Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Radius auth. funktioniert nicht durch einen statischen VPN Tunnel?

Mitglied: ogghi88

ogghi88 (Level 1) - Jetzt verbinden

16.09.2020 um 12:54 Uhr, 324 Aufrufe, 17 Kommentare, 2 Danke

Hallo,

ich hoffe das hier jemand etwas input hat zu meinem Problem.

Setup: 2x Win Server2008R2 mit NPS (1x backup), in site 1.
Unifi VM mit WLAN Setup (site 1), access points verteilt in site 1 und (per VPN) site 2.

Bei site 1 funktioniert die auth. per Radius, von site 2 nicht.

Site 1: https://hastebin.com/gagurowahu.css

Site 2: https://hastebin.com/kicacunugi.css

Firewall ist alles offen im Tunnel, auch alles andere geht ohne Problem durch den Tunnel.

Hat jemand eine Idee was das grob sein könnte?

Viele Grüsse
David
Mitglied: Looser27
16.09.2020 um 13:20 Uhr
Bitte keine externen Links.....Du kannst die Bilder auch hier hochladen. Danke.
Bitte warten ..
Mitglied: ogghi88
16.09.2020 um 13:30 Uhr
Hallo, sind keine Bilder sondern logs. Sollte ich die direkt einfügen?
Bitte warten ..
Mitglied: Looser27
16.09.2020 um 13:32 Uhr
Jep....

mit

Codeblock einfügen bleibt das gut lesbar.
Bitte warten ..
Mitglied: ogghi88
16.09.2020 um 13:43 Uhr
Kann es nicht editieren da es zu viele Änderungen sind...
Bitte warten ..
Mitglied: Looser27
16.09.2020 um 13:46 Uhr
dann poste es neu drunter.....
Bitte warten ..
Mitglied: ogghi88
16.09.2020 um 14:49 Uhr
Klar doch!

Site 1 wo es klappt:
Site 2 wo es nicht geht:

Bitte warten ..
Mitglied: aqui
17.09.2020 um 09:05 Uhr
Zeigt ja das die Radius Requests ggf. nicht ankommen am Server bzw. nicht durch den VPN Tunnel geroutet werden ?!
Ein Traceroute an die Ziel IP wäre also hilfreich um zu sehen das der Request wirklich durch den Tunnel geht.
Hast du das zusätzlich auch einmal mit NTRadPing Check wasserdicht getestet von der Seite ?
https://support.secureauth.com/hc/en-us/articles/360019651812-How-To-Tes ...
Weitere Infos zu so einem Setup auch HIER.
Bitte warten ..
Mitglied: Looser27
17.09.2020 um 09:18 Uhr
Hat die Site2 keinen eigenen DC? Sind die User an Site2 Domain-User?

...läßt ein wenig daran zweifeln.
Bitte warten ..
Mitglied: ogghi88
17.09.2020 um 09:22 Uhr
Ja, domain controller sind aber nur bei site1. Domain logon funktioniert von dortigen Win Maschinen auch ohne Probleme. Ist nur das WLAN das da nicht klappt...
Bitte warten ..
Mitglied: ogghi88
18.09.2020 um 14:10 Uhr
Das lässt mich ja daran denken das da im Tunnel verloren geht, kann aber kaum sein. Ist ja alles offen für den Tunnel?
Bitte warten ..
Mitglied: Looser27
18.09.2020, aktualisiert um 14:17 Uhr
Der Unifi Controller kennt auch das Netzwerk an Site2?
Welche Controller-Version hast Du laufen?
Bitte warten ..
Mitglied: aqui
18.09.2020 um 14:51 Uhr
kann aber kaum sein. Ist ja alles offen für den Tunnel?
Sein kann alles wenn das VPN falsch konfiguriert wurde !!!
Ein Traceroute oder Pathping klärt das aber innerhalb von Sekunden...
Bitte warten ..
Mitglied: ogghi88
18.09.2020 um 16:38 Uhr
Ist alles soweit ping-bar.

Alles AP's sind im 172.16.0/21 (stretched LAN über die beiden Sites).
RADIUS Server sind aber auf Site 1 in einem 192.168.1.1/24 subnet (legacy).
Pingbar ist alles von allen Seiten.
Bitte warten ..
Mitglied: aqui
18.09.2020, aktualisiert um 18:04 Uhr
Dann einmal den Radius Server debuggen. Wenns ein FreeRadius ist mit freeradius -X. Oder in dessen Log sehen was passiert wenn Radius Requests vom remoten Standort dort eingehen.
Wenns ein Winblows Radius (NPS) ist, könnte die lokale Firewall remote Requests blocken wenn man die nicht customized hat !
Sehr hilfreich wäre auch ein Wireshark Trace am Radius Server Standort der mal den spezifischen Radius Request des remoten APs und auch den Reply des Servers mitschneidet. Damit kann man schon zu 98% sehen wo ein mögliches Problem liegt.
Bitte warten ..
Mitglied: ogghi88
21.09.2020 um 13:48 Uhr
Ist leider Winblows...

Firewall lässt alles zu den relevanten Ports zu.

Da fehlt mir etwas wissen denke ich, aber in Wireshark sieht ein dump auf dem ADC so aus:

tcpdump - Klicke auf das Bild, um es zu vergrößern

Sieht das nach was brauchbaren aus? Welchen Inhalt sollte ich genauer anschauen?
Bin da definitiv etwas n00b, danke darum für Geduld und Hilfe!
Bitte warten ..
Mitglied: aqui
21.09.2020, aktualisiert um 16:05 Uhr
Hilfreich wäre gewesen wenn du zu den IP Adressen einmal angegeben hättest wer wer ist. Also raten wir mal im freien Fall... 192.168.141.10 = Radius Server und 172.16.0.56 = WLAN AP, richtig ?!

