osze90
Goto Top

RADIUS Authentifizierung in WLAN

Hallo

Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema so alt ist und keiner sich meldet, eventuell auch im falschen Forum eröffne ich ein neues Thema.

Ich möchte mit meinem Windows Client wenn ich mit meinem WLAN verbinde statt der Eingabe von PSK direkt eine Anmeldemaske kommt wo ich mich den Zugangsdanten aus dem AD authentifizieren muss.

Ich habe sicher 2-3 Anleitungen für die Konfiguration gebracht daher auch ein ziemliches Chaos mitlerweile in den konfigurationen herscht. Die benutzte Anleitung ist die jenige:
http://www.matrixpost.de/blog/?p=4#comment-934

Ob die Anleitung was taugt weiss ich auch nicht. Meine Fragen konnte auch niemand bisher beantworten die ich noch zu den Anleitungen hatte.

Wäre froh jemand finden zu können der sich gut auskennt und mir weiterhelfen kann und meine Fragen beantworten kann. Mit den Anleitungen klappte es bisher ja auch nicht...

Nun als Fehler erhalte ich im NPS eventlog:

"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."

Was das auch schon immmer heissen soll... Wie lösst man das Problem die Fehlermeldung ist alles andere als hilfreich.
Was braucht ihr für Angaben von mir?


Danke.

Content-ID: 323910

Url: https://administrator.de/forum/radius-authentifizierung-in-wlan-323910.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

emeriks
emeriks 15.12.2016 um 15:24:13 Uhr
Goto Top
Hi,
"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."
https://technet.microsoft.com/de-de/library/cc735406(v=ws.10).aspx

Hast Du das schon berücksichtigt?

E.
osze90
osze90 15.12.2016 aktualisiert um 17:44:21 Uhr
Goto Top
Zitat von @emeriks:

Hi,
"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."
https://technet.microsoft.com/de-de/library/cc735406(v=ws.10).aspx

Hast Du das schon berücksichtigt?

E.

Heey emeriks

Nein.

Bei mir ist da in RADIUS-Clients nichts konfiguriert. Merkwürdig müsste da nicht die eigentliche konfguration des Access Points stehen? Welche IP hat der AP, welchen DNSnamen welche PSK etc?

Komisch das hatte ich alles mal ausgefüllt...


Und schon wieder zu früh gefreut und wieder gleiche Fehlermeldung im Eventlog nachdem ich das nochmals konfiguriert habe:


- Den Hostnamen des Access Points lässt sich vom Client aus wo ich mich per Radius verbinden will anpingen! Ist es normal das beim Client kein Zertifikat unter Eigene Zertifikate vorhanden ist? Bei der Konfiguration musste der Server bei sich selber ein Zertifikat anfordern und dieses Zertifikat musste im NPS angefügt werden?
Was ist noch falsch an meiner konfiguration?

UNGLAUBLICH!!! es funktioniert endlich face-smile Jedoch als ich statt des Hostnames die IP-Adresse im NPS und RADIUS-Client eingegeben habe. Wieso funktioniert es nur über die IP? Anpingen kann ich den Hostnamen... Was muss umkonfiguriert werden?
aqui
aqui 15.12.2016 um 20:42:36 Uhr
Goto Top
Ohne DNS Server funktioniert das nur über Name Broadcasting nur innerhalb der MS Endgeräte NICHT aber bei Infrastruktur Geräten. Deshalb ist es immer gefährlich nur mit den Namen zu arbeiten wenn kein DNS vorhanden ist.
Entweder loaklen DNS aufsetzen oder die Namen zu den IPs statisch in der Datei hosts oder lmhosts nachtragen.
Die Datei ist selbsterklärend wenn du sie editierst.
osze90
osze90 16.12.2016 um 16:27:48 Uhr
Goto Top
Zitat von @aqui:

Ohne DNS Server funktioniert das nur über Name Broadcasting nur innerhalb der MS Endgeräte NICHT aber bei Infrastruktur Geräten. Deshalb ist es immer gefährlich nur mit den Namen zu arbeiten wenn kein DNS vorhanden ist.
Entweder loaklen DNS aufsetzen oder die Namen zu den IPs statisch in der Datei hosts oder lmhosts nachtragen.
Die Datei ist selbsterklärend wenn du sie editierst.

