WLAN mit Radius-Authentifizierung - Keine IP per DHCP
Guten Morgen,
ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist .
Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.
Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.
Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.
Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.
Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar!
Gruß NV
ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist .
Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.
Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.
Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.
Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.
Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar!
Gruß NV
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 473660
Url: https://administrator.de/forum/wlan-mit-radius-authentifizierung-keine-ip-per-dhcp-473660.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".
E.
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".
E.