Das Problem ist aber schon sofort auch für einen Laien zu sehen !
Der Server antwortet ja nicht auf den Radius Request den der AP verzweifelt immer und immer wieder sendet. Bzw. nur ein einziges Mal.
Da gibt es mehrere Möglichkeiten einer Ursache:
  • Das 172.16.0.0 /24 er Netz ist im Radius vergessen worden einzutragen das dort Requests akzeptiert werden. (Entspricht der client.conf im FreeRadius Server)
  • Das Radius Passwort ist falsch oder gar nicht eingetragen worden im AP (Case sensitive !)
  • Die Winblows Firewall blockt Zugriffe aus dem 172.16.0.0er Netz
Eins oder alle 3 dieser Punkte ist es.
Wenn du dir im Wireshark den Request Paket Inhalt ansiehst (mittleres Wireshark Fenster) dann siehst du auch genau was der AP an Daten an den Radius Server übermittelt. Auch die "Challenge" Antwort wäre mal interessant vom Inhalt. Leider fehlt das.
Auch das NPS Server Log wäre hilfreich. Sofern der Radius diesen Request überhaupt "sieht" und die lokale Firewall ihn nicht eh schon vorher weggefischt hat.
Aber der Fehler ist eindeutig. Request kommt fehlerfrei am Server an, Server antwortet nicht auf den Request.
Bitte warten ..
Mitglied: ogghi88
23.09.2020 um 10:39 Uhr
Hallo aqui,

danke für deine Hilfe!

Leider kann ich die 3 Punkte ausschliessen, bin mir sicher:
1. Das Netz ist das Gleiche, egal von welcher Site (spanned per VPN Tunnel)
2. Passwort stimmt, ist per Template und somit gleich auf beiden Sites.
3. Winblows firewall erlaubt NPS den Zugriff ohne Einschränkung.

Auch sieht es ja auf als kommt was an beim Radius NPS server:

radius.again - Klicke auf das Bild, um es zu vergrößern


Nun frage ich mich ob hier doch im Tunnel was verloren geht? Sollte nicht, da auch in den PFsense firewalls alles durch den Tunnel erlaubt ist.

Schwieriger Fall?
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS
Mikrotik WLAN-Probleme bei RADIUS-Auth
Frage von hummusMikroTik RouterOS47 Kommentare

Guten Morgen, ich habe hier aktuell 6 Mikrotik cAP lite im Einsatz, wobei einer von denen auch als CAPsMAN ...

Router & Routing
Tunnel VPN to VPN
Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

LAN, WAN, Wireless
VPN Tunnel aufbauen
gelöst Frage von Hajo2006LAN, WAN, Wireless16 Kommentare

Hallo, also ich habe mal eine Frage. Ich möchte gerne einen VPN-Tunnel aufbauen. Doch das Problem was sich stellt ...

Netzwerke
Statisch routen Vlan Switch
gelöst Frage von decehakanNetzwerke7 Kommentare

Hallo Zusammen, zur Lernzwecken beschäftigte ich mich mit statisches Routen und hab dazu eine einfach Frage. Ich hab hier ...

Windows Server
VPN-Tunnel + RDP Client
Frage von ZeppelinWindows Server10 Kommentare

Hallo Community, ich bin auf der Suche nach einer speziellen Softwarelösung und vielleicht kann mir da jemand von euch ...

LAN, WAN, Wireless
RDP über VPN-Tunnel
Frage von FFSephirothLAN, WAN, Wireless16 Kommentare

Servus zusammen, ganz kurze Frage: Welche Einstellungen muss ich in der WIN 10 Firewall ändern, damit ich RDP über ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Regelmäßige Änderungen der Passwörter erhöhen wirklich die Sicherheit?
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen23 Kommentare

Guten Abend zusammen, genau die Frage stelle ich mir. Erhöht es tatsächlich den Sicherheitsfaktor, wenn die Passwörter regelmäßig geändert ...

Hyper-V
Hyper-V VM Copy Performance innerhalb der VM
gelöst Frage von tobitobsnHyper-V20 Kommentare

Folgendes Situation: Hyper-V Host mit 2xSSD (RAID1) mit OS und 2xHDD (RAID1) für Daten. Der Host hat aktuell (noch) ...

Exchange Server
Exchange News and Announcements - Microsoft Ignite 2020
Ticker von DaniExchange Server10 Kommentare

Today we are announcing that the next versions of Exchange Server, SharePoint Server, Skype for Business Server and Project ...

LAN, WAN, Wireless
EC Geräte kommen nicht durch Firewall
gelöst Frage von newit1LAN, WAN, Wireless10 Kommentare

Hallo, habe eine Sophos Firewall im Einsatz. Dort wurde eine Regel erstellt, dass die EC Geräte auf bestimmten Ports ...

Switche und Hubs
Empfehlung Switch für SoHo
gelöst Frage von TomStuSwitche und Hubs7 Kommentare

Werte Administratoren! Seit Tagen quäle ich mich bei der Suche nach einem neuen Switch. Da ich hier auf administrator.de ...

Windows Server
Bücher zu Thema Windows Server
Frage von simpsonettiWindows Server7 Kommentare

Moin, wie der Betreff schon sagt suche ich Bücher zum Thema Windows Server 2016/19 wo es speziell um das ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN