28
Radius Server und IPHONE
Guten morgen liebes Forum,
ich habe folgende Frage bzw. Problem, aber erstmal zu den Gegebenheiten:
Wir haben einen HYPER - V Host mit 10 virtuellen Maschinen, eine Maschine der DC (DNS,DHCP (Bereich 192.168.0.150 - 192.168.5.254), Netzwerkrichtlinien-Server ) und einen UBIQUITI WLAN CONTROLLER und 16 UBIQUIT AP-PRO-HD.
Was passiert, ein Schüler oder ein Lehrer meldet sich im WLAN "schule" an und muss dann sein Benutzer (Domäne) und Passwort (Domäne) eingeben und wenn erfolgreich kommt die Watchguard wo sich der Nutzer anmelden muss zum surfen.
Der UBIQUITI Controller zeigt ja an wie viele Endgeräte drin sind, als ich VorOrt war waren es 500 Endgeräte, davon ca. 250 IPHONES.
Jetzt habe ich folgendes:
Lehrer X hat ein IPHONE 6S PLUS mit der IOS 11.0.3 und Schulleiter ein IPHONE 5 mit der 11.0.3.
Am Montag kam der Anruf der Schulleiter und einige Apple auch der LEhrer X können nicht surfen.
Ausage vom Hausmeister, wenn ich die Geräte ins WLAN schiebe, zeigt er kurz eine Verbindung an und das war es dann.
Am Mittwoch konnte der Schulleiter dann ohne zu tun surfen????????
Jetzt war ich ja vor Ort weil eine Ferndiagnose nicht gewinnbringend war!
Ich habe mir dann vor Ort das Iphone vom Lehrer X und Schulleiter geschnappt und geprüft, konnte dann aber keine UNterschiede sehen.
Was mir aber aufgefallen ist, wenn ich das Handy vom Lehrer X nehme und es ins WLAN Verbinde, bekommt das Handy kurz nee IP und ist dann raus, vergebe ich eine feste IP geht es auch nicht?
Der Hausmeister hat eine Feste IP im Netzwerk auf Handy die auch in der Watchguard freigegeben ist, damit er sich nicht dauernd authentifizieren muss.
Schalte ich beim Hausmeister das WLAN AP und gebe dem Handy des Lehrer X diese IP, kann das IPHONE surfen, auch nach mehrmaligen Neustarten des IPHONEs, jetzt kommt das lustige, nehme ich dem Handy die IP weg und stelle auf automatisch, kann das IPHONE surfen auch nachmehrmaligen Neustart, kann mir einer sagen woran das liegt?
ich habe folgende Frage bzw. Problem, aber erstmal zu den Gegebenheiten:
Wir haben einen HYPER - V Host mit 10 virtuellen Maschinen, eine Maschine der DC (DNS,DHCP (Bereich 192.168.0.150 - 192.168.5.254), Netzwerkrichtlinien-Server ) und einen UBIQUITI WLAN CONTROLLER und 16 UBIQUIT AP-PRO-HD.
Was passiert, ein Schüler oder ein Lehrer meldet sich im WLAN "schule" an und muss dann sein Benutzer (Domäne) und Passwort (Domäne) eingeben und wenn erfolgreich kommt die Watchguard wo sich der Nutzer anmelden muss zum surfen.
Der UBIQUITI Controller zeigt ja an wie viele Endgeräte drin sind, als ich VorOrt war waren es 500 Endgeräte, davon ca. 250 IPHONES.
Jetzt habe ich folgendes:
Lehrer X hat ein IPHONE 6S PLUS mit der IOS 11.0.3 und Schulleiter ein IPHONE 5 mit der 11.0.3.
Am Montag kam der Anruf der Schulleiter und einige Apple auch der LEhrer X können nicht surfen.
Ausage vom Hausmeister, wenn ich die Geräte ins WLAN schiebe, zeigt er kurz eine Verbindung an und das war es dann.
Am Mittwoch konnte der Schulleiter dann ohne zu tun surfen????????
Jetzt war ich ja vor Ort weil eine Ferndiagnose nicht gewinnbringend war!
Ich habe mir dann vor Ort das Iphone vom Lehrer X und Schulleiter geschnappt und geprüft, konnte dann aber keine UNterschiede sehen.
Was mir aber aufgefallen ist, wenn ich das Handy vom Lehrer X nehme und es ins WLAN Verbinde, bekommt das Handy kurz nee IP und ist dann raus, vergebe ich eine feste IP geht es auch nicht?
