17
WLAN Authentifizierung mit P(EAP) und Zertifikaten
Hallo zusammen,
ich gehe am besten so vor, dass ich beschreibe wie die Ausgangssituation war und wie sie mittlerweile ist. Zum Thema:
In unserem Firmennetzwerk soll die WLAN Authentifizierung mit P(EAP) und Zertifikaten stattfinden. Ich kenne mich leider in dem Themengebiet nicht so gut aus und habe dummerweise zu viel praktisch angewendet bevor ich sicher wusste womit ich es zu tun habe. Das Endziel soll sein: Domainclient soll sich mit dem WLAN verbinden können ohne Anmeldedaten, die Authentifizierung läuft über die Zertifikate. Nun..
Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert. Dies ist natürlich nicht sicher und deswegen soll eine neue SSID über PEAP laufen.
Dafür habe ich einen Windows Server 2019 installiert mit der einzigen Rolle "Netzwerkrichtlinienserver" (NPS). Eine Domaingruppe habe ich bereits erstellt namens "wireless-PEAP". Radius Clients habe ich meine 2 WLAN Controller ausgewählt, welche die AP´s managen.
Aktuell sehen die Policies so aus:
Ich verstehe immer noch nicht zu 100% was die einzelnen Einstellungen aussagen, aber ich denke das ist so erstmal richtig anhand vieler Anleitungen und falls nicht oder speziell dazu Fragen aufkommen, können wir dies nochmal behandeln.
Accounting, also das Loggen habe ich auch eingerichtet, hier mit Textfiles.
Nun haben wir bereits eine Zertifizierungsstelle gehabt die auf einen Windows Server 2012 läuft.
Dort habe ich dann eine neue Zertifikatvorlage erstellt indem ich den Standard "Computer" dupliziert habe und ich habe auch die Domaingruppe "wireless-PEAP" hinzugefügt. Wobei ich mich Frage, muss das sein? Aktuell kriegen unsere Computer/Server bereits Zertifikate durch den Standard "Computer", jedoch ist die Domaingruppe nicht hinterlegt, weswegen ich denke, dass es doch seinen Sinn hat. Dann frage ich mich aber, wo beim Auto Enrollment entschieden wird welches der beiden Computerzertifikat ausgeteilt wird und ob das gut ist, wenn zwei solcher Zertifikaten parallel existieren:
Folgendermaßen ist die SSID konfiguriert:
hier habe ich auf der CA Seite die CA Certificate gedownloaded und beim WLC importiert, ich weiß gar nicht ob das nötig ist oder richtig ist..
Auf meinem Radius Server war bereits das Standard Computerzertifikat enrollt, da habe ich dann nochmal das neu erstelle Computerzertifikat hinzugefügt, das selbe dann auch bei der Zertifierungsstelle aufm Windows Server 2012, ist das dort überhaupt nötigt? Weil ist ja die Zertifizierungsstelle..:
Dann habe ich die GPO erstellt:
Nun eine Frage.. wenn in der Default Domain Policy eine 802.1 WLAN Policy geregelt ist, wird diese dann über meine 802.1 WLAN Policy überschrieben oder andersrum? Ich kenne mich mit der Inheritance nicht ganz so gut aus da..:
Wenn ich mich nun mit dem Notebook versuche anzumelden lädt er und dann sagt er "Keine Verbindung zu dem Netzwerk möglich".
Auf dem WLAN Controller gibts auch noch so ein AAA Server Test, ich weis nicht ob das was aussagt. Ansonsten muss ich mal bei den Logs schauen..:
Das wars dann auch erstmal.. ich hoffe ich bekomme eine Rückmeldung. Danke und LG
ich gehe am besten so vor, dass ich beschreibe wie die Ausgangssituation war und wie sie mittlerweile ist. Zum Thema:
In unserem Firmennetzwerk soll die WLAN Authentifizierung mit P(EAP) und Zertifikaten stattfinden. Ich kenne mich leider in dem Themengebiet nicht so gut aus und habe dummerweise zu viel praktisch angewendet bevor ich sicher wusste womit ich es zu tun habe. Das Endziel soll sein: Domainclient soll sich mit dem WLAN verbinden können ohne Anmeldedaten, die Authentifizierung läuft über die Zertifikate. Nun..
Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert. Dies ist natürlich nicht sicher und deswegen soll eine neue SSID über PEAP laufen.
Dafür habe ich einen Windows Server 2019 installiert mit der einzigen Rolle "Netzwerkrichtlinienserver" (NPS). Eine Domaingruppe habe ich bereits erstellt namens "wireless-PEAP". Radius Clients habe ich meine 2 WLAN Controller ausgewählt, welche die AP´s managen.
Aktuell sehen die Policies so aus:
Ich verstehe immer noch nicht zu 100% was die einzelnen Einstellungen aussagen, aber ich denke das ist so erstmal richtig anhand vieler Anleitungen und falls nicht oder speziell dazu Fragen aufkommen, können wir dies nochmal behandeln.
Accounting, also das Loggen habe ich auch eingerichtet, hier mit Textfiles.
Nun haben wir bereits eine Zertifizierungsstelle gehabt die auf einen Windows Server 2012 läuft.
Dort habe ich dann eine neue Zertifikatvorlage erstellt indem ich den Standard "Computer" dupliziert habe und ich habe auch die Domaingruppe "wireless-PEAP" hinzugefügt. Wobei ich mich Frage, muss das sein? Aktuell kriegen unsere Computer/Server bereits Zertifikate durch den Standard "Computer", jedoch ist die Domaingruppe nicht hinterlegt, weswegen ich denke, dass es doch seinen Sinn hat. Dann frage ich mich aber, wo beim Auto Enrollment entschieden wird welches der beiden Computerzertifikat ausgeteilt wird und ob das gut ist, wenn zwei solcher Zertifikaten parallel existieren:
Folgendermaßen ist die SSID konfiguriert:
hier habe ich auf der CA Seite die CA Certificate gedownloaded und beim WLC importiert, ich weiß gar nicht ob das nötig ist oder richtig ist..
Auf meinem Radius Server war bereits das Standard Computerzertifikat enrollt, da habe ich dann nochmal das neu erstelle Computerzertifikat hinzugefügt, das selbe dann auch bei der Zertifierungsstelle aufm Windows Server 2012, ist das dort überhaupt nötigt? Weil ist ja die Zertifizierungsstelle..:
Dann habe ich die GPO erstellt:
Nun eine Frage.. wenn in der Default Domain Policy eine 802.1 WLAN Policy geregelt ist, wird diese dann über meine 802.1 WLAN Policy überschrieben oder andersrum? Ich kenne mich mit der Inheritance nicht ganz so gut aus da..:
Wenn ich mich nun mit dem Notebook versuche anzumelden lädt er und dann sagt er "Keine Verbindung zu dem Netzwerk möglich".
Auf dem WLAN Controller gibts auch noch so ein AAA Server Test, ich weis nicht ob das was aussagt. Ansonsten muss ich mal bei den Logs schauen..:
Das wars dann auch erstmal.. ich hoffe ich bekomme eine Rückmeldung. Danke und LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2633137729
Url: https://administrator.de/contentid/2633137729
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Was sagen die Protokolle des Radius/NPS?
Grüße
lcer
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Was sagen die Protokolle des Radius/NPS?
Grüße
lcer
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
1
und habe dummerweise zu viel praktisch angewendet bevor ich sicher wusste womit ich es zu tun habe.
Aber das ist doch eher positiv zu sehen wenn du Praktiker bist. Warum siehst du das so negativ?? 
Radius Clients habe ich meine 2 WLAN Controller ausgewählt, welche die AP´s managen.
Das ist nur dann richtig wenn du den WLC als Durchlauferhitzer (Proxy) nutzt. Wenn du mit Local Termination arbeitest, was ja üblich ist bei APs, dann machen normalerweise immer die APs direkt die Radius Authentisierung und nicht die Controller. Vorteil davon ist das im Falle eines Controller Ausfalles oder wenn die Verbindung mal abreisst, die APs die Authentisierung autark machen. Das ist nicht der Fall ist wenn du die Proxy Funktion aktivierst. Das solltest du also überlegen ob das sinnvoll ist in deinem Setup?!Gilt auch für den aktuell funktionierendes FreeRadius Setup. (client.conf und Authenticator IP im FreeRadius Log bzw. Freeradius Debug Run mit "-X")
Wichtig ist das der Radius Server aus dem Management VLAN der APs erreichbar ist. Idealerweise liegt er selber auch im Management VLAN ansonsten musst du routingtechnisch sicherstellen das die APs den Radius (NPS) erreichen können.
Die Zertifikate sind für den Controller selber nicht relevant und müssen dort auch nicht installiert werden. Relevant sind sie nur auf Radius Server und Client.
Dadurch das dein Grundsetup mit der Mac Authentisierung und FreeRadius sauber rennt kannst du sehen das dein Framework an sich stimmt.
Dein Problem ist einzig eins des Radius Server Setups an sich und ggf. Zertifikats Rollouts.
Windows Client hast du auch aktiviert für 802.1x ?
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Logs des NPS Servers bei Einwahl ?
1
Moin,
wenn Du keine Verbindung bekommst, kann es auch daran liegen, dass die Clients die CA des Radius-Servers nicht kennen. Wenn du schon eine interne CA verwendest über den NPS dann nutze den doch auch für die WLAN-Authentifizierung und nicht den separaten Radius.
Ansonsten muss das CA-Zertifikat des Radius auf die Clients als vertrauenswürdige CA ausgerollt werden. Ansonsten wollen die Windows-Clients keine Verbindung aufbauen, weil die dem Zertifikat nicht vertrauen.
Gruß
Looser
wenn Du keine Verbindung bekommst, kann es auch daran liegen, dass die Clients die CA des Radius-Servers nicht kennen. Wenn du schon eine interne CA verwendest über den NPS dann nutze den doch auch für die WLAN-Authentifizierung und nicht den separaten Radius.
Ansonsten muss das CA-Zertifikat des Radius auf die Clients als vertrauenswürdige CA ausgerollt werden. Ansonsten wollen die Windows-Clients keine Verbindung aufbauen, weil die dem Zertifikat nicht vertrauen.
Gruß
Looser
1
Ich habe die Zertifikate jetzt erst mal per Hand angefragt und auf Radius, Client und CA erstellt, also die Computerzertifikate, sodass sie die überhaupt erstmal haben.
Wie kann ich sichergehen, dass der CA-Zertifikat auf dem Client als vertrauenswürdig angesehen wird?
Auf dem Client bei der Zertifikaten Konsole im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und "Zertifikate" sind viele Zertifikate, einschließlich die des CA´s also Root CA.
Genau das Gleiche ist bei dem Radius Server, also müsste das ja eigentlich passen.
Zu dem Punkt wegen dem neu erstellten Computerzertifikat: Ich habe ja eine neue Computergruppe erstellt, diese muss ich doch beim Zertifikat eintragen oder nicht? "Wireless-peap" heißt die Gruppe, schau den Screenshot.
Wie kann ich sichergehen, dass der CA-Zertifikat auf dem Client als vertrauenswürdig angesehen wird?
Auf dem Client bei der Zertifikaten Konsole im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und "Zertifikate" sind viele Zertifikate, einschließlich die des CA´s also Root CA.
Genau das Gleiche ist bei dem Radius Server, also müsste das ja eigentlich passen.
Zu dem Punkt wegen dem neu erstellten Computerzertifikat: Ich habe ja eine neue Computergruppe erstellt, diese muss ich doch beim Zertifikat eintragen oder nicht? "Wireless-peap" heißt die Gruppe, schau den Screenshot.
Den WLC haben wir als Proxy, sollte also passen.
Erreichen sollte unser AP den NPS schon, da beim Test AAA wie gesagt die Authentifizierung ja fehlschlägt, nicht die Verbindung oder so.
Das mit dem Freeradius habe ich nicht verstanden worum es da geht.. Ich weis gar nicht was das ist.
