7
Problem: 802.1X über Radius Server (WLAN)
Hallo liebe Community,
ich bin neu in dem Forum, hoffe das der Thread im richten Teil des Forums ist und versuche mal mein Problem zu erläutern.
Es soll eine Authentification nach 802.1X für unser WLAN Netz bereitgestellt werden.
Die Benutzer werden in unserer Domäne gepflegt und sollen über ein RADIUS (NPS) vom LDAP abgerufen werden.
Außerdem soll eine VLAN Zuweisung über die RADIUS Attribute erfolgen.
Bei uns werden 2 Cisco Wireless Controller eingesetzt (WLC)
physischer: v. 7.6.110.0 (WLC)
virtueller: v. 7.0.240.0 (vWLC)
Access Point Modelle am vWLC
AIR-CAP2602I-E-K9
AIR-CAP1602I-E-K9
Access Point Modelle am WLC
AIR-LAP1252AG-E-K9
AIR-LAP1262N-E-K9
AIR-LAP1261N-E-K9
Es werden 2 Cisco WLC's aus Kostengründen verwendet, da der alte noch vorhanden ist. Somit müssen keine Lizenzen für die alten AP's am neuen vWLC angeschafft werden.
Die Access Points haben jeweils ihr eigenes VLAN in dem Sie von den WLC's gemanagte werden.
VLANS
WLC VLAN180
vWLC VLAN190
Die Ports (UDP 1645 und 1812) zwischen dem Domain Controller(IP:172.16.140.10) auf dem das LDAP + NPS installiert ist und den Management Netz für die Access Points sind freigeben. Der Domain Controller befindet sich im VLAN 140.
Die Netze werden von einer ASA Firewall getrennt. Als Sternpunkt dient ein Cisco Catalyst.
Soweit zu den Gegebenheiten.
Nun mein Problem:
Die Authentification mit dem vWLC funktioniert. Eine VLAN Zuweisung über eine SSID funktioniert anhand der Benutzerkonten.
Als EAP Typ wird PEAP über EAP-MSCHAP v2 verwendet. Da Computer auf das Netz zugreifen sollen, die nicht in der Domaine sind und keine Zertifikate auf den Clients installiert werden sollen.
Das Problem ist, dass diese Authentification nicht mit dem "alten" WLC funktioniert.
Folgendes habe ich bereits geprüft:
- Gateway vom Management Netz der alten AP ist unter RADIUS Client eingetragen
- Gemeinsamer geheimer Schlüssel erneut eingetragen.
- Radius Server eingetragen,
- WPA2 Encryption AES, Auth KEy Mgmt 802.1x
- Reinfolge für Authentication RADIUS nach ganz oben
Leider scheitert die Verbindung immer wieder. Mit iOS (IPhone 5s, MAC-Adresse: 54:ae:27:ac:27:14) und Windows 8.1 Pro.
Am NPS werden mir keine Information/Fehler zu dem VLAN180 angezeigt. Der WLC gibt jedoch dazu folgende Fehlermeldung aus:
RADIUS server 172.16.140.10:1812 failed to respond to request (ID 43) for client 54:ae:27:ac:27:14 / user 'unknown'
Am IPhone wird mir gesagt das der Benutzer und das Password falsch ist.
Wie bereits geschildert funktionier die Authentication bereits zwischen dem vWLC und dem Domain Controller (NPS)
Ich hoffe mir kann jemand helfen.
Mit freundlichen Grüßen Flais78
ich bin neu in dem Forum, hoffe das der Thread im richten Teil des Forums ist und versuche mal mein Problem zu erläutern.
Es soll eine Authentification nach 802.1X für unser WLAN Netz bereitgestellt werden.
Die Benutzer werden in unserer Domäne gepflegt und sollen über ein RADIUS (NPS) vom LDAP abgerufen werden.
Außerdem soll eine VLAN Zuweisung über die RADIUS Attribute erfolgen.
Bei uns werden 2 Cisco Wireless Controller eingesetzt (WLC)
physischer: v. 7.6.110.0 (WLC)
virtueller: v. 7.0.240.0 (vWLC)
Access Point Modelle am vWLC
AIR-CAP2602I-E-K9
AIR-CAP1602I-E-K9
Access Point Modelle am WLC
AIR-LAP1252AG-E-K9
AIR-LAP1262N-E-K9
AIR-LAP1261N-E-K9
Es werden 2 Cisco WLC's aus Kostengründen verwendet, da der alte noch vorhanden ist. Somit müssen keine Lizenzen für die alten AP's am neuen vWLC angeschafft werden.
Die Access Points haben jeweils ihr eigenes VLAN in dem Sie von den WLC's gemanagte werden.
VLANS
WLC VLAN180
vWLC VLAN190
Die Ports (UDP 1645 und 1812) zwischen dem Domain Controller(IP:172.16.140.10) auf dem das LDAP + NPS installiert ist und den Management Netz für die Access Points sind freigeben. Der Domain Controller befindet sich im VLAN 140.
Die Netze werden von einer ASA Firewall getrennt. Als Sternpunkt dient ein Cisco Catalyst.
Soweit zu den Gegebenheiten.
Nun mein Problem:
Die Authentification mit dem vWLC funktioniert. Eine VLAN Zuweisung über eine SSID funktioniert anhand der Benutzerkonten.
Als EAP Typ wird PEAP über EAP-MSCHAP v2 verwendet. Da Computer auf das Netz zugreifen sollen, die nicht in der Domaine sind und keine Zertifikate auf den Clients installiert werden sollen.
Das Problem ist, dass diese Authentification nicht mit dem "alten" WLC funktioniert.
