camouflagge99
Goto Top

WLAN Authentifizierung mit P(EAP) und Zertifikaten

Hallo zusammen,

ich gehe am besten so vor, dass ich beschreibe wie die Ausgangssituation war und wie sie mittlerweile ist. Zum Thema:
In unserem Firmennetzwerk soll die WLAN Authentifizierung mit P(EAP) und Zertifikaten stattfinden. Ich kenne mich leider in dem Themengebiet nicht so gut aus und habe dummerweise zu viel praktisch angewendet bevor ich sicher wusste womit ich es zu tun habe. Das Endziel soll sein: Domainclient soll sich mit dem WLAN verbinden können ohne Anmeldedaten, die Authentifizierung läuft über die Zertifikate. Nun..

Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert. Dies ist natürlich nicht sicher und deswegen soll eine neue SSID über PEAP laufen.
Dafür habe ich einen Windows Server 2019 installiert mit der einzigen Rolle "Netzwerkrichtlinienserver" (NPS). Eine Domaingruppe habe ich bereits erstellt namens "wireless-PEAP". Radius Clients habe ich meine 2 WLAN Controller ausgewählt, welche die AP´s managen.
Aktuell sehen die Policies so aus:
networkpolicies
networkpolicies2

Ich verstehe immer noch nicht zu 100% was die einzelnen Einstellungen aussagen, aber ich denke das ist so erstmal richtig anhand vieler Anleitungen und falls nicht oder speziell dazu Fragen aufkommen, können wir dies nochmal behandeln.
Accounting, also das Loggen habe ich auch eingerichtet, hier mit Textfiles.

Nun haben wir bereits eine Zertifizierungsstelle gehabt die auf einen Windows Server 2012 läuft.
Dort habe ich dann eine neue Zertifikatvorlage erstellt indem ich den Standard "Computer" dupliziert habe und ich habe auch die Domaingruppe "wireless-PEAP" hinzugefügt. Wobei ich mich Frage, muss das sein? Aktuell kriegen unsere Computer/Server bereits Zertifikate durch den Standard "Computer", jedoch ist die Domaingruppe nicht hinterlegt, weswegen ich denke, dass es doch seinen Sinn hat. Dann frage ich mich aber, wo beim Auto Enrollment entschieden wird welches der beiden Computerzertifikat ausgeteilt wird und ob das gut ist, wenn zwei solcher Zertifikaten parallel existieren:
ca_vorlage_li

Folgendermaßen ist die SSID konfiguriert:
wlc_ssid

hier habe ich auf der CA Seite die CA Certificate gedownloaded und beim WLC importiert, ich weiß gar nicht ob das nötig ist oder richtig ist..
wlc_certificate

Auf meinem Radius Server war bereits das Standard Computerzertifikat enrollt, da habe ich dann nochmal das neu erstelle Computerzertifikat hinzugefügt, das selbe dann auch bei der Zertifierungsstelle aufm Windows Server 2012, ist das dort überhaupt nötigt? Weil ist ja die Zertifizierungsstelle..:
radius_computercertificate_auffordern_li
ca_computercertificate_auffordern_li

Dann habe ich die GPO erstellt:
gpo_wlan_policy_li
gpo_wlan_policy1
gpo_wlan_policy2
gpo_wlan_policy_domaingroup_li

Nun eine Frage.. wenn in der Default Domain Policy eine 802.1 WLAN Policy geregelt ist, wird diese dann über meine 802.1 WLAN Policy überschrieben oder andersrum? Ich kenne mich mit der Inheritance nicht ganz so gut aus da..:
gpo_allgemein_li

Wenn ich mich nun mit dem Notebook versuche anzumelden lädt er und dann sagt er "Keine Verbindung zu dem Netzwerk möglich".
Auf dem WLAN Controller gibts auch noch so ein AAA Server Test, ich weis nicht ob das was aussagt. Ansonsten muss ich mal bei den Logs schauen..:
wlc_aaa_test_li


Das wars dann auch erstmal.. ich hoffe ich bekomme eine Rückmeldung. Danke und LG face-smile

Content-ID: 2633137729

Url: https://administrator.de/forum/wlan-authentifizierung-mit-peap-und-zertifikaten-2633137729.html