Der Hausmeister hat eine Feste IP im Netzwerk auf Handy die auch in der Watchguard freigegeben ist, damit er sich nicht dauernd authentifizieren muss.
Schalte ich beim Hausmeister das WLAN AP und gebe dem Handy des Lehrer X diese IP, kann das IPHONE surfen, auch nach mehrmaligen Neustarten des IPHONEs, jetzt kommt das lustige, nehme ich dem Handy die IP weg und stelle auf automatisch, kann das IPHONE surfen auch nachmehrmaligen Neustart, kann mir einer sagen woran das liegt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 354385
Url: https://administrator.de/contentid/354385
Printed on: April 19, 2024 at 07:04 o'clock
28 Comments
Latest comment
Moin,
wie handhabst Du denn das Zertifikat? Das iphone fragt ja explizit nach, ob es dem Zertifikat vertrauen soll.
Android hingegen ignoriert das einfach.
Gruß
Looser
wie handhabst Du denn das Zertifikat? Das iphone fragt ja explizit nach, ob es dem Zertifikat vertrauen soll.
Android hingegen ignoriert das einfach.
Gruß
Looser
und wenn erfolgreich kommt die Watchguard wo sich der Nutzer anmelden muss zum surfen.
Ziemlich technischer Kauderwelsch. Wer meldet sich wie an ? Protokoll ? Die Watchguard surft ?? Wohl kaum..Mit sowas laienhaftem in typischer Freitags Thread Form kommt man nicht wirklich zielführend weiter
Bei 802.1x Authentisierung muss das Radius Server Zertifikat installiert sein ! Ohne das geht es nicht.
Idealerweise sendet man sich das per Mail und akzeptiert dann einfach den Import...fertig.
Aber obs das wirklich ist kann man aus der wirren Beschreibung leider nicht erkennen. Bleibt wieder nur das Ratespiel am Freitag...
Hallo,
was für eine IP bekommt den das Gerät kurz?
Kann es sein das die mit 169. anfängt?
was für eine IP bekommt den das Gerät kurz?
Kann es sein das die mit 169. anfängt?
Hallo,
Sind dort alle SSIDs in einem eigenen VLAN drin oder alle WLAN Klienten in einem WLAN Netzwerk?
WLAN Netzwerk oder bzw. ihrem eignen VLAN das mittels Radius Server gesichert worden ist?
mobilen Geräte ein Voucher haben dann können sie in das WLAN Netzwerk rein und sich anmelden
und die Lehrer die ja bekanntlich länger als die Schüler in die Schule gehen die können dann eben
mittels Radius Zertifikat an das gesamte Netzwerk plus Internetzugang
wer welche Aufgaben im Netzwerk übernimmt und ob dort noch andere Server wie zum Beispiel ein AD mit LDAP oder
Radius Rolle mit im Spiel sind.
Gruß
Dobby
Wir haben einen HYPER - V Host mit 10 virtuellen Maschinen, eine Maschine der DC (DNS,DHCP (Bereich 192.168.0.150
- 192.168.5.254), Netzwerkrichtlinien-Server )
Ok das ist dann eigentlich für das die Netzwerkdomäne verantwortlich.- 192.168.5.254), Netzwerkrichtlinien-Server )
und einen UBIQUITI WLAN CONTROLLER und 16 UBIQUIT AP-PRO-HD.
Und der ist dann für alle WLAN Klienten verantwortlich. Und habt Ihr dort auch zwei SSIDs oder nur eine?Sind dort alle SSIDs in einem eigenen VLAN drin oder alle WLAN Klienten in einem WLAN Netzwerk?
Was passiert, ein Schüler oder ein Lehrer meldet sich im WLAN "schule" an und muss dann sein Benutzer
(Domäne) und Passwort (Domäne) eingeben und wenn erfolgreich kommt die Watchguard wo sich der
Nutzer anmelden muss zum surfen.
Die Schüler über ein Cpative Portal mit Vouchers und die Lehrer mittels Radius Server in ihrem eignen(Domäne) und Passwort (Domäne) eingeben und wenn erfolgreich kommt die Watchguard wo sich der
Nutzer anmelden muss zum surfen.
WLAN Netzwerk oder bzw. ihrem eignen VLAN das mittels Radius Server gesichert worden ist?
Der UBIQUITI Controller zeigt ja an wie viele Endgeräte drin sind, als ich VorOrt war waren es 500
Endgeräte, davon ca. 250 IPHONES.
