WLC 4006 und Radius mit Windows 2008R2

[jbaecker]

Hallo zusammen,

hat hier irgendjemand ein How-To gefunden?

Ich scheitere ehrlicherweise daran, dass ich nicht mehr weiß, wo ich den Windows-Server noch als Radius-Server eintragen soll - sobald ich ein Trace mache mit den Optionen "Radiusserver und -client" sehe ich reingar nichts - also keinerlei Verkehr/Requests zu dem Server.

Hat das jemand funktionierend hinbekommen?

Vielen Dank im Vorraus!

Gruß
jbaecker

[Bernie137]

Hallo,

unter Wireless LAN -> 802.1x -> Radius Server den Windows Radius Server anlegen und z.B. als "R-IAS" benennen. Dann unter Wireless LAN -> 802.11i -> WPA-/Einzel-WEP Einstell. -> im entsprechenden logischen WLAN bei "Schlüssel 1/Passphrase" den angelegten Radius hinterlegen, hier im Beispiel "R-IAS".

Gruß Heiko

[jbaecker]

So - ich hab nun beim WLC mittels Lanconfig unter "WLAN-Controller" -> "Profile" -> "Radius-Profile" den Server entsprechend eingetragen.
Dieses Profil habe ich dann einem logischen WLAN zugewiesen.

Was passiert ist: Rein gar nichts. Ich sehe noch nicht mal den Versuch, dass es ein Client probiert...

Irgendwelche Ideen?

Muss ich unter "Kommunikation" -> "Radius" noch etwas eintragen bzw. unter dem Punkt "Radius-Server" direkt? Ich bin mir nicht ganz sicher, an welcher Stelle ich was einschalten muss, damit Anfragen eben weitergeleitet werden und nicht der interne Radiusserver von Lancom aktiviert wird.. ?

Ich bin für jede Hilfe dankbar!

Gruß
jbaecker

[Bernie137]

Hi,

also die Einstellungen funktionieren so bei einem enzelnen AP ohne WLC, das hätte ich vielleicht besser dazugeschrieben.
Aber vielleicht ist es ja eine Idee, die zu lösenden Problemstellungen in kleinere Teilaufgaben zu lösen. Damit meine ich, mal einen AP einzeln (ohne WLC) betreiben und dann die Radius Geschichte zu konfigurieren. Wenn das dann klappt im 2. Schritt mit WLC.

Gruß Heiko

[Cytor]

Hi,

hast du dem WLC auch gesagt, dass deine SSID mit 802.1x laufen soll statt WPA(2)-PSK?
Am logischen WLAN-Profil unter Verschlüsselung auf "802.11i (WPA)-802.1x" stellen.
Wenn jetzt für die APs noch dein neu erzeugtes RADIUS-Profil gilt, sollte ein RADIUS-Client Trace auf dem AP schon Regung zeigen, wenn du dich an der 802.1x-SSID anmeldest.

[jbaecker]

Hi,

im Trace sehe ich mit den Einstellungen nicht einen Eintrag.

Beim Client, der sich zu authentifizieren versucht, sehe ich folgenden Eventlogeintrag:

Eventid: 5632

"Zusätzliche Informationen:
Ursachencode: Empfang eines expliziten Eap-Fehlers (0x50005)
Fehlercode: 0x40420110
EAP-Ursachencode: 0x40420110
EAP-Fehlerursachen-Zeichenfolge: Netzwerkauthentifizierungsfehler aufgrund eines Problems mit dem Benutzerkonto."

Lässt laut Suchergebnissen darauf schließen, dass der Authenticator (sprich der WLC in dem Falle) die Anfrage nicht weiterleitet. [würde ich vermuten]

Ideen?

Danke bis hierhin!

Gruß
jbaecker

[alf29]

Moin,

mal ganz grundsätzlich: sollen von den APs kommende RADIUS-Anfragen an den RADIUS- Server im WLC gehen, der sie dann gesammelt an den IAS weiterleitet oder sollen die APs direkt den IAS ansprechen?

