6
Radius auf Windows 2012R2
Hallo zusammen,
ich habe hier ein etwas merkwürdiges Problem.
Das Setup: Lancom AccessPoints, die Radius Authentifizierung an einem Windows 2012R2 durchführen sollen. Der Server steht allerdings hinter einem IPSEC Tunnel.
Nun habe ich das Phänomen, dass Verbindungsversuche an dem WLAN mit korrekten Benutzerdaten nach 3 Minuten vom Client mit "Kennwort falsch" abgelehnt wird. Im Log des Servers taucht aber nichts auf.
Das klingt zunächst nach einem Verbindungsproblem.
Trage bei User und Kennwort auf dem Client irgendwas falsches, also etwas wie "abcd" erscheint dieser Verbindungsversuch im Serverlog und wird natürlich abgelehnt.
Ich bin etwas ratlos wo ich ansetzen kann. Meine Anfragen kommen ja offensichtlich am Server an, werden da aber nur beschränkt bearbeitet.
Ich habe auch schon ausgeschlossen, dass die Verbindung nur von einigen AP aus funktioniert indem ich aktuell nur noch einen betreibe.
Hat jemand einen Ansatz wo sowas herkommen kann?
Beste Grüße
Christoph
ich habe hier ein etwas merkwürdiges Problem.
Das Setup: Lancom AccessPoints, die Radius Authentifizierung an einem Windows 2012R2 durchführen sollen. Der Server steht allerdings hinter einem IPSEC Tunnel.
Nun habe ich das Phänomen, dass Verbindungsversuche an dem WLAN mit korrekten Benutzerdaten nach 3 Minuten vom Client mit "Kennwort falsch" abgelehnt wird. Im Log des Servers taucht aber nichts auf.
Das klingt zunächst nach einem Verbindungsproblem.
Trage bei User und Kennwort auf dem Client irgendwas falsches, also etwas wie "abcd" erscheint dieser Verbindungsversuch im Serverlog und wird natürlich abgelehnt.
Ich bin etwas ratlos wo ich ansetzen kann. Meine Anfragen kommen ja offensichtlich am Server an, werden da aber nur beschränkt bearbeitet.
Ich habe auch schon ausgeschlossen, dass die Verbindung nur von einigen AP aus funktioniert indem ich aktuell nur noch einen betreibe.
Hat jemand einen Ansatz wo sowas herkommen kann?
Beste Grüße
Christoph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334271
Url: https://administrator.de/contentid/334271
Printed on: April 23, 2024 at 09:04 o'clock
6 Comments
Latest comment
Moin,
die Firewall-Regeln für den Tunnel sind angepasst? Ebenso die Firewall-Regeln auf dem Radius (Zugriff aus fremdem Netz, z.B.)?
Gruß
Looser
die Firewall-Regeln für den Tunnel sind angepasst? Ebenso die Firewall-Regeln auf dem Radius (Zugriff aus fremdem Netz, z.B.)?
Gruß
Looser
Ja das passt alles.
Wie gesagt, sobald ich einen Benutzer eingebe, den es nicht im AD gibt (Radius Authentifiziert gegen AD) bekomme ich auf dem Server auch die Meldung, dass der Benutzer abgelehnt wurde.
Dadurch kann ich mir sicher sein, dass die Anfragen beim Server ankommen.
Erst wenn ich einen Benutzer verwende, den es im AD gibt wird nichts mehr geloggt und der Client braucht Minuten um die Verbindung als gescheitert zu anzusehen.
Wie gesagt, sobald ich einen Benutzer eingebe, den es nicht im AD gibt (Radius Authentifiziert gegen AD) bekomme ich auf dem Server auch die Meldung, dass der Benutzer abgelehnt wurde.
Dadurch kann ich mir sicher sein, dass die Anfragen beim Server ankommen.
Erst wenn ich einen Benutzer verwende, den es im AD gibt wird nichts mehr geloggt und der Client braucht Minuten um die Verbindung als gescheitert zu anzusehen.
Passiert das auch, wenn Du z.B. den Domain-Admin als Konto nimmst?
Auch mit dem geht es nicht. Aber das hat uns evtl. einen Schritt weiter gebracht.