Die Zertifikate habe ich an sich ja manuell erstellt und ausgehändigt.
Der Radius hat also CA-Zertifikat (Root CA), Computerzertifikat
der Client ebenso. Und wie unten in meinem anderen Kommentar geschrieben sind die vertrauenswürdigen Stammzertifizierungsstellen auch eingetragen.
Ich vermute, dass es vielleicht mit den GPO´s zu tun hat? wir haben halt so viele und an der Default Domain Policy ist auch schon einiges umgestellt, ich kenne mich da nicht so bombastisch aus..
Ich frage mich, wenn die DPP sagt JA und meine WLAN Policy aber NEIN sagt, auf wen hört der Client?
Logs etc. siehe mein anderen Kommentar
Erreichen sollte unser AP den NPS schon, da beim Test AAA wie gesagt die Authentifizierung ja fehlschlägt, nicht die Verbindung oder so.
Das mit dem Freeradius habe ich nicht verstanden worum es da geht.. Ich weis gar nicht was das ist.
Die Zertifikate habe ich an sich ja manuell erstellt und ausgehändigt.
Der Radius hat also CA-Zertifikat (Root CA), Computerzertifikat
der Client ebenso. Und wie unten in meinem anderen Kommentar geschrieben sind die vertrauenswürdigen Stammzertifizierungsstellen auch eingetragen.
Ich vermute, dass es vielleicht mit den GPO´s zu tun hat? wir haben halt so viele und an der Default Domain Policy ist auch schon einiges umgestellt, ich kenne mich da nicht so bombastisch aus..
Ich frage mich, wenn die DPP sagt JA und meine WLAN Policy aber NEIN sagt, auf wen hört der Client?
Logs etc. siehe mein anderen Kommentar
Zitat von @lcer00:
Hallo,
Was sagen die Protokolle des Radius/NPS?
Grüße
lcer
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Hallo,
Was sagen die Protokolle des Radius/NPS?
Grüße
lcer
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Dann die Logs vom NPS die im File gespeichert werden z.B:
<Event><Timestamp data_type="4">04/29/2022 14:58:52.973</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 30</Class><Provider-Type data_type="0">0</Provider-Type><Proxy-Policy-Name data_type="1">Secure Wireless Connections</Proxy-Policy-Name><Client-Friendly-Name data_type="1">MESWLC001</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Acct-Session-Id data_type="1">626BE0FD-1234A001</Acct-Session-Id><Client-IP-Address data_type="3">10.10.1.159</Client-IP-Address><Packet-Type data_type="0">2</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:36.412</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><NAS-Port-Type data_type="0">5</NAS-Port-Type><NAS-Port data_type="0">8443</NAS-Port><User-Name data_type="1">t.radius@intra.honsel.com</User-Name><NAS-IP-Address data_type="3">10.10.1.163</NAS-IP-Address><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 31</Class><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:36.412</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 31</Class><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">49</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:42.293</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><NAS-Port-Type data_type="0">5</NAS-Port-Type><NAS-Port data_type="0">8443</NAS-Port><User-Name data_type="1">t.radius</User-Name><NAS-IP-Address data_type="3">10.10.1.163</NAS-IP-Address><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 32</Class><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">04/29/2022 15:23:42.293</Timestamp><Computer-Name data_type="1">MESRAD001</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.150.3.66 04/26/2022 13:20:19 32</Class><Client-Friendly-Name data_type="1">MESWLC002</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.10.1.163</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">49</Reason-Code></Event>
Hast Du Dich evtl. beim Namen des WLAN in der GPO vertippt?
In dem Screenshot steht, dass das angegebene Netz nicht verfügbar ist.
In dem Screenshot steht, dass das angegebene Netz nicht verfügbar ist.
1Zitat von @Looser27:
Hast Du Dich evtl. beim Namen des WLAN in der GPO vertippt?
In dem Screenshot steht, dass das angegebene Netz nicht verfügbar ist.
Hast Du Dich evtl. beim Namen des WLAN in der GPO vertippt?
In dem Screenshot steht, dass das angegebene Netz nicht verfügbar ist.
