Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN mit Radius-Authentifizierung - Keine IP per DHCP

Mitglied: NixVerstehen

NixVerstehen (Level 2) - Jetzt verbinden

16.07.2019 um 09:05 Uhr, 304 Aufrufe, 3 Kommentare

Guten Morgen,

ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist .

Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.

Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.

Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.

Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.

Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar!

Gruß NV
Mitglied: emeriks
LÖSUNG 16.07.2019, aktualisiert um 11:25 Uhr
Hi,
Zitat von NixVerstehen:
..... sowie als Windowsgruppe die entsprechende Benutzer-OU. .....
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".

E.
Bitte warten ..
Mitglied: NixVerstehen
19.07.2019, aktualisiert um 16:52 Uhr
Hi,

ich bin zwar ein Stück weiter, aber fliegen tut es noch nicht.

Ich hab noch mal von vorne angefangen und mich an Andys Blog (hatte aqui mal irgendwo verlinkt) gehalten. Für die Windows-Maschine hab ich im AD eine Computergruppe erstellt, da den Client rein gepackt und auf dem NPS dann die Bedingung angelegt.
Die Ereignisanzeige für den Network Policy Server zeigt mir auch an, das sowohl für den W10-Client selbst als auch den Benutzer Zugriff gewährt wurde. Aber der Client erhält keine IP per DHCP.

Wenn ich mit Wireshark auf dem LAN-Port des Access Points mitschneide, sehe ich einige DHCP-Discover des W10-Clients, aber keine DHCP-Offer dazu.

Wenn ich aber ein iPhone oder einen Androiden zum Testen nehmen, funktioniert es sofort wie es soll. Da hab ich den DHCP-Discover im Wireshark und sofort drauf den DHCP-Offer.

Ich werde nicht schlau draus. Aber es ist Freitag und für heute ist Schluss. Der Grill und ein kühles Bier warten.

Gruß NV
Bitte warten ..
Mitglied: NixVerstehen
22.07.2019 um 10:24 Uhr
Moin,

so...Fehler gefunden. ich verstehe es zwar nicht, aber es funktioniert. Ich habe schon länger auf dem Cisco SG350, an dem die APs angeschlossen sind, DHCP Snooping aktiviert und nur die Ports des DC (auch DHCP) und des Routers (DHCP für einen Kundenrechner)
als Trusted Ports konfiguriert.

Nachdem ich die Ports, an dem die beiden APs hängen, als Trusted Port aktiviert habe, fliegt das Ganze wie es soll. Warum allerdings
die Test-Smartphones von Anfang an eine IP erhalten haben und der W10-Client erst, nachdem die Ports der APs als Trusted Ports gesetzt wurden, verstehe ich nicht.

Gruß NV
Bitte warten ..
Ähnliche Inhalte
Windows Server
RADIUS Authentifizierung in WLAN
Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

LAN, WAN, Wireless
Wlan radius computer authentifizierung
Frage von q16marvinLAN, WAN, Wireless4 Kommentare

Hallo, ich habe nun sehr lange nach einer Lösung gesucht, leider nichts gefunden. Ziel: ich habe nun 12 Laptops ...

Netzwerkgrundlagen

Zertifikat für RADIUS Authentifizierung per WLAN

Frage von osze90Netzwerkgrundlagen34 Kommentare

Guten Tag Ich habe anhand dieser Anleitung " versucht eine RADIUS basierte Authentifizierung über meinen Access Points zu konfigurieren. ...

Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

Neue Wissensbeiträge
Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 2 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 4 TagenHumor (lol)9 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Backup
Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
gelöst Frage von speedy26gonzalesBackup12 Kommentare

Hallo, ich sollte ein paar Dateien in C:\Users\xyc\AppData\Local\Microsoft\Outlook wieder herstellen. Auf dem Benutzerkonto ist in Outlook ein IMAP Konto ...

Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer10 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

Windows 10
Windows 10 Backup auf Netzwerk Storage
Frage von Futschel2608Windows 1010 Kommentare

Hallo geehrte Mitstreiter Innen, Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern. ...

Batch & Shell
Mittels SED Text ersetzen in Anführungszeichen
gelöst Frage von nekronBatch & Shell9 Kommentare

Moin … bin nicht wirklich der SED/regex Mensch, vielleicht kann mir jemand auf die Schnelle Helfen :) ich habe ...