15
Windows Server Radius nicht erreichbar
Guten Morgen liebes Forum,
ich habe ein Problem mit einem Windows Server 2019 auf dem ich einen Radius Server installiert habe.
Der Radius Server läuft und kann auch aus dem gleichen IP Adressbereich 172.10.10.x erreicht werden,
nun möchte ich aus einem anderen IP Bereiche 192.168.10.x den RADIUS erreichen, leider wird hier keinerlei
Verbindung aufgebaut. Die Rechner aus dem 192.168.10.x können dne Server in 172.10.10.x anpingen, DNS funktioniert,
AD funktioniert, Freigaben usw... geht alles, nur der Radius bekommt keine Verbindung.
Habt ihr eine Idee woran das liegen könnte ?
Danke und schönen Sonntag.
Grüße
ich habe ein Problem mit einem Windows Server 2019 auf dem ich einen Radius Server installiert habe.
Der Radius Server läuft und kann auch aus dem gleichen IP Adressbereich 172.10.10.x erreicht werden,
nun möchte ich aus einem anderen IP Bereiche 192.168.10.x den RADIUS erreichen, leider wird hier keinerlei
Verbindung aufgebaut. Die Rechner aus dem 192.168.10.x können dne Server in 172.10.10.x anpingen, DNS funktioniert,
AD funktioniert, Freigaben usw... geht alles, nur der Radius bekommt keine Verbindung.
Habt ihr eine Idee woran das liegen könnte ?
Danke und schönen Sonntag.
Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 577650
Url: https://administrator.de/forum/windows-server-radius-nicht-erreichbar-577650.html
Ausgedruckt am: 23.04.2025 um 07:04 Uhr
15 Kommentare
Neuester Kommentar
Moin,
entweder block die Firewall die zwischen diesen Bereichen (VPN, VLAN, ???) ist diese Verbindung weil sie nicht erlaubt ist.
Oder die Firewall des Windows Server block die Verbindung oder der Radius block diese weil sie aus einem nicht erlaubt Segment stammt.
Stefan
entweder block die Firewall die zwischen diesen Bereichen (VPN, VLAN, ???) ist diese Verbindung weil sie nicht erlaubt ist.
Oder die Firewall des Windows Server block die Verbindung oder der Radius block diese weil sie aus einem nicht erlaubt Segment stammt.
Stefan
Hallo Stefan,
ich habe die Windows Firewall mal für testzwecke deaktiviert und ich nutze eine Sophos Firewall habe hier mal alle internen LAN Zonen alle Dienste gegeneinander geöffnet. Das gleiche Problem. Vermutlich liegt es wohl am Radius das der das blockt.
Weisst du grad zufällig wo ich das im Radius einstellen kann ?
Dank dir.
Jochen
ich habe die Windows Firewall mal für testzwecke deaktiviert und ich nutze eine Sophos Firewall habe hier mal alle internen LAN Zonen alle Dienste gegeneinander geöffnet. Das gleiche Problem. Vermutlich liegt es wohl am Radius das der das blockt.
Weisst du grad zufällig wo ich das im Radius einstellen kann ?
Dank dir.
Jochen
Mit welchem Endgerät willst du denn diesen Server erreichen ??
Die Symptome zeigen ja dann das nur dieses spezifische Endgerät ein Problem hat wenn alle anderen PC, Geräte usw. in diesem IP Netz den Server pingseitig erreichen können. Sofern es denn eine Routing oder Gateway Problem ist.
Bei einer Firewall die diese Netzsegmente sichert muss man natürlich sicherstellen das dann die Radius Ports UDP 1812 und UDP 1813 passieren dürfen !
Der Radius Server selber blockt es nicht, wenn dann ist es nur die lokale Windows Firewall oder wie oben eine externe Firewall die die IP Segmente ggf. sichert.
Allerdings muss man dazusagen das z.B. ein FreeRadius Server z.B. eine Client Konfigurations Datei hat in der man explizit das Netzwerk angeben muss aus dem Clients einen Request auf ihn starten. Ohne diese Freigae werden Requests vom Radius selber ignoriert unsabhängig von der Firewall. Hier mal ein Beispiel:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das erlaubt also nur Radius Zugriffe aus dem 192.168.88.0er IP Netz.
Bezogen auf deine Anforderung müsste dann dort folgendes stehen:
client home-network {
ipaddr = 192.168.88.0/24
secret = testing123
}
client test-network {
ipaddr = 192.168.1.0/24
secret = testing123
}
Man könnte es aber auch vereinfachen mit:
client home-network {
ipaddr = 192.168.0.0/16
secret = testing123
}
Was dann generell ALLE Zugriffe aus dem gesamten 192.168er Bereich erlauben würde.
Wie gesagt...das ist der FreeRadius. Keine Ahnung ob der Winblows NPS Radius auch solche Definition hat.
