Windows Radius für WLAN über Sophos UTM als Client
Hallo Leute,
ich versuche gerade unser WLAN auf Radius - Authentifizierung umzustellen.
Soweit ist auch alles eingerichtet, nur bekomme ich keine Verbindung und im Radius werden immer folgende Fehler geloggt.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.
Das Zertifikat von Server ist gültig und auch installiert.
Hier mal die Konfig vom Radius:
Verbindungsanforderung:
Netzwerkrichtlinie:
Die Sophos ist als Radius Client konfiguriert und reicht auch die Daten an den Radius durch. Sie logt immer folgende Meldungen:
Hat einer von Euch eventuell eine Lösung? Diverse Foren und gegoogle hat mich leider nicht weitergebracht.
Schönes Wochenende und Gruß Bombastics
ich versuche gerade unser WLAN auf Radius - Authentifizierung umzustellen.
Soweit ist auch alles eingerichtet, nur bekomme ich keine Verbindung und im Radius werden immer folgende Fehler geloggt.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.
Das Zertifikat von Server ist gültig und auch installiert.
Hier mal die Konfig vom Radius:
Verbindungsanforderung:
- Typ des Netzwerkzugriffsservers : Nicht angegeben
- NAS-Bezeichners: WLAN_INTERN
- NAS-Porttyp: Funkt (IEEE 802.11) oder Funkt (Sonstiges)
Netzwerkrichtlinie:
- Zugriff gewähren: Aktiv
- Benutzerkonto-Einwähleigenschaften ignorieren: Aktiv
- Typ des Netzwerkzugriffsservers : Nicht angegeben
- Bedignungen: Benutzergruppe aus der Domäne mit Benutzern und Laptops
- Einschränkungen: - Authenfizierungsmethode -- EAP-Typen: MS geschütztes EAP (PEAP) & MS geschütztes Kennwort (EAP-MSCHAPv2)
- Einschränkungen: - Authenfizierungsmethode -- MS verschlüsselte Authenfizierungsmethode Version 2 aktiv
- Einschränkungen: - Authenfizierungsmethode -- MS verschlüsselte Authenfizierungsmethode aktiv
- Einstellungen: Radius-Attribute alles Standard
- Einstellungen: Netzwerkzugriffschutz - NAP-Erzwingen -- Vollständigen Netzwerkzugriff gewähren
- Einstellungen: Routing uns RAS - Mehrfachverbindungen... -- Servereinstellungen bestimmen .... aktiviert
- Einstellungen: Routing uns RAS - IP-Filter -- Keine
- Einstellungen: Routing uns RAS - Verschlüsselung -- Alle bis auf Keine Verschlüsselung
- Einstellungen: Routing uns RAS - IP-Einstellungen -- IP-Adresse durch Server zusteilen
Die Sophos ist als Radius Client konfiguriert und reicht auch die Daten an den Radius durch. Sie logt immer folgende Meldungen:
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: authenticated
2018:04:27-12:40:15 A400488C52A73AD awelogger[5167]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: associated (aid 1)
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: STA identity 'zsolt.Hermann@MEINEDOMAIN.de'
2018:04:27-12:40:15 A400488C52A73AD awelogger[5167]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: authentication failed - EAP type: 25 (unknown)
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: disassociated
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: authenticated
2018:04:27-12:40:18 A400488C52A73AD awelogger[5167]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: associated (aid 1)
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: STA identity 'INTRANET\zsolth'
2018:04:27-12:40:18 A400488C52A73AD awelogger[5167]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"
2018:04:27-12:40:19 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: authentication failed - EAP type: 25 (unknown)
2018:04:27-12:40:24 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: deauthenticated due to local deauth request
Hat einer von Euch eventuell eine Lösung? Diverse Foren und gegoogle hat mich leider nicht weitergebracht.
Schönes Wochenende und Gruß Bombastics
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372433
Url: https://administrator.de/contentid/372433
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Am Radius liegt es vermutlich nicht sondern an den User Credentials so wie sich das anhört.
Guckst du auch hier:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.matrixpost.de/blog/?p=4
Grundlagen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Läuft die Radius Client Abfrage mit dem NTRadPing Test Tool sauber durch: https://www.novell.com/coolsolutions/tools/14377.html
Was meinst du genau mit "Sophos UTM als Client" ?
Ist das eine UTM die sich als normaler WLAN Client mit Enterprise WPA am Radius Server authentisiert, sprich wie ein normaler WLAN PC oder Smatrphone Client auch ?
Guckst du auch hier:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.matrixpost.de/blog/?p=4
Grundlagen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Läuft die Radius Client Abfrage mit dem NTRadPing Test Tool sauber durch: https://www.novell.com/coolsolutions/tools/14377.html
Was meinst du genau mit "Sophos UTM als Client" ?
Ist das eine UTM die sich als normaler WLAN Client mit Enterprise WPA am Radius Server authentisiert, sprich wie ein normaler WLAN PC oder Smatrphone Client auch ?
Moin,
wie lautet eure interne DOmain denn?
auch @meinedomain.de?
und erweitere für den NPS mal unter Windows das Logging wie folgt (Admin-Rechte erforderlich):
Dann solltest du noch ein paar Infos mehr bekommen.
Was kommt den eigentlich am RADIUS selbst an?
Hast du unter Ereignisanzeige -> Benutzerdefinierte Ansichten -> Serverrollen > Netzwerkrichtlinen- und Zugriffsdienste schon rein geschaut?
Gruß
em-pie
wie lautet eure interne DOmain denn?
auch @meinedomain.de?
und erweitere für den NPS mal unter Windows das Logging wie folgt (Admin-Rechte erforderlich):
auditpol /set /subcategory:"Netzwerkrichtlinienserver" /success:enable /failure:enable
Dann solltest du noch ein paar Infos mehr bekommen.
Was kommt den eigentlich am RADIUS selbst an?
Hast du unter Ereignisanzeige -> Benutzerdefinierte Ansichten -> Serverrollen > Netzwerkrichtlinen- und Zugriffsdienste schon rein geschaut?
Gruß
em-pie
Die UTM 9 fungiert für das WLAN als Radius Client und reicht die Authentifizierung an den Radius Server weiter.
Das wäre sehr ungewöhnlich und auch mehr als unüblich. Bist du dir da sicher ?Für gewöhnlich wird WPA2 Enterprise immer auf den APs direkt konfiguriert und auch die Radius Server IP auf den APs als Ziel eingegeben.
Die Radius Requests gehen dann direkt von den APs zum Radius Server. So wäre es klassisch und auch üblich.
Es ist doch auch völlig sinnfrei die UTM als Radius "Durchlauferhitzer" zu nutzen. Was sollte der tiefere Sinn von sowas sein ? Eigentlich vollkommen überflüssig.