Ok und was soll nun geschehen? Egal ob iPhone oder Android oder gar Blackberry OS wenn dieEndgeräte, davon ca. 250 IPHONES.
mobilen Geräte ein Voucher haben dann können sie in das WLAN Netzwerk rein und sich anmelden
und die Lehrer die ja bekanntlich länger als die Schüler in die Schule gehen die können dann eben
mittels Radius Zertifikat an das gesamte Netzwerk plus Internetzugang
Was mir aber aufgefallen ist, wenn ich das Handy vom Lehrer X nehme und es ins WLAN Verbinde,
bekommt das Handy kurz nee IP und ist dann raus, vergebe ich eine feste IP geht es auch nicht?
Und warum funktioniert das nicht?bekommt das Handy kurz nee IP und ist dann raus, vergebe ich eine feste IP geht es auch nicht?
Der Hausmeister hat eine Feste IP im Netzwerk auf Handy die auch in der Watchguard freigegeben ist,
damit er sich nicht dauernd authentifizieren muss.
Mit einem Radius Zertifikat was ein Jahr oder länger gültig ist muss man da eigentlich nicht freigeben.damit er sich nicht dauernd authentifizieren muss.
Schalte ich beim Hausmeister das WLAN AP und gebe dem Handy des Lehrer X diese IP, kann das
IPHONE surfen, auch nach mehrmaligen Neustarten des IPHONEs, jetzt kommt das lustige, nehme
ich dem Handy die IP weg und stelle auf automatisch, kann das IPHONE surfen auch nachmehrmaligen
Neustart, kann mir einer sagen woran das liegt?
Wie Du schon selber heraus gefunden hast ist eine Ferndiagnose sehr schwierig in diesem Fall da wir alle nicht wissenIPHONE surfen, auch nach mehrmaligen Neustarten des IPHONEs, jetzt kommt das lustige, nehme
ich dem Handy die IP weg und stelle auf automatisch, kann das IPHONE surfen auch nachmehrmaligen
Neustart, kann mir einer sagen woran das liegt?
wer welche Aufgaben im Netzwerk übernimmt und ob dort noch andere Server wie zum Beispiel ein AD mit LDAP oder
Radius Rolle mit im Spiel sind.
Gruß
Dobby
"wie handhabst Du denn das Zertifikat? Das iphone fragt ja explizit nach, ob es dem Zertifikat vertrauen soll.
Android hingegen ignoriert das einfach."
zertifikate sind selbsignierte die über den DC verteilt werden.
Im Netzwerkrichtlinien Server ist eingestellt
PEAP mit MSCHAPV2
Anmelden:
Der Benutzer "hans" kommt in die Schule, sein erster Tag!
Bekommt für die Anmeldung am PC seinen Benutzernamen und Passwort
Wenn er sein Handy ins WLAN einbinden will, wählt das WLAN Schule aus
muss dann Benutzernamen und Passwort eingeben, bekommt dann sobald er einen WebBrowser aufruft nochmal die Anmeldemaske von der Watchguard!
Beim Android ziegt er einem ja
EAP - MODE : PEAP
Phase 2 Authentifzierung: MSCHAPv2
Zertifikitat: nicht validieren
Benutzername:
Passwort:
Beim IPHONE macht er es wie oben genannt.
Versand des Zertifikates per MAIL habe ich auch gemacht, hat aber nichts gebracht und dem Zeritifikat bei der Abfrage habe ich vertraut.
Meine Frage war nur lediglich, was passiet da im Hintergrund wenn das IPHONE vom Lehrer X erst ins WLAN reingeht und korrekt funktioniert, wenn ich ihm einee feste IP gebe und ihm die feste wieder wegnehme und das Iphone dann vom DHCP eine automatische IP bekommt und es dann funktioniert.
Android hingegen ignoriert das einfach."
zertifikate sind selbsignierte die über den DC verteilt werden.
Im Netzwerkrichtlinien Server ist eingestellt
PEAP mit MSCHAPV2
Anmelden:
Der Benutzer "hans" kommt in die Schule, sein erster Tag!
Bekommt für die Anmeldung am PC seinen Benutzernamen und Passwort
Wenn er sein Handy ins WLAN einbinden will, wählt das WLAN Schule aus
muss dann Benutzernamen und Passwort eingeben, bekommt dann sobald er einen WebBrowser aufruft nochmal die Anmeldemaske von der Watchguard!
Beim Android ziegt er einem ja
EAP - MODE : PEAP
Phase 2 Authentifzierung: MSCHAPv2
Zertifikitat: nicht validieren
Benutzername:
Passwort:
Beim IPHONE macht er es wie oben genannt.
Versand des Zertifikates per MAIL habe ich auch gemacht, hat aber nichts gebracht und dem Zeritifikat bei der Abfrage habe ich vertraut.
Meine Frage war nur lediglich, was passiet da im Hintergrund wenn das IPHONE vom Lehrer X erst ins WLAN reingeht und korrekt funktioniert, wenn ich ihm einee feste IP gebe und ihm die feste wieder wegnehme und das Iphone dann vom DHCP eine automatische IP bekommt und es dann funktioniert.
Zitat von @108012:
Hallo,
Sind dort alle SSIDs in einem eigenen VLAN drin oder alle WLAN Klienten in einem WLAN Netzwerk?
WLAN Netzwerk oder bzw. ihrem eignen VLAN das mittels Radius Server gesichert worden ist?
mobilen Geräte ein Voucher haben dann können sie in das WLAN Netzwerk rein und sich anmelden
und die Lehrer die ja bekanntlich länger als die Schüler in die Schule gehen die können dann eben
mittels Radius Zertifikat an das gesamte Netzwerk plus Internetzugang
wer welche Aufgaben im Netzwerk übernimmt und ob dort noch andere Server wie zum Beispiel ein AD mit LDAP oder
Radius Rolle mit im Spiel sind.
Gruß
Dobby
Hallo,
Wir haben einen HYPER - V Host mit 10 virtuellen Maschinen, eine Maschine der DC (DNS,DHCP (Bereich 192.168.0.150
- 192.168.5.254), Netzwerkrichtlinien-Server )
Ok das ist dann eigentlich für das die Netzwerkdomäne verantwortlich.- 192.168.5.254), Netzwerkrichtlinien-Server )
und einen UBIQUITI WLAN CONTROLLER und 16 UBIQUIT AP-PRO-HD.
Und der ist dann für alle WLAN Klienten verantwortlich. Und habt Ihr dort auch zwei SSIDs oder nur eine?Sind dort alle SSIDs in einem eigenen VLAN drin oder alle WLAN Klienten in einem WLAN Netzwerk?
Was passiert, ein Schüler oder ein Lehrer meldet sich im WLAN "schule" an und muss dann sein Benutzer
(Domäne) und Passwort (Domäne) eingeben und wenn erfolgreich kommt die Watchguard wo sich der
Nutzer anmelden muss zum surfen.
Die Schüler über ein Cpative Portal mit Vouchers und die Lehrer mittels Radius Server in ihrem eignen(Domäne) und Passwort (Domäne) eingeben und wenn erfolgreich kommt die Watchguard wo sich der
Nutzer anmelden muss zum surfen.
WLAN Netzwerk oder bzw. ihrem eignen VLAN das mittels Radius Server gesichert worden ist?
Der UBIQUITI Controller zeigt ja an wie viele Endgeräte drin sind, als ich VorOrt war waren es 500
Endgeräte, davon ca. 250 IPHONES.
Ok und was soll nun geschehen? Egal ob iPhone oder Android oder gar Blackberry OS wenn dieEndgeräte, davon ca. 250 IPHONES.
mobilen Geräte ein Voucher haben dann können sie in das WLAN Netzwerk rein und sich anmelden
und die Lehrer die ja bekanntlich länger als die Schüler in die Schule gehen die können dann eben
mittels Radius Zertifikat an das gesamte Netzwerk plus Internetzugang
Was mir aber aufgefallen ist, wenn ich das Handy vom Lehrer X nehme und es ins WLAN Verbinde,
bekommt das Handy kurz nee IP und ist dann raus, vergebe ich eine feste IP geht es auch nicht?
Und warum funktioniert das nicht?bekommt das Handy kurz nee IP und ist dann raus, vergebe ich eine feste IP geht es auch nicht?
Der Hausmeister hat eine Feste IP im Netzwerk auf Handy die auch in der Watchguard freigegeben ist,
damit er sich nicht dauernd authentifizieren muss.
Mit einem Radius Zertifikat was ein Jahr oder länger gültig ist muss man da eigentlich nicht freigeben.damit er sich nicht dauernd authentifizieren muss.
Schalte ich beim Hausmeister das WLAN AP und gebe dem Handy des Lehrer X diese IP, kann das
IPHONE surfen, auch nach mehrmaligen Neustarten des IPHONEs, jetzt kommt das lustige, nehme
ich dem Handy die IP weg und stelle auf automatisch, kann das IPHONE surfen auch nachmehrmaligen
Neustart, kann mir einer sagen woran das liegt?
Wie Du schon selber heraus gefunden hast ist eine Ferndiagnose sehr schwierig in diesem Fall da wir alle nicht wissenIPHONE surfen, auch nach mehrmaligen Neustarten des IPHONEs, jetzt kommt das lustige, nehme
ich dem Handy die IP weg und stelle auf automatisch, kann das IPHONE surfen auch nachmehrmaligen
Neustart, kann mir einer sagen woran das liegt?
wer welche Aufgaben im Netzwerk übernimmt und ob dort noch andere Server wie zum Beispiel ein AD mit LDAP oder
Radius Rolle mit im Spiel sind.
Gruß
Dobby
Es gibt nur ein WLAN,
alle Benutzer im WLAN werden über den RADIUS abgehandelt
Hallo, ich muss das Thema noch einmal aufgreifen, denn obwohl es aufmail ging, geht seit Freitag die betroffenen IPHONE wieder nicht ins WLAN!
Der DC verteilt die Zertifikate und ist auch der Netzwerkrichtlinien Server, die Ubiquitis werrden als Radius Clients und nur einer SSID betrieben.
Die Zertifikate werden so gehabt, es muss vertraut werden, damit es geht oder was wollt ihr da wissen?
Und zur Reihenfolge, wegen dem Beitrag "Technischer Kauderwelsch", wir haben die Schule vor kurzem Übernommen, es war und soll auch so bleiben, dass die Schüler/Lehrer mit Ihren Geräten sich mit WLAN verbinden, als erstes kommt die Sicherheitsabfrage zum Thema Wlan ZUGANG, es muss der Benutzer der Domäne und Passwort eingeben werden, gegebenfalls das Zertifikat (Iphone) vertraut werden oder bei Android (dem ist es ja egal), wenn das OK ist und der Benutzer möchte jetzt Facebook oder im Internet was suchen, bekommt der Benutzer noch einmal die Anmeldemaske der Watchguard, muss dort den gleichen Benutzer und Passwort eingeben und kann sich dann im Internet bewegen.
Das klappt auch soweit!
Leider gibt es ja wie beschrieben einige IPHONES verschiedener Generationen, die nicht wollen alle haben das IO11.3 drauf.
Was mich aber so stutzig macht, wenn sich das IPHONE anmeldet ist er kurz da, bekommt eine IP ist im DNS zufinden, aber nichts geht.
Kann mir jemand helfen?
Der DC verteilt die Zertifikate und ist auch der Netzwerkrichtlinien Server, die Ubiquitis werrden als Radius Clients und nur einer SSID betrieben.
Die Zertifikate werden so gehabt, es muss vertraut werden, damit es geht oder was wollt ihr da wissen?
Und zur Reihenfolge, wegen dem Beitrag "Technischer Kauderwelsch", wir haben die Schule vor kurzem Übernommen, es war und soll auch so bleiben, dass die Schüler/Lehrer mit Ihren Geräten sich mit WLAN verbinden, als erstes kommt die Sicherheitsabfrage zum Thema Wlan ZUGANG, es muss der Benutzer der Domäne und Passwort eingeben werden, gegebenfalls das Zertifikat (Iphone) vertraut werden oder bei Android (dem ist es ja egal), wenn das OK ist und der Benutzer möchte jetzt Facebook oder im Internet was suchen, bekommt der Benutzer noch einmal die Anmeldemaske der Watchguard, muss dort den gleichen Benutzer und Passwort eingeben und kann sich dann im Internet bewegen.
Das klappt auch soweit!
Leider gibt es ja wie beschrieben einige IPHONES verschiedener Generationen, die nicht wollen alle haben das IO11.3 drauf.
Was mich aber so stutzig macht, wenn sich das IPHONE anmeldet ist er kurz da, bekommt eine IP ist im DNS zufinden, aber nichts geht.
Kann mir jemand helfen?
Mit an Sicherheit grenzender Wahrscheinlichkeit benutzt ihr SHA-1 signierte Zertifikate. Die werden bekanntlich ab iOS 10.3 nicht mehr supportet. Siehe auch hier:
https://support.apple.com/de-de/HT207459
Ihr solltet also die Zertifikate generell in SHA-256 signierte ändern, dann gibt es auch diese Probleme nicht mehr ! Obendrein ist es sicherer.
https://support.apple.com/de-de/HT207459
Ihr solltet also die Zertifikate generell in SHA-256 signierte ändern, dann gibt es auch diese Probleme nicht mehr ! Obendrein ist es sicherer.
aha okay
dann habe ich mal eine dumme frage, wie ändere ich das und wie bekomme ich die weider rein
hat das auswirkungen auf alte geräte?
dann habe ich mal eine dumme frage, wie ändere ich das und wie bekomme ich die weider rein
hat das auswirkungen auf alte geräte?
Dumme Fragen gibt es nicht es gibt nur dumme Antworten 
Das kommt darauf an wie alt. Bzw. es ist ja das Betriebssystem nicht oder nur bedingt die HW. Windows XP z.B. vor dem Service Pack 3 hat damit sicher Probleme. Es müssten also schon sehr sehr alte Geräte sein.
Du wirst so oder so langfristig nicht um eine Umstellung auf SHA256 drum rum kommen.
P.S.: Deine Shift Taste am Keyboard ist defekt. Solltest du beizeiten mal reparieren !
Das kommt darauf an wie alt. Bzw. es ist ja das Betriebssystem nicht oder nur bedingt die HW. Windows XP z.B. vor dem Service Pack 3 hat damit sicher Probleme. Es müssten also schon sehr sehr alte Geräte sein.
Du wirst so oder so langfristig nicht um eine Umstellung auf SHA256 drum rum kommen.
P.S.: Deine Shift Taste am Keyboard ist defekt. Solltest du beizeiten mal reparieren !
Ne die Shift-Taste ist nicht kaputt, der Finger ist nur lahm 
Wie ändere ich denn, das Zertifkat in SHA256 und nächste Frage warum funktioniert denn ein Iphone mit dem neuen IOS läuft ja auch nach Neustart vom Server.
Sorry für die vielen Fragen, aber in Sachen Zertifikaten bin ich eher noch wie soll man sagen, nicht fit?
Wie ändere ich denn, das Zertifkat in SHA256 und nächste Frage warum funktioniert denn ein Iphone mit dem neuen IOS läuft ja auch nach Neustart vom Server.
Sorry für die vielen Fragen, aber in Sachen Zertifikaten bin ich eher noch wie soll man sagen, nicht fit?
Hallo kann mir einer Erklären, wie man ein Zertifikat neu erstellt mit SHA256 und dieses dann in den NAP reinbekommt?
Das zertifikat für den NAP ist jetzt auf SHA256
das Iphone sieht das Zertifikat auch mit neuem Datum,
allerdings geht es immer noch nicht.
Ich bin total ratlos, der Wechsle aus SHA256 war ja schon mal für die Zukunft nicht verkehrt.
Aber kann es noch an der Watchguard liegen!
das Iphone sieht das Zertifikat auch mit neuem Datum,
allerdings geht es immer noch nicht.
Ich bin total ratlos, der Wechsle aus SHA256 war ja schon mal für die Zukunft nicht verkehrt.
Aber kann es noch an der Watchguard liegen!
Ja. Das ist dann eigentlich das einzige was da noch übrig bleibt. Das die Watchguard sich entweder nicht Standard Konform verhält oder es ein Bug in ihrer Firmware ist.
Die Watchguard Firmware hast du hoffentlich auf den allerneuesten Stand geflasht ?!
Die Watchguard Firmware hast du hoffentlich auf den allerneuesten Stand geflasht ?!
Die Watchguard ist auf den aktuellsten Stand
was könnte da denn Schief laufen
was könnte da denn Schief laufen
Mal einen Case im Watchguard Support aufgemacht ?
Was sagt die Watchguard denn überhaupt im Log bei einer fehlgeschlagenen Authentisierung ?? Das wäre ja der erste Anlaufpunkt.
Was sagt die Watchguard denn überhaupt im Log bei einer fehlgeschlagenen Authentisierung ?? Das wäre ja der erste Anlaufpunkt.
Ja ich lese noch das LOG.
Mittlerweile bin ich am überlegen ein zweites Netzwerk aufzubauen und den Radius wzischen Wegnehmen um zu testen woran es liegt
Mittlerweile bin ich am überlegen ein zweites Netzwerk aufzubauen und den Radius wzischen Wegnehmen um zu testen woran es liegt
Du kannst den LOG von der Watchguard auch mal posten, dann kann man vielleicht weiterhelfen.
Wie bekomme ich die LOGS denn raus?
Habe jetzt ein 2 WLAN aufgebaut und den Radius rauszunehmen,
leider geht es mit den IPHONES immer noch nicht.
Es scheint so zu sein, dass der DHCP keine IPs verteilt, obwohl ich noch 29% frei sind, kurz ist eine IP da dann ist er wieder weg.
leider geht es mit den IPHONES immer noch nicht.
Es scheint so zu sein, dass der DHCP keine IPs verteilt, obwohl ich noch 29% frei sind, kurz ist eine IP da dann ist er wieder weg.