Ausgedruckt am: 26.12.2024 um 18:12 Uhr

lcer00
lcer00 29.04.2022 aktualisiert um 09:07:46 Uhr
Goto Top
148523
148523 29.04.2022 aktualisiert um 09:29:36 Uhr
Goto Top
und habe dummerweise zu viel praktisch angewendet bevor ich sicher wusste womit ich es zu tun habe.
Aber das ist doch eher positiv zu sehen wenn du Praktiker bist. Warum siehst du das so negativ?? face-wink
Radius Clients habe ich meine 2 WLAN Controller ausgewählt, welche die AP´s managen.
Das ist nur dann richtig wenn du den WLC als Durchlauferhitzer (Proxy) nutzt. Wenn du mit Local Termination arbeitest, was ja üblich ist bei APs, dann machen normalerweise immer die APs direkt die Radius Authentisierung und nicht die Controller. Vorteil davon ist das im Falle eines Controller Ausfalles oder wenn die Verbindung mal abreisst, die APs die Authentisierung autark machen. Das ist nicht der Fall ist wenn du die Proxy Funktion aktivierst. Das solltest du also überlegen ob das sinnvoll ist in deinem Setup?!
Gilt auch für den aktuell funktionierendes FreeRadius Setup. (client.conf und Authenticator IP im FreeRadius Log bzw. Freeradius Debug Run mit "-X")
Wichtig ist das der Radius Server aus dem Management VLAN der APs erreichbar ist. Idealerweise liegt er selber auch im Management VLAN ansonsten musst du routingtechnisch sicherstellen das die APs den Radius (NPS) erreichen können.
Die Zertifikate sind für den Controller selber nicht relevant und müssen dort auch nicht installiert werden. Relevant sind sie nur auf Radius Server und Client.
Dadurch das dein Grundsetup mit der Mac Authentisierung und FreeRadius sauber rennt kannst du sehen das dein Framework an sich stimmt.
Dein Problem ist einzig eins des Radius Server Setups an sich und ggf. Zertifikats Rollouts.
Windows Client hast du auch aktiviert für 802.1x ?
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Logs des NPS Servers bei Einwahl ?
Looser27
Looser27 29.04.2022 um 09:49:17 Uhr
Goto Top
Moin,

wenn Du keine Verbindung bekommst, kann es auch daran liegen, dass die Clients die CA des Radius-Servers nicht kennen. Wenn du schon eine interne CA verwendest über den NPS dann nutze den doch auch für die WLAN-Authentifizierung und nicht den separaten Radius.
Ansonsten muss das CA-Zertifikat des Radius auf die Clients als vertrauenswürdige CA ausgerollt werden. Ansonsten wollen die Windows-Clients keine Verbindung aufbauen, weil die dem Zertifikat nicht vertrauen.

Gruß

Looser
camouflagge99
camouflagge99 29.04.2022 um 17:50:48 Uhr
Goto Top
Ich habe die Zertifikate jetzt erst mal per Hand angefragt und auf Radius, Client und CA erstellt, also die Computerzertifikate, sodass sie die überhaupt erstmal haben.
Wie kann ich sichergehen, dass der CA-Zertifikat auf dem Client als vertrauenswürdig angesehen wird?
Auf dem Client bei der Zertifikaten Konsole im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und "Zertifikate" sind viele Zertifikate, einschließlich die des CA´s also Root CA.
Genau das Gleiche ist bei dem Radius Server, also müsste das ja eigentlich passen.

Zu dem Punkt wegen dem neu erstellten Computerzertifikat: Ich habe ja eine neue Computergruppe erstellt, diese muss ich doch beim Zertifikat eintragen oder nicht? "Wireless-peap" heißt die Gruppe, schau den Screenshot.
camouflagge99
camouflagge99 29.04.2022 um 18:06:50 Uhr
Goto Top
Den WLC haben wir als Proxy, sollte also passen.
Erreichen sollte unser AP den NPS schon, da beim Test AAA wie gesagt die Authentifizierung ja fehlschlägt, nicht die Verbindung oder so.
Das mit dem Freeradius habe ich nicht verstanden worum es da geht.. Ich weis gar nicht was das ist.

Die Zertifikate habe ich an sich ja manuell erstellt und ausgehändigt.
Der Radius hat also CA-Zertifikat (Root CA), Computerzertifikat
der Client ebenso. Und wie unten in meinem anderen Kommentar geschrieben sind die vertrauenswürdigen Stammzertifizierungsstellen auch eingetragen.

Ich vermute, dass es vielleicht mit den GPO´s zu tun hat? wir haben halt so viele und an der Default Domain Policy ist auch schon einiges umgestellt, ich kenne mich da nicht so bombastisch aus..
Ich frage mich, wenn die DPP sagt JA und meine WLAN Policy aber NEIN sagt, auf wen hört der Client?
Logs etc. siehe mein anderen Kommentar
camouflagge99
camouflagge99 29.04.2022 um 18:13:44 Uhr
Goto Top

wlan_autoconfig_log_client
und beim Eventviewer beim Radius sind Event ID 11,30,82 auf Fehler, leider kann man hier keine Dateien senden.
Dann die Logs vom NPS die im File gespeichert werden z.B:

<Event><Timestamp data_type="4">04/29/2022 14:58:52.973</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 30</Class><Provider-Type data_type="0">0</Provider-Type><Proxy-Policy-Name data_type="1">Secure Wireless Connections</Proxy-Policy-Name><Client-Friendly-Name data_type="1">MESWLC001</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Acct-Session-Id data_type="1">626BE0FD-1234A001</Acct-Session-Id><Client-IP-Address data_type="3">10.10.1.159</Client-IP-Address><Packet-Type data_type="0">2</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:36.412</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><NAS-Port-Type data_type="0">5</NAS-Port-Type><NAS-Port data_type="0">8443</NAS-Port><User-Name data_type="1">t.radius@intra.honsel.com</User-Name><NAS-IP-Address data_type="3">10.10.1.163</NAS-IP-Address><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 31</Class><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:36.412</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 31</Class><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">49</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:42.293</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><NAS-Port-Type data_type="0">5</NAS-Port-Type><NAS-Port data_type="0">8443</NAS-Port><User-Name data_type="1">t.radius</User-Name><NAS-IP-Address data_type="3">10.10.1.163</NAS-IP-Address><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 32</Class><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:42.293</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 32</Class><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">49</Reason-Code></Event>
Looser27
Looser27 29.04.2022 um 18:18:31 Uhr
Goto Top
Hast Du Dich evtl. beim Namen des WLAN in der GPO vertippt?

