verwirrteruser
Goto Top

Problem mit WLAN Anbindung und Radius Server

Hallo zusammen,

folgendes Problem:

wir verwenden einen Radius Server damit sich die Geräte im WLAN anmelden können.
Dies funktioniert auch mit namenhaften APs, nun aber seit neusten nicht mehr mit den TP-Link WR1043ND, welcher als AP eingestellt ist.

Dieser lehnt alle Computer direkt ab ohne Password anfrage (MS PAES), Mobilgeräte bzw. Nicht-Windows Geräte funktionieren allerdings nach der Anfrage der Windows Anmeldung.

Verbingungsanforderung:
NAS-Porttyp = Funk (sonstige) OR Funk (IEEE 802.11)

Netzwerkrichtlinie:
NAS-Porttyp = Funk (sonstige) OR Funk (IEEE 802.11)
Windows-Gruppe = Domänen-Clients OR WLAN_Gruppe

An allen anderen APs, welche wirklich APs sind, funktionieren diese Einstellungen.
Woran liegt das Problem?

Ich habe heute nochmal die Firmware des TP-Link Routers aktualisiert.

PS.: Gruppen Namen wurden aus Datenrechtlichengründen geändert.

VG

Content-ID: 345810

Url: https://administrator.de/forum/problem-mit-wlan-anbindung-und-radius-server-345810.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 12:23:11 Uhr
Goto Top
Hi,

Das Teil ist aus meiner Sicht mehr Router als AP.
Besorg Dir nen richtigen AP (mit entsprechender Unterstützung), dann sollte es keine Probleme geben.

Ich verwende bei uns Ubiquiti Unifi AP-LR Accesspoints.
Läuft wie Drecksau. face-smile

Grüße,
VerwirrterUser
VerwirrterUser 09.08.2017 um 12:25:37 Uhr
Goto Top
Wir benuitzen eigentlich auch die Sophos AP55. Die sind auch mega und können das alles.
Es geht nur darum, wir haben vor mehreren Monaten eine Zweigstelle eröffnet, welche direkt mit uns verbunden ist, dort hat anfangs alles geklappt soweit ich das beurteilen kann. Jetzt seit ein paar Monaten funktioniet das nicht mehr.
Ich weiß werde ob was geändert wurde noch in was.
Daher die Frage.

Das der Router als AP keine dauerlösung ist, ist mir sowie meiner Abteilungsleiterin vollkommen bewusst. Es is nur eine Lösung auf Zeit - nicht auf dauer.

VG
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 um 12:41:24 Uhr
Goto Top
Erzeugt denn der AP ein verlässliches Log?
Vielleicht erreicht er den Radius nicht
VerwirrterUser
VerwirrterUser 09.08.2017 um 13:09:20 Uhr
Goto Top
Wäre komisch, denn Zeitgleich funktioniert es mit meinem Handy (Andorid) Beispielsweise.
VerwirrterUser
VerwirrterUser 09.08.2017 um 13:19:30 Uhr
Goto Top
Leider bietet der Router keine großen Log möglichkeiten, nur ein normales Log welches nichts verzeichnet hat.
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 um 13:27:41 Uhr
Goto Top
Die WIndowsbüchsen müssten in den Eventlogs etwas dazu schreiben.
VerwirrterUser
VerwirrterUser 09.08.2017 um 13:32:42 Uhr
Goto Top
Nichts dazu gefunden was auf einen Fehler hindeuten könnte.

VG
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 um 13:37:41 Uhr
Goto Top
Auch nicht auf dem Radius?!
VerwirrterUser
VerwirrterUser 09.08.2017 um 14:21:23 Uhr
Goto Top
Nein garnichts, scheint alles normal zu funktionieren.
Kann man ein erweiteres Log ansehen? Also wer sich beim Radius versucht anzumelden?
133883
Lösung 133883 09.08.2017 aktualisiert um 14:47:46 Uhr
Goto Top
Gibt es en masse an folgenden Stellen:

screenshot

screenshot

screenshot

Gruß
VerwirrterUser
VerwirrterUser 09.08.2017 um 14:58:55 Uhr
Goto Top
WoW! Das hat mir weitergeholfen. Aber ich habe nachdem AP gesucht und viele Einträge gefunden, diese sind aber nur über erfolgreiche Anmeldungen. Die gescheiterten tauchen darin überhaupt gar nicht erst auf.
Ich habe um den Zeitpunkt rum als ich mich angemeldet habe gesucht, denn kurz davor habe ich versucht mich mit meinem Notebook anzumelden was nicht funktioniert hat. Mein Handy aber funktionierte.
Dies sehe ich auch im Log, also das mein Handy funktioniert - was fehlt ist der fehlgeschlagenen Anmeldeversuch meines Notebooks.

Das heißt, das der TP-Link die Anfrage gar nicht weiterleitet?

VG
133883
Lösung 133883 09.08.2017 aktualisiert um 15:05:55 Uhr
Goto Top
Das heißt, das der TP-Link die Anfrage gar nicht weiterleitet?
Wenn dein Handy sich per Radius an diesem AP erfolgreich verbindet, sicherlich nicht!

Wenn überhaupt keine Meldungen ankommen ist dies in der im Bild gesetzten Einstellung etweder deaktiviert oder dein AP (Radius Client) kommuniziert erst gar nicht erfolgreich mit dem NPS.

screenshot

Wenn beide Anmeldungen über den selben Radius Client stattgefunden haben und das Telefon funktioniert ist dein Notebook und dessen Config das Problem. Das lässt sich aber zuverlässig aus den Logs des Clients und Servers herauslesen!
VerwirrterUser
VerwirrterUser 09.08.2017 um 15:07:09 Uhr
Goto Top
Die Enstellungen im NPS sind identisch.
Ich werde die Konfiguration beim Kollegen überprüfen.

Danke.
VerwirrterUser
VerwirrterUser 09.08.2017 aktualisiert um 15:34:12 Uhr
Goto Top
Ich hab den Fehler gefunden.
Wenn man das Netzwerk Manuell hinzufügt und bei erweiterten Einstellungen den Haken rein macht, das dies eine Computer- bzw. Benutzer Authentifizierung ist. Funktioniert das ganze. Aus irgendwelchen Gründen kann der Router diese Konfiguration nicht mitsenden und somit lehnt der Radius die Verbindung vermutlich direkt ab, da die Netzwerkverbindungseinstellungen nicht korrekt sind. Dadurch auch keine Logs?

Trotzdem vielen lieben Dank an alle!!!
133883
133883 09.08.2017 aktualisiert um 17:35:26 Uhr
Goto Top
Zitat von @VerwirrterUser:

Ich hab den Fehler gefunden.
Wenn man das Netzwerk Manuell hinzufügt und bei erweiterten Einstellungen den Haken rein macht, das dies eine Computer- bzw. Benutzer Authentifizierung ist. Funktioniert das ganze.
Dacht ich mir doch, Fehler auf Layer-8 <(:--), dafür ist Radius ja auch nicht vorgesehen. Die Verbindung richtet man hier entweder immer manuell oder via GPO über die Drahtlos-Richtlinie (Sicherheitsrichtlinie) für den User passend ein.
somit lehnt der Radius die Verbindung vermutlich direkt ab, da die Netzwerkverbindungseinstellungen nicht korrekt sind. Dadurch auch keine Logs?
Falsche Kommunikations-Einstellungen = Radius sagt : Is nich, kenn ich nich = Keine Logs am Server.
Ein Blick mir Wireshark hätte es einem direkt Schwarz auf Weiß verraten face-wink.
Trotzdem vielen lieben Dank an alle!!!
Bitte.