Du kannst das aber auch immer mit einem Testclient wie dem Klassiker NTRadPing einfach testen:
https://www.novell.com/coolsolutions/tools/14377.html
Die Symptome zeigen ja dann das nur dieses spezifische Endgerät ein Problem hat wenn alle anderen PC, Geräte usw. in diesem IP Netz den Server pingseitig erreichen können. Sofern es denn eine Routing oder Gateway Problem ist.
Bei einer Firewall die diese Netzsegmente sichert muss man natürlich sicherstellen das dann die Radius Ports UDP 1812 und UDP 1813 passieren dürfen !
Der Radius Server selber blockt es nicht, wenn dann ist es nur die lokale Windows Firewall oder wie oben eine externe Firewall die die IP Segmente ggf. sichert.
Allerdings muss man dazusagen das z.B. ein FreeRadius Server z.B. eine Client Konfigurations Datei hat in der man explizit das Netzwerk angeben muss aus dem Clients einen Request auf ihn starten. Ohne diese Freigae werden Requests vom Radius selber ignoriert unsabhängig von der Firewall. Hier mal ein Beispiel:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das erlaubt also nur Radius Zugriffe aus dem 192.168.88.0er IP Netz.
Bezogen auf deine Anforderung müsste dann dort folgendes stehen:
client home-network {
ipaddr = 192.168.88.0/24
secret = testing123
}
client test-network {
ipaddr = 192.168.1.0/24
secret = testing123
}
Man könnte es aber auch vereinfachen mit:
client home-network {
ipaddr = 192.168.0.0/16
secret = testing123
}
Was dann generell ALLE Zugriffe aus dem gesamten 192.168er Bereich erlauben würde.
Wie gesagt...das ist der FreeRadius. Keine Ahnung ob der Winblows NPS Radius auch solche Definition hat.
Du kannst das aber auch immer mit einem Testclient wie dem Klassiker NTRadPing einfach testen:
https://www.novell.com/coolsolutions/tools/14377.html
Hallo aqui,
ja das NTRadPing tool nutze ich im Moment.
Gruß
ja das NTRadPing tool nutze ich im Moment.
Gruß
Auf Gelöst geklickt... ??
Was war denn nun die Lösung ?
Was war denn nun die Lösung ?
Sorry verklickt, nicht gelöst 
dann setz' den Status der Frage zurück. Link dazu hatte ich Dir bereits gesendet.
Gruss Penny.
Gruss Penny.
Hallo,
bei vielen Serverdiensten kann man angeben, auf welchen IPs die hören sollen.
Gruß,
Jörg
bei vielen Serverdiensten kann man angeben, auf welchen IPs die hören sollen.
Gruß,
Jörg
Hallo,
Gruß,
Peter
Zitat von @Schorschebft:
Der Radius Server läuft und kann auch aus dem gleichen IP Adressbereich 172.10.10.x erreicht werden
Öffentliches Internet? oder Schreibfehler oder vertipper oder bewusst gewählt das 172.10.10.0/?? Netz? https://de.wikipedia.org/wiki/Private_IP-AdresseDer Radius Server läuft und kann auch aus dem gleichen IP Adressbereich 172.10.10.x erreicht werden
Gruß,
Peter
Hi,
kurze Zwischenfrage, bist du sicher, das der Server nicht erreicht wird oder liegt es evtl. an der Verbindungsanforderung, die den Client abweist? Hast du die Log-Dateien des Servers kontrolliert? Ebenso an der Sophos, ob eine Verbindung per UDP 1812 vom Client aus aufgebaut werden soll?
Gruß
kurze Zwischenfrage, bist du sicher, das der Server nicht erreicht wird oder liegt es evtl. an der Verbindungsanforderung, die den Client abweist? Hast du die Log-Dateien des Servers kontrolliert? Ebenso an der Sophos, ob eine Verbindung per UDP 1812 vom Client aus aufgebaut werden soll?
Gruß
bist du sicher, das der Server nicht erreicht wird
Bei der 172.10er Adressierung verwundert das nicht. Das sind ja offizielle Internet IP Adressen und gehören nicht in die privaten RFC 1918 Bereich !Kann man wirklich nur hoffen das das ein Tippfehler seitens des TO ist ?! Ansonsten muss er wohl nochmal auf die Schulbank und lokale IP Adressierung büffeln...
Ach so klar, dann wird die Sophos entweder blocken oder die Sache ins Internet schicken 
Hallo,
Nö. Du kannst auch einen öffentlich existierenden Bereich als LAN nutzen. Ich denke, es handelt sich einfach nur um einen Typo in der Frage und vermute weiterhin, dass er den Server nur an den localhost gebunden hat.
Gruß,
Jörg
Zitat von @90948:
Ach so klar, dann wird die Sophos entweder blocken oder die Sache ins Internet schicken
Ach so klar, dann wird die Sophos entweder blocken oder die Sache ins Internet schicken
Nö. Du kannst auch einen öffentlich existierenden Bereich als LAN nutzen. Ich denke, es handelt sich einfach nur um einen Typo in der Frage und vermute weiterhin, dass er den Server nur an den localhost gebunden hat.
Gruß,
Jörg