In dem Screenshot steht, dass das angegebene Netz nicht verfügbar ist.
camouflagge99
camouflagge99 29.04.2022 um 19:23:52 Uhr
Goto Top
Zitat von @Looser27:

Hast Du Dich evtl. beim Namen des WLAN in der GPO vertippt?

In dem Screenshot steht, dass das angegebene Netz nicht verfügbar ist.

AUTH_TEST ist die richtige SSID, ich weis auch nicht warum der sagt, dass es nicht verfügbar sei face-sad
148523
148523 30.04.2022 aktualisiert um 11:22:02 Uhr
Goto Top
Den WLC haben wir als Proxy, sollte also passen.
Wie bereits gesagt, keine gute Lösung wenn die APs einmal den Link zum Controller verlieren. Das schafft eine Abhängigkeit die nicht sein müsste.
Ist aber auch nicht das ursächliche Problem sondern letztlich eine Design Frage.

Reason Code 163851 zeigt ggf. auf den Fast Startup des WiFi Interfaces:
https://answers.microsoft.com/en-us/windows/forum/all/cannot-connect-to- ...
https://social.technet.microsoft.com/Forums/lync/en-US/f2f0c637-a115-404 ...
Gibt zig Einträge dazu bei Dr. Google.
Spiel das Client Zertifikat doch testhalber mal auf den FreeRadius und schalte das im SSID Profil mal kurz um auf den FreeRad und starte den mit freeradius -X im Debug Mode und sieh dir mal an was der sagt.
Dessen Debug Messages sind weit hilfreicher als das was vom NPS kommt. face-wink
Looser27
Looser27 30.04.2022 um 12:14:02 Uhr
Goto Top
Wenn Du den Freeradius mit freeradius - XXX startest, wird der Debugmodus noch detaillierter.
camouflagge99
camouflagge99 30.04.2022 um 15:47:49 Uhr
Goto Top
Ich weis leider nicht was FreeRadius ist, OpenSource Radius Server oder wie? Muss ich da was downloaden, habt ihr ein Link?
camouflagge99
Lösung camouflagge99 30.04.2022 um 15:59:39 Uhr
Goto Top
Update: Ich habe die von mir erstellte GPO gelöscht und siehe da, die Verbindung steht....

inkedssid_verbindungaufgebaut_li
148523
148523 30.04.2022 aktualisiert um 16:25:28 Uhr
Goto Top
Ich weis leider nicht was FreeRadius ist, OpenSource Radius Server oder wie?
Oben hast du doch selber geschrieben: "Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert."
Welcher sollte das denn wohl sein?! https://freeradius.org
Siehe dazu auch: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Aber Glückwunsch wenn es nun rennt wie es soll! 👏
Bleibt dir nur noch deinen Thread hier zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
camouflagge99
camouflagge99 30.04.2022 um 16:36:39 Uhr
Goto Top
Zitat von @148523:

Ich weis leider nicht was FreeRadius ist, OpenSource Radius Server oder wie?
Oben hast du doch selber geschrieben: "Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert."
Welcher sollte das denn wohl sein?! https://freeradius.org
Siehe dazu auch: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Aber Glückwunsch wenn es nun rennt wie es soll! 👏
Bleibt dir nur noch deinen Thread hier zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?

ja ich meinte diesbezüglich nur die SSID die wir aktuell verwenden, die neue soll ja über den neuen Windows Server laufen mit NPS. Aber das ist auch nicht mehr so weit das Übliche.
Wie gesagt, ich melde mich, wenn ich wieder Fragen habe face-smile
Danke für Alles soweit!
camouflagge99
camouflagge99 01.05.2022 um 19:11:48 Uhr
Goto Top
Ok, für mich stellt sich jetzt die Frage:
Wie erstellt man hierbei einen Cluster? Einen 2. Server als Proxy einstellen? Was würde aber passieren, wenn der 1. Server ausfällt, übernimmt der Proxy die AAA? Oder ist er dann nur fürs Weiterleiten zuständig? Habt ihr da etwas für mich?
148523
148523 02.05.2022 um 10:20:11 Uhr
Goto Top
Diese Frage hat nun aber rein gar nichts mehr mit der eigentlichen technischen Thematik dieses Threads zu tun und solltest du besser in einen neuen Thread auslagern.
camouflagge99
camouflagge99 02.05.2022 um 10:26:43 Uhr
Goto Top
Zitat von @148523:

Diese Frage hat nun aber rein gar nichts mehr mit der eigentlichen technischen Thematik dieses Threads zu tun und solltest du besser in einen neuen Thread auslagern.

done face-smile