bombastics
Goto Top

Windows Radius für WLAN über Sophos UTM als Client

Hallo Leute,

ich versuche gerade unser WLAN auf Radius - Authentifizierung umzustellen.

Soweit ist auch alles eingerichtet, nur bekomme ich keine Verbindung und im Radius werden immer folgende Fehler geloggt.

Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.


Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.


Das Zertifikat von Server ist gültig und auch installiert.

Hier mal die Konfig vom Radius:

Verbindungsanforderung:
  • Typ des Netzwerkzugriffsservers : Nicht angegeben
  • NAS-Bezeichners: WLAN_INTERN
  • NAS-Porttyp: Funkt (IEEE 802.11) oder Funkt (Sonstiges)

Netzwerkrichtlinie:
  • Zugriff gewähren: Aktiv
  • Benutzerkonto-Einwähleigenschaften ignorieren: Aktiv
  • Typ des Netzwerkzugriffsservers : Nicht angegeben

  • Bedignungen: Benutzergruppe aus der Domäne mit Benutzern und Laptops

  • Einschränkungen: - Authenfizierungsmethode -- EAP-Typen: MS geschütztes EAP (PEAP) & MS geschütztes Kennwort (EAP-MSCHAPv2)
  • Einschränkungen: - Authenfizierungsmethode -- MS verschlüsselte Authenfizierungsmethode Version 2 aktiv
  • Einschränkungen: - Authenfizierungsmethode -- MS verschlüsselte Authenfizierungsmethode aktiv

  • Einstellungen: Radius-Attribute alles Standard
  • Einstellungen: Netzwerkzugriffschutz - NAP-Erzwingen -- Vollständigen Netzwerkzugriff gewähren
  • Einstellungen: Routing uns RAS - Mehrfachverbindungen... -- Servereinstellungen bestimmen .... aktiviert
  • Einstellungen: Routing uns RAS - IP-Filter -- Keine
  • Einstellungen: Routing uns RAS - Verschlüsselung -- Alle bis auf Keine Verschlüsselung
  • Einstellungen: Routing uns RAS - IP-Einstellungen -- IP-Adresse durch Server zusteilen

Die Sophos ist als Radius Client konfiguriert und reicht auch die Daten an den Radius durch. Sie logt immer folgende Meldungen:


2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: authenticated
2018:04:27-12:40:15 A400488C52A73AD awelogger[5167]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: associated (aid 1)
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: STA identity 'zsolt.Hermann@MEINEDOMAIN.de'  
2018:04:27-12:40:15 A400488C52A73AD awelogger[5167]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: authentication failed - EAP type: 25 (unknown)
2018:04:27-12:40:15 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: disassociated
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: authenticated
2018:04:27-12:40:18 A400488C52A73AD awelogger[5167]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: associated (aid 1)
2018:04:27-12:40:18 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: STA identity 'INTRANET\zsolth'  
2018:04:27-12:40:18 A400488C52A73AD awelogger[5167]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="WLAN_INTERN" ssid_id="WLAN1.0" bssid="00:1a:8c:c2:c7:a6" sta="74:2f:68:d9:dd:83" status_code="0"  
2018:04:27-12:40:19 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.1X: authentication failed - EAP type: 25 (unknown)
2018:04:27-12:40:24 A400488C52A73AD hostapd: wlan1: STA 74:2f:68:d9:dd:83 IEEE 802.11: deauthenticated due to local deauth request


Hat einer von Euch eventuell eine Lösung? Diverse Foren und gegoogle hat mich leider nicht weitergebracht.

Schönes Wochenende und Gruß Bombastics

Content-Key: 372433

Url: https://administrator.de/contentid/372433

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
Lösung aqui 27.04.2018 aktualisiert um 13:44:44 Uhr
Goto Top
Am Radius liegt es vermutlich nicht sondern an den User Credentials so wie sich das anhört.
Guckst du auch hier:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.matrixpost.de/blog/?p=4
Grundlagen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Läuft die Radius Client Abfrage mit dem NTRadPing Test Tool sauber durch: https://www.novell.com/coolsolutions/tools/14377.html

Was meinst du genau mit "Sophos UTM als Client" ?
Ist das eine UTM die sich als normaler WLAN Client mit Enterprise WPA am Radius Server authentisiert, sprich wie ein normaler WLAN PC oder Smatrphone Client auch ?
Mitglied: bombastics
bombastics 27.04.2018 um 15:49:28 Uhr
Goto Top
Was meinst du genau mit "Sophos UTM als Client" ?
Ist das eine UTM die sich als normaler WLAN Client mit Enterprise WPA am Radius Server authentisiert, sprich wie ein normaler WLAN PC oder Smatrphone Client auch ?

Also das ist eine UTM 9, an der hängen die WLAN Access Points. Die UTM 9 fungiert für das WLAN als Radius Client und reicht die Authentifizierung an den Radius Server weiter.

Die Links inhaliere ich mir am Wochenende mal rein.
Mitglied: em-pie
em-pie 27.04.2018 um 16:20:12 Uhr
Goto Top
Moin,

wie lautet eure interne DOmain denn?
auch @meinedomain.de?

und erweitere für den NPS mal unter Windows das Logging wie folgt (Admin-Rechte erforderlich):
 auditpol /set /subcategory:"Netzwerkrichtlinienserver" /success:enable /failure:enable   

Dann solltest du noch ein paar Infos mehr bekommen.

Was kommt den eigentlich am RADIUS selbst an?
Hast du unter Ereignisanzeige -> Benutzerdefinierte Ansichten -> Serverrollen > Netzwerkrichtlinen- und Zugriffsdienste schon rein geschaut?

Gruß
em-pie
Mitglied: aqui
aqui 27.04.2018 aktualisiert um 18:07:13 Uhr
Goto Top
Die UTM 9 fungiert für das WLAN als Radius Client und reicht die Authentifizierung an den Radius Server weiter.
Das wäre sehr ungewöhnlich und auch mehr als unüblich. Bist du dir da sicher ?
Für gewöhnlich wird WPA2 Enterprise immer auf den APs direkt konfiguriert und auch die Radius Server IP auf den APs als Ziel eingegeben.
Die Radius Requests gehen dann direkt von den APs zum Radius Server. So wäre es klassisch und auch üblich.
Es ist doch auch völlig sinnfrei die UTM als Radius "Durchlauferhitzer" zu nutzen. Was sollte der tiefere Sinn von sowas sein ? Eigentlich vollkommen überflüssig.
Mitglied: em-pie
Lösung em-pie 27.04.2018 um 19:43:01 Uhr
Goto Top
Moin Aqui,

Das verhält sich identisch zu den WLCs von Cisco und Co. Die APs sind unmanaged und suchen die Sophos beim Startup, um dan die Config etc. „abzuholen“...

Die UTM nimmt da die ganzen Requests entgegen und reicht die Radius-Anfragen dann an den Radius-Server (das AD) weiter...