Mittlerweile geht das auch komischerweise, ich habe nachdem ich von Hostnamen auf IP-Adresse gewechselt habe funktionierte es danach habe ich es testweise nochmals umgekehrt von IP auf Hostnamen geändert seither geht auch das...

Achso ja ich habe nur einen Client im Test-System (Domänen-Netz) mit welchem ich getestet habe, jedoch die anderen Clients die in einem anderen Netzwerk (ausserhalb der Test-Domäne) liegen klappte die Verbindung auch. Somit geht nun alles.

In meinem Domänen-Netzwerk habe ich einen DNS-Server ist doch Pflicht bei einem MS Activ Directory.

Nachdem nun alles funktioniert, habe ich noch einige Fragen anschliessend zum Thema:

- Was mich noch interessiert wozu muss ich eigentlich die Zertifizierungsstelle auf dem Server installieren?
Ich bin immer davon ausgegangen, dass jeder Client ein Zertifikat vom Server benötigt bevor er eine Verbindung zum RADIUS herstellen darf?

Zurzeit habe ich ja nur die Zertifizierungsstelle installiert, eine Zertifikatvorlage namens "Computer" erstellt und aktiviert, anschliessend auf dem Server wo die Zertifizierungsstelle installiert ist ein Zertifikat installiert und dieses Zertifikat im NPS eingetragen.
In einer der Anleitungen die ich benutzte stand ich müsse eine Gruppenrichtlinie machen und dort müsse es so konfiguriert sein, dass Clients automatisch ein Zertifikat beziehen von der Zertifizierungsstelle sobald sie versuchen eine Verbindung zum RADIUS herzustellen. Das ist doch gar nicht nötig, den ich kann mich gut auch mit Clients Verbinden die diese GPO gar nicht bezogen haben weil sie nicht in der Domäne sind.
aqui
aqui 16.12.2016 um 16:38:12 Uhr
Goto Top
Nein, der Client überprüft anhand des Radius Zertifikats den Radius Server selber. Ohne Zertifikat könntest du ja dem Client dann jeden x-beliebigen Radius Server unterjubeln und die gesamte Security kapern bzw. damit dann das ganze System ad absurdum führen.
osze90
osze90 16.12.2016 um 18:49:26 Uhr
Goto Top
Zitat von @aqui:

Nein, der Client überprüft anhand des Radius Zertifikats den Radius Server selber. Ohne Zertifikat könntest du ja dem Client dann jeden x-beliebigen Radius Server unterjubeln und die gesamte Security kapern bzw. damit dann das ganze System ad absurdum führen.

Achso heisst das also der Client überprüft nur anhand dieses Zertifikats aber selber braucht er kein Zertifikat um eine Verbindung herstellen zu dürfen? Ich hatte beim Client lange versucht ein "Computer"-Zertifikat zu beziehen vom Server und dachte es läge am Zertifikat welches ich nicht beziehen konnte das der RADIUS nicht ging.

Als ich im Server die Zertifizierungsstelle installiert habe musste ich dort für 2 Benutzergruppen unter dem Punkt "automatisch registrieren" anwählen. Jedoch wenn ich im Client unter den "Eigenen Zertifikate" schaue ist dort keines registriert.

Also wie ist das nun? Hat der Client ein Zertifikat installiert oder nicht? Was ist dieses automatisch registieren?
zert
osze90
osze90 02.01.2017 um 18:05:51 Uhr
Goto Top
Leider konnte mir noch niemand Antwort auf meine Frage geben weder aqui noch emeriks.

Sollte jemand die Antwort kennen, danke für die Hilfe.