, ip 0.0.0.0.
*Aug 4 11:41:40: %RDS-7-USER_I: [ 2086][ 355,145][ rds_authen_req] Add new user success.
*Aug 4 11:41:40: %RDS-7-USER_D: [ 2086][ 355,145][ rds_get_last_time_srv] get last radius server failed, user last server is NULL.
*Aug 4 11:41:40: %RDS-7-USER_I: [ 2086][ 355,145][ rds_authen_req] Get authen server success.
*Aug 4 11:41:40: %RDS-7-USER_D: [ 2086][ 355,145][ rds_attr_encap_nas_port_id] Add attribute nas_port(36879), NAS-PORT-ID(if_name) is: CAPWAP-Tunnel 15
*Aug 4 11:41:40: %RDS-7-USER_D: [ 2086][ 355,145][ rds_attr_encap_nas_id] Add attribute NAS-ID from radius self, nas id is .
*Aug 4 11:41:40: %RDS-7-USER_D: [ 2086][ 355,145][ rds_attr_encap_nas_port] Add attribute NAS-PORT with wlan nas port(4).
*Aug 4 11:41:40: %RDS-7-USER_I: [ 2086][ 355,145][ rds_authen_req] Add authen attr success.
*Aug 4 11:41:40: %RDS-7-USER_D: [ 2086][ 355,145][ rds_send_pkt] Send msg to 10.150.0.12, auth-port 1812 acct-port 1813
*Aug 4 11:41:40: %RDS-7-DETAIL: [ 2086][ PADDING][ rds_get_srcip] get source ip from global list
*Aug 4 11:41:40: %RDS-7-USER_I: [ 2086][ 355,145][ rds_send_pkt] Make packet success
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_show_pkt] Radius Protocol
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_show_pkt] Code: Access-Request(1)
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_show_pkt] Packet identifier: 0x91(145)
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_show_pkt] Length: 280
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_show_pkt] Authenticator: 36a1fdef04f969626f0fca72d12c70a0
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_show_attribute] Attribute value Pairs
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: User-Name
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=34 t=1: host/NB-Koechling.domain.xyz
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Nas-Port-Id
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=18 t=87: 4341505741502d54756e6e656c203135
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Nas-Port-Type
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=6 t=61: 19
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Frame-Ip-Address
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=6 t=8: 0.0.0.0
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Nas-Ip-Port
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=6 t=5: 4
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Acct-Session-Id
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=40 t=44: 649d99d6a2dc_000_0000000355_1691142100
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Calling-Station-Id
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=14 t=31: 353035613635363638636461
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Called-Station-Id
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=28 t=30: 3634396439396436616433363a4c75656c696e67496e7465726e
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] AVP: Vendor-Specific
*Aug 4 11:41:40: %RDS-7-PACKET: [ 2086][ PADDING][ rds_attr_tlv_debug_output] l=12 t=26: 00001311040600000001Das sind die Log- Informationen vom WLC zu einem der betroffenen Clients. Nachdem was ich daraus lese sieht das aber eigentlich sauber aus und sollte kein Problem machen.
Lasse mich aber gerne eines besseren belehren :D
Wieso Plural? Wenn du nicht mit User Zertifikaten arbeitest benötigst du gerade mal ein einziges Zertifikat für den Radius Server?! 🤔
Das sähe dann sauber aus wenn du am Ende ein Access Accept vom Radius erhalten hast! 😉 Leider fehlt dieser Part.
Beachte auch die Windows Besonderheiten im o.a. Tutorial wenn du eine Domain mit übergibst wie es bei dir in den Logs den Anschein hat.
Das sähe dann sauber aus wenn du am Ende ein Access Accept vom Radius erhalten hast! 😉 Leider fehlt dieser Part.
Beachte auch die Windows Besonderheiten im o.a. Tutorial wenn du eine Domain mit übergibst wie es bei dir in den Logs den Anschein hat.
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Moin @aqui sorry die verspätete Rückmeldung. Die Woche war ein bisschen vollgepackt.
Ne das Problem ist noch nicht behoben bin da aber mit dem Support von FS dran zu schauen woran es hängt.
Die Authentifizierung am Radius läuft sauber durch und die Rückantwort kommt auch an aber danach bekommt der Client so wie es aussieht keine IP.
So bald ich da ein Ergebnis hab würde ich es hier reinschreiben und den Beitrag dann auf gelöst setzen
Ne das Problem ist noch nicht behoben bin da aber mit dem Support von FS dran zu schauen woran es hängt.
Die Authentifizierung am Radius läuft sauber durch und die Rückantwort kommt auch an aber danach bekommt der Client so wie es aussieht keine IP.
So bald ich da ein Ergebnis hab würde ich es hier reinschreiben und den Beitrag dann auf gelöst setzen
... 👍🏻