Gruß Alfred

[jbaecker]

Hi,

eher zweiteres - also alles über den WLC.

[alf29]

Moin,

dann schaltest Du den RADIUS-Server im WLC ein (Authentisierungs-Port auf 1812), im WLAN-Management-Bereich keine weiteren RADIUS-Server eintragen. Der WLC weist sich damit den APs selber als RADIUS-Server zu. Dann richtest Du im RADIUS-Server des WLC eine Weiterleitung auf den IAS ein, d.h. in der Forwarding-Tabelle einen Eintrag mit IP-Adresse, Port und Shared Secret des IAS einrichten und sowohl Empty- als auch Default-Realm auf den Namen dieses Forwarding-Eintrags setzen. Aus der Sicht des IAS taucht dann nur noch der WLC als RADIUS-Client auf, weil er sozusagen als RADIUS-Proxy fuer die gemanagten APs agiert.

Unter 'Kommunikation' brauchst Du nichts zu setzen, dort traegt man nur etwas fuer Dial-In-Verbindungen auf das Geraet ein, die ueber RADIUS authentisiert werden sollen.

Gruss Alfred

[jbaecker]

Moin,

hab das nun mal so eingestellt - nichts. Ich sehe nicht mal ansatzweise den Versuch im Trace, das hier Radiustechnisch was passiert. Der einzige Eintrag, der alle halbe Minute kommt, ist
: [RADIUS-Server] 2013/07/10 09:33:39,217 Devicetime: 2013/07/10 09:34:03,080
Checking for dead accounting sessions:

Der Client sagt mir, das es keine Antwort auf das EAP-Response-Identity-Paket gab - was ja logisch ist, wenn der WLC keine Verbindung zum eigentlich Radius-Server aufbaut. Warum auch immer ..

Danke trotzdem - für weitere Ideen bin ich natürlich offen

Gruß
jbaecker

[alf29]

Der Client sagt mir, das es keine Antwort auf das EAP-Response-Identity-Paket gab - was ja logisch ist, wenn der WLC keine Verbindung zum eigentlich Radius-Server aufbaut. Warum auch immer ..

Was erzählt denn ein EAP- und RADIUS-Client-Trace auf den APs so? Steht der WLC im gleichen Subnetz wie die APs?

Gruß Alfred

[jbaecker]

Guter Tip!

Der AP sagt mir:

[EAP] 2013/07/10 14:01:03,597 Devicetime: 2013/07/10 14:01:27,485
EAP: could not find valid RADIUS server definition, giving up

Eingestellt hatte ich das auf dem WLC so, wie du es mir geraten hast.

Nein, die APs stehen in einem anderen Subnet.

[jbaecker]

Auf dem WLC unter "WLAN-Controller" -> Profile gibt es ja das Radius-Profil. Dort ist nichts eingetragen [also dort gibts nur die 2 Default-Einträge "Default" und "Default_Backup" und beim log. WLAN steht auch Default drin - muss hier vielleicht doch noch was eingestellt werden?

Gruß
jbaecker

[Bernie137]

Moin Alfred,

dann schaltest Du den RADIUS-Server im WLC ein (Authentisierungs-Port auf 1812), im WLAN-Management-Bereich keine weiteren RADIUS-Server eintragen. Der WLC weist sich damit den APs selber als RADIUS-Server zu. Dann richtest Du im RADIUS-Server des WLC eine Weiterleitung auf den IAS ein, d.h. in der Forwarding-Tabelle einen Eintrag mit IP-Adresse, Port und Shared Secret des IAS einrichten und sowohl Empty- als auch Default-Realm auf den Namen dieses Forwarding-Eintrags setzen. Aus der Sicht des IAS taucht dann nur noch der WLC als RADIUS-Client auf, weil er sozusagen als RADIUS-Proxy fuer die gemanagten APs agiert.

Kann man das auch so machen, wenn der WLC noch ein Public Spot Netz hat? Habe ne ähnliche Konstellation und würde eben gerne noch ein IAS WLAN dazulegen. Einzelne APs mit IAS hab ich schon am Laufen.

Gruß Heiko

[jbaecker]

Das wäre mal der ganze Trace:

[RADIUS-Server] 2013/07/10 15:55:58,440 Devicetime: 2013/07/10 15:56:22,730
Checking for dead accounting sessions:

[EAP] 2013/07/10 15:56:01,469 Devicetime: 2013/07/10 15:56:25,933
EAP: Delete station 6c:88:14:ac:46:84 failed (station not found)

[EAP] 2013/07/10 15:56:01,469 Devicetime: 2013/07/10 15:56:25,936
EAP: Delete station 6c:88:14:ac:46:84 failed (station not found)

[EAP] 2013/07/10 15:56:01,469 Devicetime: 2013/07/10 15:56:25,936
EAP: TX -> 6c:88:14:ac:46:84 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2013/07/10 15:56:01,469 Devicetime: 2013/07/10 15:56:25,936
EAP: Create station 6c:88:14:ac:46:84

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,950
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Start
Packet Length : 0
Packet Trailer : 00 .
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,950
EAP: RX <- 6c:88:14:ac:46:84 - received EAPOL frame from supplicant
EAP: Packet Type = 1 (EAPOL-Start)
EAP: Packet Length = 0

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,950
EAP: TX -> 6c:88:14:ac:46:84 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,953
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 25
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 25
EAP Packet Type : Identity
Identity String : domain\userxyz
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,953
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 25
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 25
EAP Packet Type : Identity
Identity String : domain\userxyz
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,953
EAP: RX <- 6c:88:14:ac:46:84 - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 25
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 25
EAP: Type = 1 (Identity)

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,953
EAP: could not find valid RADIUS server definition, giving up

[EAP] 2013/07/10 15:56:01,669 Devicetime: 2013/07/10 15:56:25,953
EAP: RX <- 6c:88:14:ac:46:84 - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 25
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 25
EAP: Type = 1 (Identity)

[EAP] 2013/07/10 15:56:01,670 Devicetime: 2013/07/10 15:56:25,953
EAP: Warning: received Id (1) in wrong state! -> ignoring frame

[EAP] 2013/07/10 15:56:07,516 Devicetime: 2013/07/10 15:56:31,798
EAP: Delete station 6c:88:14:ac:46:84

[EAP] 2013/07/10 15:56:07,516 Devicetime: 2013/07/10 15:56:31,798
EAP: Delete station 6c:88:14:ac:46:84 failed (station not found)

[EAP] 2013/07/10 15:56:13,056 Devicetime: 2013/07/10 15:56:37,519
EAP: Delete station 6c:88:14:ac:46:84 failed (station not found)

[EAP] 2013/07/10 15:56:13,056 Devicetime: 2013/07/10 15:56:37,522
EAP: Delete station 6c:88:14:ac:46:84 failed (station not found)

[EAP] 2013/07/10 15:56:13,056 Devicetime: 2013/07/10 15:56:37,523
EAP: TX -> 6c:88:14:ac:46:84 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2013/07/10 15:56:13,256 Devicetime: 2013/07/10 15:56:37,538
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Start
Packet Length : 0
Packet Trailer : 00 .
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2013/07/10 15:56:13,256 Devicetime: 2013/07/10 15:56:37,538
EAP: RX <- 6c:88:14:ac:46:84 - received EAPOL frame from supplicant
EAP: Packet Type = 1 (EAPOL-Start)
EAP: Packet Length = 0

[EAP] 2013/07/10 15:56:13,256 Devicetime: 2013/07/10 15:56:37,538
EAP: TX -> 6c:88:14:ac:46:84 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2013/07/10 15:56:13,256 Devicetime: 2013/07/10 15:56:37,541
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 25
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 25
EAP Packet Type : Identity
Identity String : domain\userxyz
-->forwarding non-802.11i key packet to 802.1x