LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 25 Apr 2018, 00:25

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 10 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 14 Apr 2018, 13:15 
Offline

Registriert: 29 Apr 2005, 12:29
Beiträge: 362
Hallo Zusammen,

die Frage geht vermutlich direkt an Alfred :roll:

Seit langer Zeit benutze ich im WLAN die Authentifizierung mittel 802.1x/Radius, den Radius-Dienst übernimmt ein 1781VA mit WLC-Option.
Dies funktioniert bis jetzt sehr gut, bei der ersten Anmeldung fragen die Clients (Win10, IOS and MacOS) das Vertrauen in das Zertifikat ab und gut ists.

Jetzt hab ich eine neues Notebook (Fujitsu, WIN10Pro und Intel 8265-Chipsatz), bei der ersten Einrichtung hat es problemlos funktioniert. Nach dem zweiten Reboot (nach der Installation des AVC) funktioniert die Anmeldung nicht mehr. User/Pass wird abgefragt, die Frage "ob das Netz hier erwartet wird" kommt, die Netzwerküberprüfung beginnt und dann kommt die Meldung "Verbindung mit diesem Netz nicht möglich".

Leider lässt sich dazu im Log (siehe Bild, geschwärzt ist die IP des AP, gerötet der Username) nicht viel erkennen. Der Client wird ordnungsmäß authentifiziert. An dem Account kann es nicht liegen, habe es auch mit einem funktionierenden erfolglos versucht. Nach einiger Sucherei fiel mir ein Artikel der MS-KB auf den Googel: https://support.microsoft.com/de-de/help/3121002/windows-10-devices-can-t-connect-to-an-802-1x-environment. Nun versuche ich herauszubekommen welche TLS-Version der Radisu verwendet, oder wie ich das erkennen kann. Auch auf einem angemeldeten Win10 konnt ich nichts sehen.

Mite der Bitte um etwas Erleuchtung und schöne Grüßen

Udo

Dateianhang:
radius.PNG
radius.PNG [ 58.87 KiB | 282-mal betrachtet ]

_________________
... das Netz ist der Computer ...
n* LC und vieles mehr...


Nach oben
 Profil  
 
BeitragVerfasst: 15 Apr 2018, 18:57 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 07 Nov 2004, 20:33
Beiträge: 5721
Wohnort: Aachen
Moin,

von Hause aus verwendet der RADIUS-Server füe EAP-TLS, TTLs und PEAP erstmal nur TLS 1.0. TLS 1.1/1.2 kann man einschalten, aber wenn der Client nur TLS 1.0 kann bleibt es auch dabei.

In dem Log kann ich ehrlich gesagt auch nicht viel erkennen ;-), außer vielleicht daß die 1X-Verhandlung wohl bis in Phase 2 kommt (TLS-Tunnel aufgebaut, MSCHAPv2 läuft), weil der RADIUS-Server im LCOS dafür mit sich selber (127.0.0.1) redet. Ansonsten ist 802.1X mit all seinen Verästelungen viel zu kompliziert, als daß man im Syslog dazu irgendetwas sinnvolles sehen würde. Da sieht man wenn überhaupt nur im Trace etwas.

Aber mal ganz schlicht gefragt: wenn es nach der Installation des AVC nicht mehr geht, dann liegt der Verdacht nahe, daß es damit in Zusammenhang steht? Ich hatte es schon mehr als einmal, daß der AVSC sich in die WLAN-Konfig einmischt und da seinen eigenen WLAN-Manager unterbringen will - der dann eher schlecht als recht funktioniert...

Viele Grüße

Alfred

_________________
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015


Nach oben
 Profil  
 
BeitragVerfasst: 16 Apr 2018, 19:35 
Offline

Registriert: 19 Aug 2014, 22:41
Beiträge: 309
Oder man verwendet für die Fehlersuche bzw. Fehlereingrenzung die "Packet Capture"-Funktion der LANCOM-Geräte und setzt für die Auswertung des aufgezeichneten Netzwerkverkehrs (*.pcap/*.pcapng) Wirekshark ein.