Folgendes habe ich bereits geprüft:
- Gateway vom Management Netz der alten AP ist unter RADIUS Client eingetragen
- Gemeinsamer geheimer Schlüssel erneut eingetragen.
- Radius Server eingetragen,
- WPA2 Encryption AES, Auth KEy Mgmt 802.1x
- Reinfolge für Authentication RADIUS nach ganz oben
Leider scheitert die Verbindung immer wieder. Mit iOS (IPhone 5s, MAC-Adresse: 54:ae:27:ac:27:14) und Windows 8.1 Pro.
Am NPS werden mir keine Information/Fehler zu dem VLAN180 angezeigt. Der WLC gibt jedoch dazu folgende Fehlermeldung aus:
RADIUS server 172.16.140.10:1812 failed to respond to request (ID 43) for client 54:ae:27:ac:27:14 / user 'unknown'
Am IPhone wird mir gesagt das der Benutzer und das Password falsch ist.
Wie bereits geschildert funktionier die Authentication bereits zwischen dem vWLC und dem Domain Controller (NPS)
Ich hoffe mir kann jemand helfen.
Mit freundlichen Grüßen Flais78
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265072
Url: https://administrator.de/contentid/265072
Printed on: April 19, 2024 at 15:04 o'clock
7 Comments
Latest comment
Das hiesige Forums Tutorial zu dem Thema hast du gelesen ??
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Fehlermeldung ist ja eindeutig ! Der Radius Server 172.16.140.10 auf dem Port 1812 antwortet nicht !!
Das kann 2 Ursachen haben:
1.) Die IP Adresse des Servers ist nicht erreichbar wegen falschem Routing oder Firewall Restriktionen
2.) Radius benutzt historisch 2 Ports einmal 1812 und 1645. Es ist möglich das dein Radius auf einem anderen Port hört als dein Endgerät konfiguriert hat. Das kann man in der Konfig anpassen.
Du solltest also final rausfinden warum das Gerät den Radius Server nicht erreicht ?!
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Fehlermeldung ist ja eindeutig ! Der Radius Server 172.16.140.10 auf dem Port 1812 antwortet nicht !!
Das kann 2 Ursachen haben:
1.) Die IP Adresse des Servers ist nicht erreichbar wegen falschem Routing oder Firewall Restriktionen
2.) Radius benutzt historisch 2 Ports einmal 1812 und 1645. Es ist möglich das dein Radius auf einem anderen Port hört als dein Endgerät konfiguriert hat. Das kann man in der Konfig anpassen.
Du solltest also final rausfinden warum das Gerät den Radius Server nicht erreicht ?!
Teils Teils.
Da ich ja keinen "Linux Radius" Server benutze und keine Client-Zertifikat basierte Verbindung möchte.
Es funktioniert mit dem vWLC ohne Probleme.
Aber ich krieg es einfach nicht unter dem WLC zum laufen.
Vllt. überseh ich einfach etwas.
Werde mich natürlich in das Tutorial nochmal genau einlesen.
Glaube aber kaum, dass für meinen speziellen Fall, die Lösung dort zu finden ist. Werde es aber versuchen.
Habe gerade auf dem WLC geguckt. Dort ist der Port 1812 eingetragen.
Am NPS ist für die Authentifizierung 1812 und 1645 eingetragen.
Da ich ja keinen "Linux Radius" Server benutze und keine Client-Zertifikat basierte Verbindung möchte.
Es funktioniert mit dem vWLC ohne Probleme.
Aber ich krieg es einfach nicht unter dem WLC zum laufen.
Vllt. überseh ich einfach etwas.
Werde mich natürlich in das Tutorial nochmal genau einlesen.
Glaube aber kaum, dass für meinen speziellen Fall, die Lösung dort zu finden ist. Werde es aber versuchen.
Habe gerade auf dem WLC geguckt. Dort ist der Port 1812 eingetragen.
Am NPS ist für die Authentifizierung 1812 und 1645 eingetragen.
Deine "Lösung" besteht darin rauszufinden warum der Radius vom WLC nicht erreichbar ist !
Hier hast du ein Netzwerk Problem !
Wenn du das fixt wird es auch klappen
Hier hast du ein Netzwerk Problem !
Wenn du das fixt wird es auch klappen
Hab nun eine Teillösung.
Vielleicht könnt ihr/du mir bei erklären warum und vllt eine Lösung.
Ich habe den Radius auf dem vWLC deaktiviert.
Nun funktioniert auf einmal die Authentifizierung am WLC.
Also liegt das Problem daran, dass der RADIUS keine 2 "Clients" "bedienen" autorisieren kann?
Oder habe ich da jetzt einen denkfehler?
Vielleicht könnt ihr/du mir bei erklären warum und vllt eine Lösung.
Ich habe den Radius auf dem vWLC deaktiviert.
Nun funktioniert auf einmal die Authentifizierung am WLC.
Also liegt das Problem daran, dass der RADIUS keine 2 "Clients" "bedienen" autorisieren kann?
Oder habe ich da jetzt einen denkfehler?
Also liegt das Problem daran, dass der RADIUS keine 2 "Clients" "bedienen" autorisieren kann?
Nein, das wäre Unsinn und kann es niemals sein. Stell dir ein Netzwerk mit 20 Switches vor wo jeder Switch eine Port Authentisierung nach 802.1x macht. Da bedient dann ein Radius 20 Clients.Ein Radius Server kann immer auch mehrere Clients bedienen, er MUSS es sogar können sonst wären o.a. Security Designs gar nicht möglich !
Was nicht geht ist natürlich wenn ein Request doppelt kommt.
Nach dem ich alle beteiligten Server neugestartet habe und die RADIUS Server neu eingerichtet hab. Funktionierte es.
Hört sich gut an 
