derlenhart
Goto Top

WLAN Gerät über RADIUS an NPS Server wird abgelehnt

Hallo,

ich habe ein WLAN Labledrucker, den ich in ein WPA2 Enterprise WLAN mit Raduis einbinden möchte. Es wir PEAP/MCHEAP2 unterstützt.

Zusätzlich wurde ein Domänenbenutzer angelegt, der mit seinen Zugangsdaten hinterlegt worden ist.

Das Gerät hat einen Support. Leider kommt beim Verbinden die u.g. Meldung.

Meine Frage: Welches Zertifikat ist gemeint? Benutzt der Etikettendrucker ein vom Hersteller ausgestelltes Zertifikat welches abgelaufen ist, weswegen der Austausch mer PEAP/MS-CHAEP2 fehltschlägt?

Frage zwei: Wenn ich auf dem Gerät selber keine Zertifikate installieren kann und es kein Firmwareupdate gibt, kann ich mich überhaupt verbinden?

Frage drei: Ist es möglich, oder macht es Sinn, dass der u.g. Fehler ignoriert werden kann? Das hieße jedoch im Umkerhschluss, dass abgelaufene Benutzerzertifiakte weiterhin "gültig" wären, was ja keinen Sinn macht.

Habt Ihr eine Idee?

derLenhart


Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID:
Kontoname:
Kontodomäne:
Vollqualifizierter Kontoname: *

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: .....
Anrufer-ID: ....

NAS:
NAS-IPv4-Adresse: *
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 0

RADIUS-Client:
Clientanzeigenname: *
Client-IP-Adresse: *

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: Blabliblupp
Authentifizierungsanbieter: Windows
Authentifizierungsserver: **
Authentifizierungstyp: PEAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 268
Ursache: Das empfangene Zertifikat ist abgelaufen.

Content-ID: 326179

Url: https://administrator.de/contentid/326179

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

aqui
Lösung aqui 12.01.2017 aktualisiert um 15:17:46 Uhr
Goto Top
Welches Zertifikat ist gemeint?
Es ist das Zertifikat gemeint mit der der Authenticator (Client) den Radius Server authentisiert. Ansonsten könntest du ja dem Client oder AP jeden beliebigen Radius Server unterschieben und er würde darüber dann alles ungefragt authentisieren.
Es leuchtet dir vermutlich auch selber ein das damit das ganze WPA2 Enterprise Konzept ad absurdum geführt wäre....
Wenn du auf dem Endgerät keine Zertifikate installieren kannst ists aus mit WPA2 Enterprise.

Das ist aber nicht unüblich, denn bei Druckern, Telefonen usw. ist das ja ähnlich. Was man dann mit der WPA2 Enterprise Funktion nutzt ist das sog. Mac Bypass. Dann wird so ein Endgerät vom Radius Server anhand der Mac Adresse authentisiert.
Diese beiden Foren Tutorials erklären dir den Zusammenhang:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Du hast allerdings noch ein ganz anderes grundlegendes Problem. Dazu sollte man natürlich lesen können face-sad :
Ursache: Das empfangene Zertifikat ist abgelaufen.
Damit ist dann natürlich so oder so alles sinnfrei, wenn es schon daran scheitert !!!
DAS solltest du also mal zuerst fixen...
derLenhart
derLenhart 13.01.2017 um 18:40:03 Uhr
Goto Top
Hallo,

danke für die Info und den Link: Exakt die Meldung mit dem abgelaufenem Zertifikat ist sogar mein Hauptanliegen. Das habe ich durchaus gelesen face-wink

Zum Verständnis nocheinmal. Die Client IP in den Logs ist der Access Point. Dort sehe ich kein abgelaufenes Zertifikat. Ich denke, dass er den Traffic zum NPS Server durchreicht, weswegen das eigentlich abgelaufene Zertifikat auf dem WLAN Device selber liegt. Sehe ich das richtig?

Genau das ist das Problem. Dort kann ich nichts einstellen, ein Zertifikat verlängern oder einspielen, Firmware updaten oder ähnliches. Deshalb gehe ich davon aus, dass der WLAN Device selber das Problem mit dem abgelaufenem Zertifikat. Genau das versuche ich gerade einzugrenzen. Das Device ist neu und alle anderen Geräte funktionieren ohne Probleme.

Da sich mir nicht ganz das Verfahren von PEAP erschlossen hat, hoffe ich, dass ich hier ggf. eine Info bekomme um das zu verstehen.

