3
WLAN mit Radius-Authentifizierung - Keine IP per DHCP
Guten Morgen,
ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist
.
Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.
Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.
Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.
Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.
Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar!
Gruß NV
ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist
.Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.
Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.
Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.
Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.
Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar!
Gruß NV
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 473660
Url: https://administrator.de/contentid/473660
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".
E.
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".
E.
Hi,
ich bin zwar ein Stück weiter, aber fliegen tut es noch nicht.
Ich hab noch mal von vorne angefangen und mich an Andys Blog (hatte aqui mal irgendwo verlinkt) gehalten. Für die Windows-Maschine hab ich im AD eine Computergruppe erstellt, da den Client rein gepackt und auf dem NPS dann die Bedingung angelegt.
Die Ereignisanzeige für den Network Policy Server zeigt mir auch an, das sowohl für den W10-Client selbst als auch den Benutzer Zugriff gewährt wurde. Aber der Client erhält keine IP per DHCP.
Wenn ich mit Wireshark auf dem LAN-Port des Access Points mitschneide, sehe ich einige DHCP-Discover des W10-Clients, aber keine DHCP-Offer dazu.
Wenn ich aber ein iPhone oder einen Androiden zum Testen nehmen, funktioniert es sofort wie es soll. Da hab ich den DHCP-Discover im Wireshark und sofort drauf den DHCP-Offer.
Ich werde nicht schlau draus. Aber es ist Freitag und für heute ist Schluss. Der Grill und ein kühles Bier warten.
Gruß NV
ich bin zwar ein Stück weiter, aber fliegen tut es noch nicht.
Ich hab noch mal von vorne angefangen und mich an Andys Blog (hatte aqui mal irgendwo verlinkt) gehalten. Für die Windows-Maschine hab ich im AD eine Computergruppe erstellt, da den Client rein gepackt und auf dem NPS dann die Bedingung angelegt.
Die Ereignisanzeige für den Network Policy Server zeigt mir auch an, das sowohl für den W10-Client selbst als auch den Benutzer Zugriff gewährt wurde. Aber der Client erhält keine IP per DHCP.
Wenn ich mit Wireshark auf dem LAN-Port des Access Points mitschneide, sehe ich einige DHCP-Discover des W10-Clients, aber keine DHCP-Offer dazu.
Wenn ich aber ein iPhone oder einen Androiden zum Testen nehmen, funktioniert es sofort wie es soll. Da hab ich den DHCP-Discover im Wireshark und sofort drauf den DHCP-Offer.
Ich werde nicht schlau draus. Aber es ist Freitag und für heute ist Schluss. Der Grill und ein kühles Bier warten.
Gruß NV
Moin,
so...Fehler gefunden. ich verstehe es zwar nicht, aber es funktioniert. Ich habe schon länger auf dem Cisco SG350, an dem die APs angeschlossen sind, DHCP Snooping aktiviert und nur die Ports des DC (auch DHCP) und des Routers (DHCP für einen Kundenrechner)
als Trusted Ports konfiguriert.
Nachdem ich die Ports, an dem die beiden APs hängen, als Trusted Port aktiviert habe, fliegt das Ganze wie es soll. Warum allerdings
die Test-Smartphones von Anfang an eine IP erhalten haben und der W10-Client erst, nachdem die Ports der APs als Trusted Ports gesetzt wurden, verstehe ich nicht.
Gruß NV
so...Fehler gefunden. ich verstehe es zwar nicht, aber es funktioniert. Ich habe schon länger auf dem Cisco SG350, an dem die APs angeschlossen sind, DHCP Snooping aktiviert und nur die Ports des DC (auch DHCP) und des Routers (DHCP für einen Kundenrechner)
als Trusted Ports konfiguriert.
Nachdem ich die Ports, an dem die beiden APs hängen, als Trusted Port aktiviert habe, fliegt das Ganze wie es soll. Warum allerdings
die Test-Smartphones von Anfang an eine IP erhalten haben und der W10-Client erst, nachdem die Ports der APs als Trusted Ports gesetzt wurden, verstehe ich nicht.
Gruß NV