Der Administrator war erst nicht in der zugelassenen Sicherheitsgruppe. Dadurch bin ich darüber gestolpert, dass es nicht darum geht ob der User im AD ist, sondern ob er in der Gruppe ist.
Die Netzwerkrichtlinie sagt aus:
NAS-Porttyp -> Funk (sonstige) OR Funk (IEEE802.11)
Windows-Gruppe -> WLAN_User
Ist der Benutzer (egal welcher) in der Gruppe dauert es wie beschrieben ewig und es wird nicht gelogt. Ist der Benutzer nicht in der Gruppe kommt sofort die Ablehnung, die auch im Ereignisprotokoll protokolliert wird.
Der Administrator war erst nicht in der zugelassenen Sicherheitsgruppe. Dadurch bin ich darüber gestolpert, dass es nicht darum geht ob der User im AD ist, sondern ob er in der Gruppe ist.
Die Netzwerkrichtlinie sagt aus:
NAS-Porttyp -> Funk (sonstige) OR Funk (IEEE802.11)
Windows-Gruppe -> WLAN_User
Ist der Benutzer (egal welcher) in der Gruppe dauert es wie beschrieben ewig und es wird nicht gelogt. Ist der Benutzer nicht in der Gruppe kommt sofort die Ablehnung, die auch im Ereignisprotokoll protokolliert wird.
Der Server steht allerdings hinter einem IPSEC Tunnel.
Das spielt für die Radius Abfrage keinerlei Rolle !Das klingt zunächst nach einem Verbindungsproblem.
Das ist es dann aber auch. Auch bei einem erfolgreichen Anmeldeversuch loggt der Server das natürlich mit und auch die eingehenden Anfragen.Kommt da wirklich gar nichts ist das nicht normal.
Du solltest dann erstmal auf Accesspoint Seite direkt mit dem Wireshark nachsehen ob der AP entsprechende richtig adressierte Radius Pakete an den Radius Server aussendet. (Kommt man aber auch von selber drauf...)
Dann weisst du wenigstens sicher das die entsprechenden Pakete dort rausgehen rausgehen.
Sinnig wäre nochmal am IPsec VPN Server zu messen das die auch da richtig ankommen und geroutet werden.
Dann am anderen Ende das VPN Tunnels ob die Pakete da ankommen und final am Radius Server.
Immer strategisch vorgehen...
Es sieht in der Tat so aus als ob die Pakete doch irgendwo hängen bleiben.
Beachte auch das Radius in der Historie mehrere TCP Ports nutzt ! Früher mal TCP 1645 / 1646 aber aktuell TCP 1812 / 1813. Möglich das hier eine FW Regel nicht stimmt.
Hi,
also meine Pakete kommen sauber an. Das habe ich auf der letzten Firewall vor dem Server nachvollziehen können.
Noch sicherer bin ich deswegen, weil der Server ja Anfragen ablehnt, sobald die Richtlinie nicht passt.
Ändere ich den Radius-PSK auf AP Seite auf einen falschen erscheint die Meldung im Log
Benutze ich einen User, der nicht in der freigegebenen Gruppe ist, erscheint die Meldung im Log
Nur wenn vermeindlich alles stimmt, passiert einfach gar nichts.
Gerade weil mutwillig erzeugt Fehler zu einer Ablehnung der Verbindung führen bin ich mir sicher, dass es an der Kommunikation nicht liegen kann.
also meine Pakete kommen sauber an. Das habe ich auf der letzten Firewall vor dem Server nachvollziehen können.
Noch sicherer bin ich deswegen, weil der Server ja Anfragen ablehnt, sobald die Richtlinie nicht passt.
Ändere ich den Radius-PSK auf AP Seite auf einen falschen erscheint die Meldung im Log
Benutze ich einen User, der nicht in der freigegebenen Gruppe ist, erscheint die Meldung im Log
Nur wenn vermeindlich alles stimmt, passiert einfach gar nichts.
Gerade weil mutwillig erzeugt Fehler zu einer Ablehnung der Verbindung führen bin ich mir sicher, dass es an der Kommunikation nicht liegen kann.
