Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN mit Radius-Authentifizierung - Keine IP per DHCP

Mitglied: NixVerstehen

NixVerstehen (Level 2) - Jetzt verbinden

16.07.2019 um 09:05 Uhr, 563 Aufrufe, 3 Kommentare

Guten Morgen,

ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist .

Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.

Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.

Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.

Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.

Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar!

Gruß NV
Mitglied: emeriks
LÖSUNG 16.07.2019, aktualisiert um 11:25 Uhr
Hi,
Zitat von NixVerstehen:
..... sowie als Windowsgruppe die entsprechende Benutzer-OU. .....
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".

E.
Bitte warten ..
Mitglied: NixVerstehen
19.07.2019, aktualisiert um 16:52 Uhr
Hi,

ich bin zwar ein Stück weiter, aber fliegen tut es noch nicht.

Ich hab noch mal von vorne angefangen und mich an Andys Blog (hatte aqui mal irgendwo verlinkt) gehalten. Für die Windows-Maschine hab ich im AD eine Computergruppe erstellt, da den Client rein gepackt und auf dem NPS dann die Bedingung angelegt.
Die Ereignisanzeige für den Network Policy Server zeigt mir auch an, das sowohl für den W10-Client selbst als auch den Benutzer Zugriff gewährt wurde. Aber der Client erhält keine IP per DHCP.

Wenn ich mit Wireshark auf dem LAN-Port des Access Points mitschneide, sehe ich einige DHCP-Discover des W10-Clients, aber keine DHCP-Offer dazu.

Wenn ich aber ein iPhone oder einen Androiden zum Testen nehmen, funktioniert es sofort wie es soll. Da hab ich den DHCP-Discover im Wireshark und sofort drauf den DHCP-Offer.

Ich werde nicht schlau draus. Aber es ist Freitag und für heute ist Schluss. Der Grill und ein kühles Bier warten.

Gruß NV
Bitte warten ..
Mitglied: NixVerstehen
22.07.2019 um 10:24 Uhr
Moin,

so...Fehler gefunden. ich verstehe es zwar nicht, aber es funktioniert. Ich habe schon länger auf dem Cisco SG350, an dem die APs angeschlossen sind, DHCP Snooping aktiviert und nur die Ports des DC (auch DHCP) und des Routers (DHCP für einen Kundenrechner)
als Trusted Ports konfiguriert.

Nachdem ich die Ports, an dem die beiden APs hängen, als Trusted Port aktiviert habe, fliegt das Ganze wie es soll. Warum allerdings
die Test-Smartphones von Anfang an eine IP erhalten haben und der W10-Client erst, nachdem die Ports der APs als Trusted Ports gesetzt wurden, verstehe ich nicht.

Gruß NV
Bitte warten ..
Ähnliche Inhalte
Windows Server
RADIUS Authentifizierung in WLAN
Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

LAN, WAN, Wireless
Wlan radius computer authentifizierung
Frage von q16marvinLAN, WAN, Wireless4 Kommentare

Hallo, ich habe nun sehr lange nach einer Lösung gesucht, leider nichts gefunden. Ziel: ich habe nun 12 Laptops ...

Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

LAN, WAN, Wireless

Free Radius Server zur WLAN Authentifizierung

gelöst Frage von fundave3LAN, WAN, Wireless10 Kommentare

Hallo Zusammen, ich möchte einen Freeradius Server dafür nutzen, um einen Router mit WPA2-Enterprise Modus zu betreiben. Dabei möchte ...

Neue Wissensbeiträge
Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 1 TagNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 1 TagMicrosoft1 Kommentar

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 2 TagenHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 3 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Heiß diskutierte Inhalte
Router & Routing
Suche Router der von einem Ethernet ein WLAN erzeugt
gelöst Frage von cdkurtRouter & Routing24 Kommentare

Hallo, ich bin auf der Suche nach einem Wlan Router/ Access Point der sich in einem Heim / Hotel ...

Utilities
Motherboard mit zwei Ethernet Adapter.?
Frage von Sibelius001Utilities17 Kommentare

Hallo, ist bestimmt eine "Dummy" Frage, die hier bestimmt schon x-mal diskutiert wurde (Dafür bitte ich mal vorab um ...

Sicherheitsgrundlagen
Frage zur allgemeinen Netzwerksicherheit
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen15 Kommentare

Guten Tag zusammen, in letzter Zeit beschäftige ich mich, auch wenn ich "nur" Azubi bin, mit diversen Themen der ...

Netzwerkgrundlagen
Anfänger-Plan für ein Heimnetzwerk mit Opnsense
gelöst Frage von scriptoriusNetzwerkgrundlagen13 Kommentare

Hallo, ich plane, mein Netzwerk zu Hause umzugestalten. Ich habe einen Glasfaser-Anschluss (Deutsche Glasfaser). In meinem Netzwerk befinden sich ...