Ein guter Einstieg in die komplexe Thematik IEEE 802.1x und EAP-TLS (WPA2-Enterprise) bietet BSI-TR 03103 Teil 1:
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03103/index_htm.html

Lesenswert sind auch diese Artikel:
https://www.heise.de/ct/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X-und-Radius-979513.html

https://www.elektronik-kompendium.de/sites/net/0907111.htm

https://wlan1nde.wordpress.com/tag/encryption/

Bei Windows müssen die für EAP-TLS eingesetzten Zertifikate die unter:

https://support.microsoft.com/de-ch/help/814394/certificate-requirements-when-you-use-eap-tls-or-peap-with-eap-tls

http://www.lancom-forum.de/fragen-zum-thema-vpn-f14/windows-phone-10-per-vpn-verbinden-t15356.html#p86774

beschriebenen Anforderungen erfüllen.

Wichtig: Die Installation der Zertifikate muss in den Computer-Zertifikatsspeicher statt in den Benutzer-Zertifikatsspeicher erfolgen:

http://www.lancom-forum.de/fragen-zum-thema-vpn-f14/windows-phone-10-per-vpn-verbinden-t15356.html#p86774

Viel Glück bei der Fehlersuche!


Nach oben
 Profil  
 
BeitragVerfasst: 20 Apr 2018, 23:03 
Offline

Registriert: 29 Apr 2005, 12:29
Beiträge: 362
N'Abend zusammen,

(das gilt nicht für die Novell-Administratoren, denen wünscht man keinen guten Abend :mrgreen: )

habe heute nocheinmal ein bißchen Zeit investiert:
Die Anmeldung, sowie die komplette Challenge (genutzt wird PEAP mit MS Chap v2) scheint komplett durchgelaufen zu sein:
Dateianhang:
802-1x_compare.png
802-1x_compare.png [ 44.46 KiB | 120-mal betrachtet ]

Links der erfolgreiche, rechts der erfolglose Anmeldevorgang.
Die Radius Traces habe ich ebenfalls verglichen, sind identisch (alle mit TLS V1.0).
Habe den Versuch mit mehereren Maschinen gemacht (alle Win10 mit identischen Patchlevel), den AVC kann ich ausschließen, es streiken auch Kisten ohne VPN.
Der einzige Unterschied an dem ich eine Funktion / Nicht-Funktion festmachen kann ist die HAL:
Hardwareabstraktionsebene 10.0.16299.98 ist OK (3 Rechner funktionieren),
Version .248 und .371 funktionieren nicht (4 Rechner).
Nun brauche ich wohl einen Pott Weihwasser. Wenn ich noch etwas Zeit habe, werde ich mal mit einem anderem WLAN-Hersteller testen.

MacOS und IOS-Clients laufen ohne Probleme ...

Viele Grüße aus OBC

Udo

_________________
... das Netz ist der Computer ...
n* LC und vieles mehr...


Nach oben
 Profil  
 
BeitragVerfasst: 21 Apr 2018, 22:02 
Offline

Registriert: 19 Aug 2014, 22:41
Beiträge: 309
Gemäss Abbildung 24 von BSI-TR 03103 Teil 1 wurde der PMK (Pairwise Master Key) in beiden Fällen mit sehr hoher Wahrscheinlichkeit erfolgreich zum Supplicant (WLAN-Client) und Authenticator (WLAN Access Point) übertragen. Jetzt muss der Netzwerkverkehr auf der Luftschnittstelle zwischen WLAN-Client und WLAN Access Point aufgezeichnet werden und die Aufzeichnung untersucht werden, ob die 4 EAPOL-Telegramme gemäss Abbildung 25 von BSI-TR 03103 Teil 1 erfolgreich übertragen wurde und somit der Supplicant (WLAN-Client) und der Authenticator (WLAN Access Point) den PTK (Pairwise Transient Key) kennen. Siehe auch:

https://wlan1nde.wordpress.com/tag/encryption/

Aus Sicherheitsgründen sollte kein EAP-PEAP eingesetzt werden! Siehe Kapitel 7.2.5 von BSI-TR 03103 Teil 1 (Seite 59 oben).

Wurden die LANCOM-Geräte auf LCOS 10.12.0242 RU4 oder neuer aktualisiert?


Nach oben
 Profil  
 
BeitragVerfasst: 22 Apr 2018, 09:59 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 07 Nov 2004, 20:33
Beiträge: 5721
Wohnort: Aachen
Moin,

bevor man snifft, könnte man auch erstmal einfach ins Log des APs reinschauen. Wenn dort nach erfolgreicher 1X-Verhandlung auch noch ein erfolgreicher Key-Handshake gemeldet wird, dann ist das WLAN eigentlich schon fast aus dem Spiel.