AUTH_TEST ist die richtige SSID, ich weis auch nicht warum der sagt, dass es nicht verfügbar sei
Den WLC haben wir als Proxy, sollte also passen.
Wie bereits gesagt, keine gute Lösung wenn die APs einmal den Link zum Controller verlieren. Das schafft eine Abhängigkeit die nicht sein müsste.Ist aber auch nicht das ursächliche Problem sondern letztlich eine Design Frage.
Reason Code 163851 zeigt ggf. auf den Fast Startup des WiFi Interfaces:
https://answers.microsoft.com/en-us/windows/forum/all/cannot-connect-to- ...
https://social.technet.microsoft.com/Forums/lync/en-US/f2f0c637-a115-404 ...
Gibt zig Einträge dazu bei Dr. Google.
Spiel das Client Zertifikat doch testhalber mal auf den FreeRadius und schalte das im SSID Profil mal kurz um auf den FreeRad und starte den mit freeradius -X im Debug Mode und sieh dir mal an was der sagt.
Dessen Debug Messages sind weit hilfreicher als das was vom NPS kommt.
1
Wenn Du den Freeradius mit freeradius - XXX startest, wird der Debugmodus noch detaillierter.
1
Ich weis leider nicht was FreeRadius ist, OpenSource Radius Server oder wie? Muss ich da was downloaden, habt ihr ein Link?
Update: Ich habe die von mir erstellte GPO gelöscht und siehe da, die Verbindung steht....
Ich weis leider nicht was FreeRadius ist, OpenSource Radius Server oder wie?
Oben hast du doch selber geschrieben: "Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert."Welcher sollte das denn wohl sein?! https://freeradius.org
Siehe dazu auch: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Aber Glückwunsch wenn es nun rennt wie es soll! 👏
Bleibt dir nur noch deinen Thread hier zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Zitat von @148523:
Welcher sollte das denn wohl sein?! https://freeradius.org
Siehe dazu auch: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Aber Glückwunsch wenn es nun rennt wie es soll! 👏
Bleibt dir nur noch deinen Thread hier zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Ich weis leider nicht was FreeRadius ist, OpenSource Radius Server oder wie?
Oben hast du doch selber geschrieben: "Das WLAN wird aktuell über eine SSID über einen Linux Radius Server mit MAC Adressen authentifiziert."Welcher sollte das denn wohl sein?! https://freeradius.org
Siehe dazu auch: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Aber Glückwunsch wenn es nun rennt wie es soll! 👏
Bleibt dir nur noch deinen Thread hier zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
ja ich meinte diesbezüglich nur die SSID die wir aktuell verwenden, die neue soll ja über den neuen Windows Server laufen mit NPS. Aber das ist auch nicht mehr so weit das Übliche.
Wie gesagt, ich melde mich, wenn ich wieder Fragen habe
Danke für Alles soweit!
Ok, für mich stellt sich jetzt die Frage:
Wie erstellt man hierbei einen Cluster? Einen 2. Server als Proxy einstellen? Was würde aber passieren, wenn der 1. Server ausfällt, übernimmt der Proxy die AAA? Oder ist er dann nur fürs Weiterleiten zuständig? Habt ihr da etwas für mich?
Wie erstellt man hierbei einen Cluster? Einen 2. Server als Proxy einstellen? Was würde aber passieren, wenn der 1. Server ausfällt, übernimmt der Proxy die AAA? Oder ist er dann nur fürs Weiterleiten zuständig? Habt ihr da etwas für mich?
Diese Frage hat nun aber rein gar nichts mehr mit der eigentlichen technischen Thematik dieses Threads zu tun und solltest du besser in einen neuen Thread auslagern.
1Zitat von @148523:
Diese Frage hat nun aber rein gar nichts mehr mit der eigentlichen technischen Thematik dieses Threads zu tun und solltest du besser in einen neuen Thread auslagern.
Diese Frage hat nun aber rein gar nichts mehr mit der eigentlichen technischen Thematik dieses Threads zu tun und solltest du besser in einen neuen Thread auslagern.
done