Ist das abgelaufene Zertifkat bei der Verschlüsselungsaushandlung denn der Access Point oder das Device? Ich denke der AP, oder in die NPS Sprache Client, reicht es nur durch? Das hätte ich gerne gewußt/ ausgeschlossen.
aqui
aqui 14.01.2017 aktualisiert um 14:54:26 Uhr
Goto Top
Exakt die Meldung mit dem abgelaufenem Zertifikat ist sogar mein Hauptanliegen. Das habe ich durchaus gelesen
Und warum generierst du dann nicht ein neues, gültiges Zertifikat und spielst das ein ?
Die Client IP in den Logs ist der Access Point
Ja, der tunnelt den Radius Request des Clients.
Das hättest du nicht fragen müssen wenn du dir den Radius Request ganz einfach mal mit einem Wireshark selber angesehen hättest !
Ich denke, dass er den Traffic zum NPS Server durchreicht
Richtig...wird getunnelt.
Dort kann ich nichts einstellen, ein Zertifikat verlängern oder einspielen
Wäre eigentlich Unsinn, denn jeder Client kann das.
Wenn nicht würde er generell ja kein WPA2 Enterprise supporten. Das aber widerspricht dann vollkommen der Fehlermeldung Ursache: Das empfangene Zertifikat ist abgelaufen.
Denn das besagt ja ganz klar das der Client ein Zertifikat mitsendet !!!
Er muss also logischerweise irgendwie schon eins haben was aber abgelaufen ist. Wäre gar keins drin oder kann er kein WPA2 Enterprise, wäre die Fehlermeldung logischerweise komplett anders.
Also entweder verar... du uns hier nach Strich und Faden oder kennst schlicht und einfach deine Endgeräte nicht ?!?
Da sich mir nicht ganz das Verfahren von PEAP erschlossen hat
Dann googeln und nachlesen und mal den Wireshark zur Hand nehmen und sich das alles live ansehen. Ein Bild (und Daten) sagt oft mehr als 1000 Worte !
Ist das abgelaufene Zertifkat bei der Verschlüsselungsaushandlung denn der Access Point oder das Device?
Wozu postet man eigentlich die Tutorials oben ?? Hast du mal die Güte gehabt diese auch zu lesen ??
Dort steht doch das das Zertifikat auf dem Client eingespielt wird !! Deshalb auch die etwas provokante Frage oben was du uns hier weismachen willst und was nicht face-wink
derLenhart
derLenhart 14.01.2017 um 17:42:43 Uhr
Goto Top
Hallo,

danke, alle Fragen sind beantwortet. Das Verfahren des Schlüsselaustausches ist nun bekannt und der Fehler am Endgerät lokalisiert.

Abschließen: Das Endgerät bietet leider keinerlei Möglichkeiten ein Zertifikat einzuspielen, zu erneuern oder ähnliches (Zugriff auf Dateien, Firmware Update), wie bereits geschrieben, sonst wäre es ja kein Problem gewesen und das Zertifikat hätte ich erneuert.

Es wird per Haus aus mit einem abgelaufenem Zertifikat ausgeliefert und ist kein Enterprise Gerät. Klingt komisch, ist aber so. Das Gerät wurde auch erst angeschafft (nicht von mir) und dann geprüft, um weiteren Provokationen vorzubeugen. face-wink

Vielen Dank für die Hilfe.
aqui
aqui 15.01.2017 aktualisiert um 16:47:15 Uhr
Goto Top
Abschließen: Das Endgerät bietet leider keinerlei Möglichkeiten ein Zertifikat einzuspielen, zu erneuern oder ähnliches (Zugriff auf Dateien, Firmware Update),
Sorry aber das kann dir hier niemand wirklich glauben wenn der Radius Server sagt das Zertifikat wäre abgelaufen.
Das bedeutet ja ganz klar das das Gerät ein Zertifikat sendet !!
Das das ein fest eingebranntes ist was niemand verändern kann gehört dann ins Reich der IT Märchen...weisst du vermutlich auch selber.
Am einfachsten ist wohl du rufst mal den Hersteller an für eine finale Klärung !!
Es wird per Haus aus mit einem abgelaufenem Zertifikat ausgeliefert und ist kein Enterprise Gerät
Das klingt MEHR als komisch und kann man fast so nicht glauben.
Wenn es der Hersteller aber selber verifizieren würde wäre das ein klares KO Kriterium für den !
Das Gerät wurde auch erst angeschafft (nicht von mir) und dann geprüft,
Hoffentlich dann wie für IT Abteilungen üblich als Demo oder PoC Leihe das man solchen (vermeintlichen) Schrott schnell wieder zurückgeben kann ?!