Zitat:
Aus Sicherheitsgründen sollte kein EAP-PEAP eingesetzt werden!


Das mag ein wohlgemeinter Rat sein, aber außer PEAP kennt der in Windows eingebaute Supplicant nur noch EAP-TLS. Und ich kann jeden verstehen, der keine Lust hat, eine komplette CA hochzuziehen und zu pflegen...

Viele Grüße

Alfred

_________________
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015


Nach oben
 Profil  
 
BeitragVerfasst: 23 Apr 2018, 23:23 
Offline

Registriert: 29 Apr 2005, 12:29
Beiträge: 362
Hallo Zusammen,

in die Diskussion um EAP-PEAP möchte ich jetzt nicht einsteigen (eine CA ist für einige Szenarien leider nicht wirklich handhabbar).

Folgendes ist interessant:
Zitat:
nach erfolgreicher 1X-Verhandlung auch noch ein erfolgreicher Key-Handshake gemeldet wird

Dazu habe ich mal ein bißchen im Log gesucht und folgendes gefunden:
(Zum Testen habe ich alle AP bis auf einen abgeschaltet, Test-AP ist ein 1700er mit 10.12.0292RU6)
Klient A (Intel AC 7265) Key Handaheke bei 5GHz ok, bei 2,4GHz nok
Klient B (Intel AC 8265) Key Handshake bei 2,4GHz ok, bei 5GHz nok

Das hat mir dann keine Ruhr gelassen, habe die 802.1x SSID vom LANCOM-WLAN runter genommen und über eine Controller basierte Lösung eines Mitbewerbers geschubst (Als Radius Server dient nach wie vor der Lancom-WLC, also identisches Setup bis auf die AP):
Alle Klients funktionieren auf Anhieb auf allen Bändern!

Jetzt kann ich den Fehler an sich nur noch auf die Lancom AP schieben ... :!:

Mit vielen Fragezeichen und schönen Grüßen aus OBC

Udo

_________________
... das Netz ist der Computer ...
n* LC und vieles mehr...


Nach oben
 Profil  
 
BeitragVerfasst: Gestern, 00:12 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 07 Nov 2004, 20:33
Beiträge: 5721
Wohnort: Aachen
Moin,

also mit dem einen Client nur bei 5 und mit dem anderen nur bei 2.4 GHz? Das klingt für mich jetzt reichlich nebulös. Ist das reproduzierbar von Band abhängig und nicht doch von andern Effekten wie PMK-Caching?

Viele Grüße

Alfred

_________________
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015


Nach oben
 Profil  
 
BeitragVerfasst: Gestern, 00:53 
Offline

Registriert: 29 Apr 2005, 12:29
Beiträge: 362
Hallo Alfred,

über das unterschiedliche Verhalten habe ich mich auch extrem gewundert.
Werde die Prüfreihen mal mit ausgeschaltetem PMK erenut durchführen.

Viele Grüße

Udo

_________________
... das Netz ist der Computer ...
n* LC und vieles mehr...


Nach oben
 Profil  
 
BeitragVerfasst: Gestern, 09:00 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 07 Nov 2004, 20:33
Beiträge: 5721
Wohnort: Aachen
Moin,

Du solltest bei einem fehlgeschlagenen Key Handshake mit einem EAP-Trace schauen, woran er scheitert. Wenn es vom AP Meldungen über MIC-Fehler gibt, dann kannst Du Dir als nächstes anschauen, ob das korrekte PMK verwendet wird. Der EAP-Trace gibt das zum Start aus, und bei "einfachem" 802.1X (ohne 11r/Fast Roaming) ist der gleich dem MS-MPPE-Recv-Key, den der RADIUS-Server in seinem finalen Accept ausgibt.

Viele Grüße

Alfred

_________________
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 10 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Radius Server je SSID

taeuber

6

7004

02 Nov 2009, 21:33

taeuber Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Dateianhang Radius Server 802.1x Authentication

ahmedahmed

10

1081

24 Feb 2016, 00:21

Bernie137 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Windows Radius Server Authentifizierung mit Controller / AP

OlliWW

9

1512

20 Sep 2014, 23:35

5624 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Radius-Server in anderem Netzwerk nicht erreichbar

peser

5

925

25 Jun 2013, 12:10

peser Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. wlc 10.00.171 zentrales FW Management Version 10.xx

pherbert

3

532

29 Aug 2017, 10:13

pherbert Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group