bombastics
Apr 27, 2018
view8113
view5
0
Goto Top

Windows Radius für WLAN über Sophos UTM als Client

GermansolvedQuestionLAN, WAN, WirelessNetworks
Hallo Leute,

ich versuche gerade unser WLAN auf Radius - Authentifizierung umzustellen.

Soweit ist auch alles eingerichtet, nur bekomme ich keine Verbindung und im Radius werden immer folgende Fehler geloggt.

Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.


Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.


Das Zertifikat von Server ist gültig und auch installiert.

Hier mal die Konfig vom Radius:

Verbindungsanforderung:
  • Typ des Netzwerkzugriffsservers : Nicht angegeben
  • NAS-Bezeichners: WLAN_INTERN
  • NAS-Porttyp: Funkt (IEEE 802.11) oder Funkt (Sonstiges)

Netzwerkrichtlinie:
  • Zugriff gewähren: Aktiv
  • Benutzerkonto-Einwähleigenschaften ignorieren: Aktiv
  • Typ des Netzwerkzugriffsservers : Nicht angegeben

  • Bedignungen: Benutzergruppe aus der Domäne mit Benutzern und Laptops

  • Einschränkungen: - Authenfizierungsmethode -- EAP-Typen: MS geschütztes EAP (PEAP) & MS geschütztes Kennwort (EAP-MSCHAPv2)
  • Einschränkungen: - Authenfizierungsmethode -- MS verschlüsselte Authenfizierungsmethode Version 2 aktiv
  • Einschränkungen: - Authenfizierungsmethode -- MS verschlüsselte Authenfizierungsmethode aktiv

  • Einstellungen: Radius-Attribute alles Standard
  • Einstellungen: Netzwerkzugriffschutz - NAP-Erzwingen -- Vollständigen Netzwerkzugriff gewähren
  • Einstellungen: Routing uns RAS - Mehrfachverbindungen... -- Servereinstellungen bestimmen .... aktiviert
  • Einstellungen: Routing uns RAS - IP-Filter -- Keine
  • Einstellungen: Routing uns RAS - Verschlüsselung -- Alle bis auf Keine Verschlüsselung
  • Einstellungen: Routing uns RAS - IP-Einstellungen -- IP-Adresse durch Server zusteilen

Die Sophos ist als Radius Client konfiguriert und reicht auch die Daten an den Radius durch. Sie logt immer folgende Meldungen:


2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: authenticated
2018:04:27-12:40:15 A400488C52A73AD awelogger[5167]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: associated (aid 1)
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: STA identity 'zsolt.Hermann@MEINEDOMAIN.de'  
2018:04:27-12:40:15 A400488C52A73AD awelogger[5167]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: authentication failed - EAP type: 25 (unknown)
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: disassociated
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: authenticated
2018:04:27-12:40:18 A400488C52A73AD awelogger[5167]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: associated (aid 1)
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: STA identity 'INTRANET\zsolth'  
2018:04:27-12:40:18 A400488C52A73AD awelogger[5167]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:19 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: authentication failed - EAP type: 25 (unknown)
2018:04:27-12:40:24 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: deauthenticated due to local deauth request


Hat einer von Euch eventuell eine Lösung? Diverse Foren und gegoogle hat mich leider nicht weitergebracht.

Schönes Wochenende und Gruß Bombastics
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 372433

Url: https://administrator.de/contentid/372433

Printed on: April 27, 2024 at 09:04 o'clock

5 Comments
Latest comment
Goto Top
Member: aqui
Solution aqui Apr 27, 2018 updated at 11:44:44 (UTC)
Goto Top
Am Radius liegt es vermutlich nicht sondern an den User Credentials so wie sich das anhört.
Guckst du auch hier:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.matrixpost.de/blog/?p=4
Grundlagen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Läuft die Radius Client Abfrage mit dem NTRadPing Test Tool sauber durch: https://www.novell.com/coolsolutions/tools/14377.html

Was meinst du genau mit "Sophos UTM als Client" ?
Ist das eine UTM die sich als normaler WLAN Client mit Enterprise WPA am Radius Server authentisiert, sprich wie ein normaler WLAN PC oder Smatrphone Client auch ?
Member: bombastics
bombastics Apr 27, 2018 at 13:49:28 (UTC)
Goto Top
Was meinst du genau mit "Sophos UTM als Client" ?
Ist das eine UTM die sich als normaler WLAN Client mit Enterprise WPA am Radius Server authentisiert, sprich wie ein normaler WLAN PC oder Smatrphone Client auch ?

Also das ist eine UTM 9, an der hängen die WLAN Access Points. Die UTM 9 fungiert für das WLAN als Radius Client und reicht die Authentifizierung an den Radius Server weiter.

Die Links inhaliere ich mir am Wochenende mal rein.
Member: em-pie
em-pie Apr 27, 2018 at 14:20:12 (UTC)
Goto Top
Moin,

wie lautet eure interne DOmain denn?
auch @meinedomain.de?

und erweitere für den NPS mal unter Windows das Logging wie folgt (Admin-Rechte erforderlich):
 auditpol /set /subcategory:"Netzwerkrichtlinienserver" /success:enable /failure:enable

Dann solltest du noch ein paar Infos mehr bekommen.

Was kommt den eigentlich am RADIUS selbst an?
Hast du unter Ereignisanzeige -> Benutzerdefinierte Ansichten -> Serverrollen > Netzwerkrichtlinen- und Zugriffsdienste schon rein geschaut?

Gruß
em-pie
Member: aqui
aqui Apr 27, 2018 updated at 16:07:13 (UTC)
Goto Top
Die UTM 9 fungiert für das WLAN als Radius Client und reicht die Authentifizierung an den Radius Server weiter.
Das wäre sehr ungewöhnlich und auch mehr als unüblich. Bist du dir da sicher ?
Für gewöhnlich wird WPA2 Enterprise immer auf den APs direkt konfiguriert und auch die Radius Server IP auf den APs als Ziel eingegeben.
Die Radius Requests gehen dann direkt von den APs zum Radius Server. So wäre es klassisch und auch üblich.
Es ist doch auch völlig sinnfrei die UTM als Radius "Durchlauferhitzer" zu nutzen. Was sollte der tiefere Sinn von sowas sein ? Eigentlich vollkommen überflüssig.
Member: em-pie
Solution em-pie Apr 27, 2018 at 17:43:01 (UTC)
Goto Top
Moin Aqui,

Das verhält sich identisch zu den WLCs von Cisco und Co. Die APs sind unmanaged und suchen die Sophos beim Startup, um dan die Config etc. „abzuholen“...

Die UTM nimmt da die ganzen Requests entgegen und reicht die Radius-Anfragen dann an den Radius-Server (das AD) weiter...
GermansolvedQuestionLAN, WAN, WirelessNetworks