Wie bekomme ich die LOGS denn raus?
Über das GUI der WG natürlich oder wenn du einen Syslog Server IP im Setup der WG definierst. Dann schickt die WG alle Log Einträge auch an den Syslog Server.Syslog Server Software gibt es kostenlos z.B. hier:
https://www.kiwisyslog.com/free-tools/kiwi-free-syslog-server
https://mikrotik.com/archive (Syslog Daemon)
https://www.draytek.com/en/download/utility/ (Syslog Tools)
Syslog SW auf dem Rechner installieren und die Rechner IP im WG Setup als Syslog Server angeben.
Über die GUI unter Dashbaord - > Traffic-Monitor.
Alternativ zu aqui seinem Vorschlag kannst du auch einen Watchguard-Dimension Server aufsetzen, auch ganz nett.
Oder über Watchguard Server Center..Möglichkeiten gibt es genug
Viele Grüße
Alternativ zu aqui seinem Vorschlag kannst du auch einen Watchguard-Dimension Server aufsetzen, auch ganz nett.
Oder über Watchguard Server Center..Möglichkeiten gibt es genug
Viele Grüße
Erst mal vielen Dank an alle,
aber ich denke ich habe den Fehler, ich teste es gerade und würde ich montag das ergebnis berichten.
aber ich denke ich habe den Fehler, ich teste es gerade und würde ich montag das ergebnis berichten.
Wir sind gespannt auf die Lösung !!!
Okay wie ich schon beschrieben habe, habe ich das Feld vom IPHONE aus aufgerollt und mit Zeichnung versucht zu entschlüsseln!
Also was ist passiert, das Handy kommt der Nutzer wählt das WLAN aus und bekommt vom Radius-Server authentifiziere dich und dann schauen wir mal.
Dann habe ich das mit mehreren IPHONES und Benutzern ausprobiert, natürlich als gegentest immer noch 2 Android - Gerät gegengeprüft.
Mit Android kein Problem!
Die Iphones haben ja immer kurz in der WLAN - Luft geschnüffelt, eine IP bekommen und dann waren die wieder raus, habe ich eine feste IP genommen, war das kein Ding, bis ich den Server auf Grund von Update neugestartet habe, dann war vorbei.
Die AD-Zertifizierungsstelle hatte ich schon auf SHA-256 upgedatet und das Zertifikat welches über den RADIUS verteilt wird, habe ich auch geändert auf SHA-256.
Die Iphone haben diese auch korrekt angezeigt, leider immer noch kein Erfolg.
Mittlerweile könnt ihr euch ja vorstellen, war ich gefrustet und der Hausmeister, der alles abbekommen hat, war auch genervt!
Ich habe also, was ich gerne tue wenn ich nicht weiter komme, eine Zeichnung zu dem Thema angefertig um dem Fehler näher zu kommen.
Dann kam mir eine IDEE, die Ihr vll. für dämlich haltet, aber ich musste ja ausschließen, ich habe also ein 2. WLAn aufgebaut ohne RADIUS und nur die Watchguard dazwischen, wegen Filterregeln und Authentifizierung der USER in der Watchguard zum AD hin, so und da kam dann der KNALL, es ging immer noch nicht???
Was habe ich also getan, die ganze Schule vom NETZ genommen, also keine Telefonie und ein paar Sachen mehr, ich habe die Watchguard aus der Gleichung rausgenommen und habe der Fritzbox die IP der Watchguard aus dem Schulnetz gegeben!
Habe das 2 . Wlan deaktiviert und nur noch den Radius betrieben, so und schon waren auf einmal anstelle von 80 IPHONES ungefähr 300 IPHONES im WLAN.
Es liegt also an der Watchguard, mittlerweile bin ich soweit, dass die Watchguard, auch ein altes Zertifikat drin hat, welches wahrscheinlich dieses Verhalten provoziert, allerdings wie es so häufig ist, wenn man Kunden übernimmt fehlt mir das Passwort für diesen Watchguard MANAGER, denn auf der WEB Oberfläche, konnte ich das Zertifikat nicht einbinden, bzw. dorrt wird ein pfx?, weiß nicht mehr wie es heißt verlangt.
Das musst ich also zu meiner Schande an die alte Firma abgeben.
Also was ist passiert, das Handy kommt der Nutzer wählt das WLAN aus und bekommt vom Radius-Server authentifiziere dich und dann schauen wir mal.
Dann habe ich das mit mehreren IPHONES und Benutzern ausprobiert, natürlich als gegentest immer noch 2 Android - Gerät gegengeprüft.
Mit Android kein Problem!
Die Iphones haben ja immer kurz in der WLAN - Luft geschnüffelt, eine IP bekommen und dann waren die wieder raus, habe ich eine feste IP genommen, war das kein Ding, bis ich den Server auf Grund von Update neugestartet habe, dann war vorbei.
Die AD-Zertifizierungsstelle hatte ich schon auf SHA-256 upgedatet und das Zertifikat welches über den RADIUS verteilt wird, habe ich auch geändert auf SHA-256.
Die Iphone haben diese auch korrekt angezeigt, leider immer noch kein Erfolg.
Mittlerweile könnt ihr euch ja vorstellen, war ich gefrustet und der Hausmeister, der alles abbekommen hat
, war auch genervt!Ich habe also, was ich gerne tue wenn ich nicht weiter komme, eine Zeichnung zu dem Thema angefertig um dem Fehler näher zu kommen.
Dann kam mir eine IDEE, die Ihr vll. für dämlich haltet, aber ich musste ja ausschließen, ich habe also ein 2. WLAn aufgebaut ohne RADIUS und nur die Watchguard dazwischen, wegen Filterregeln und Authentifizierung der USER in der Watchguard zum AD hin, so und da kam dann der KNALL, es ging immer noch nicht???
Was habe ich also getan, die ganze Schule vom NETZ genommen, also keine Telefonie und ein paar Sachen mehr, ich habe die Watchguard aus der Gleichung rausgenommen und habe der Fritzbox die IP der Watchguard aus dem Schulnetz gegeben!
Habe das 2 . Wlan deaktiviert und nur noch den Radius betrieben, so und schon waren auf einmal anstelle von 80 IPHONES ungefähr 300 IPHONES im WLAN.
Es liegt also an der Watchguard, mittlerweile bin ich soweit, dass die Watchguard, auch ein altes Zertifikat drin hat, welches wahrscheinlich dieses Verhalten provoziert, allerdings wie es so häufig ist, wenn man Kunden übernimmt fehlt mir das Passwort für diesen Watchguard MANAGER, denn auf der WEB Oberfläche, konnte ich das Zertifikat nicht einbinden, bzw. dorrt wird ein pfx?, weiß nicht mehr wie es heißt verlangt.
Das musst ich also zu meiner Schande an die alte Firma abgeben.
Es liegt also an der Watchguard,
Das hatten wir alle hier ja ganz oben schon vermutet wenn man Kunden übernimmt fehlt mir das Passwort für diesen Watchguard MANAGER,
Dann hat der Kunde vom alten Einrichter ja eine vollständige Dokumentation wo das Passwort vermerkt ist !!Damit wäre es ja ein Kinderspiel.
Ein Update auf die aktuellste Watchguard Firmware UND eine Erneuerung der Zertifikate dort wäre vermutlich die Lösung.
Bleibt ja dann eigentlich nur noch:
How can I mark a post as solved?
Vom alten Einrichter gibt es keine DOKU bzw. die Rücken die nicht raus!
VIELEN DANK AN ALLE!
VIELEN DANK AN ALLE!
Hey Finchen961998,
du sagst:
Ich nehme an du bist Admin wenn du dich in der GUI der Watchguard einloggst.
Geh dort doch mal unter System -> Users and Roles.
Ganz oben steht vermutlich der Device Administrator(Role), drunter ein Benutzer für den Device-Monitor.
Dieses PW kannst du dadrüber zurücksetzen, somit kommst du auch wieder in den Watchguard Systemmanager.
Du loggst dich nämlich meist nur mit der Rolle Device-Monitor ein(im Manager), erst wenn Ändernungen über den Manager auf der Watchguard gemacht werden sollen, wird das Admin-PW abgefragt!
Vielleicht hilft dir das ja weiter
Viele Grüße
du sagst:
fehlt mir das Passwort für diesen Watchguard MANAGER
Ich nehme an du bist Admin wenn du dich in der GUI der Watchguard einloggst.
Geh dort doch mal unter System -> Users and Roles.
Ganz oben steht vermutlich der Device Administrator(Role), drunter ein Benutzer für den Device-Monitor.
Dieses PW kannst du dadrüber zurücksetzen, somit kommst du auch wieder in den Watchguard Systemmanager.
Du loggst dich nämlich meist nur mit der Rolle Device-Monitor ein(im Manager), erst wenn Ändernungen über den Manager auf der Watchguard gemacht werden sollen, wird das Admin-PW abgefragt!
Vielleicht hilft dir das ja weiter
Viele Grüße
