WLC4006 mit Windows RADIUS für 802.1x Zertifikats Auth.

[cobain86]

Hallo
wir haben einen WLC4006 mit 8 APs bei dem 2 WLANs aufgespannt sind.
Ein WLAN soll für intern sein und soll über Zertifikate am Windows RADIUS Server die verbindungen erlauben.

Ich habe den Windows Radius (NPC) am 2008 R2 Server eingerichtet(AD Domäne) und auch den Wizard durchlaufen.
Als Radius Clients habe ich dort den WLC und einen AP zum Test hinterlegt.

Am WLC wurde ein neues Radius profil erstellt mit dem NPC als Endpunkt.
Dieses Profil wurde dem internen WLAN hinterlegt und die Verschlüsselung auf 802.11iWPA-802.1x gestellt.

Ich habe auch das Zertifikat vom NPC exportiert und am Lancom als SCEP Zertifikat hinterlegt.

Eine Verbindung vom windows 7 client ist aber nicht möglich. es kommt immer wieder zu einer username/Passwort abfrage die nicht greift, egal welche AD user ich teste.

Die einzige Anleitung die ich von Lancom kenne ist die, das der Lancom als Zertifikatsgeber dient, dies geht bei unserem WLC4006 allerdings nicht.

Um das ganze nochmal abzukürzen
Ziel ist es, das das 2. WLAN über den WLC nur über ein Zertifikat erreichbar ist, ohne extra PW Abfrage oder sonstiges.
Vielleicht gibt es ja noch eine möglichkeit das man auf den NPC Server verzichten kann und der WLC die Authentifizierung und Zertifikatsprüfung macht.

[alf29]

Moin,

verstehe ich das richtig, daß der eigentliche 802.1X Authentication Server auf dem Windows-Rechner laufen soll? Dann spielt der RADIUS-Server auf dem WLC nur RADIUS-Proxy bzw. -Forwarder, d.h. er leitet die RADIUS-Anfragen von den APs an den Windows-Rechner weiter, der RADIUS-Server auf dem Windows-Rechner "sieht" nur den WLC als RADIUS-Client. Dafür muß in der Forwarder-Tabelle des RADIUS-Servers vom WLC ein passender Eintrag rein, der auf dem Windows-Server verweist.

Gruß Alfred

[cobain86]

moin

ja das wäre das optimum das der windows server als radius geber dient. sprich dieser soll die zertifikate erstellen und beim connect auch prüfen.

ich habe eben mal probiert nur das erstellte CA am lancom WLC zu installieren und darüber mal eine verbindung herzustellen. auch das scheitert. das windows sagt immer ich soll das zertifikat installieren obwohl es installiert ist.

[alf29]

Moin,

auf dem WLC brauchst Du für 1X gar keine Zertifikate zu installieren, der WLC spielt in den Fall nur 'Durchreiche' für die RADIUS-Anfragen der gemanagten APs.

Sofern Du den RADIUS-Server für nichts anderes brauchst (z.B. Public-Spot), reicht es, in der Forwarding-Tabelle des RADIUS-Servers die Zugangsdaten für den Windows-RADIUS-Server zu hinterlegen (IP-Adresse bzw. Hostnamen, UDP-Port und shared secret), und den Namen, den Du diesem Eintrag gegeben hat, trägst Du noch als Empty- und Default-Realm ein. Dann reicht der RADIUS-Server im WLC alle RADIUS-Anfragen weiter.

Gruß Alfred

[cobain86]

also ich habe jetzt nochmal den NPS am windows zurückgesetzt und mit wizard nochmal neu eingerichtet als 802.1x verbindung
als benutzer habe ich mal alle domänen user hinterlegt.
als Clientgerät habe ich die IP vom WLC am nps hinterlegt.

nun habe ich am WLC im bereich WLAN den NPS Server hinterlegt(siehe screenshots) und am wlan das Radius profil ausgewählt.

zusätzlich habe ich noch unter "Radius-Server -> Weiterleitung auch den NPS mit Shared Secret hinterlegt. und den namen dies profils als standard realm und leerer realm hinterlegt.
leider weiterhin kein login möglich. ich bekomme am windows 7 client auch weiterhin ein anmeldefenster für username/passwort wenn ich das wlan auswähle, aber kein domänen login geht da. sprich ich komme nicht ins wlan.

[cobain86]

den nps und client habe ich nach diesem video tutorial eingerichtet

https://www.youtube.com/watch?v=iZ5cyj4bfUE

[alexes]

Hallo
hinterlege neben dem WLC auch die IP Adressen der Access Points im nps

Gruß
Alex

[Bernie137]

Moin,

Ziel ist es, das das 2. WLAN über den WLC nur über ein Zertifikat erreichbar ist, ohne extra PW Abfrage oder sonstiges.

Dann macht man es eleganter nicht für Domain User, sondern für Domain Computerkonten http://www.it-training-grote.de/downloa ... P-Cert.pdf.

Teste zunächst einmal mit einem einzelnen AP, der nicht vom WLC gemanaged ist. Es gibt zu viele Stellen, wo es haken könnte. Am AP hilft Dir der Trace EAP und Radius-Client/Radius-Server, am Windows Radius Server hilft Dir das Programm Iasviewer.

Beachte auch https://technet.microsoft.com/en-us/lib ... 54198.aspx und wenn es bei Domain Usern statt Computer Konten bleiben soll, muss bei Windows 7 das WLAN Profil manuell angelegt werden, siehe https://supportforums.cisco.com/documen ... -windows-7

Gruß Bernie

[cobain86]

so das scheint was nicth zu passen
trace am AP


[EAP] 2016/05/20 10:58:51,088 Devicetime: 2016/05/20 10:58:49,869
EAP: could not find valid RADIUS server definition, giving up


ich glaube der bekommt vom WLC den Radius nicht richtig übergeben.

[cobain86]

so ich habe nun manuell am AP nochmal den radius eingetragen, nun kommen auch anfragen am windows radius an
warum hat der AP nicht vom WLC die Radius settings bekommen?

am windows bekomme ich jetzt noch die meldung
The message receiveed was unexpected or badly formatted

[alexes]

Hallo

hast Du jetzt schon im nps die IP Adressen der Access Points eingetragen?
(ich denke nicht das Du beim nps die IP des WLC benötigst, die Radius Anfrage geht vom Access Point ins LAN und direkt zum nps Server).

Gruß
Alex

[cobain86]

ja ich habe mir einen AP ausgesucht und dessen ip ist am nps hinterlegt.

am AP muss aber kein zertifikat hinterlegt werden oder?
ich versuche aktuell erst mal eine 802.1x authentifizierung ohne zertifikat. sprich nur mit domänen user hinzubekommen.

[alexes]

In den AP muss kein Zertifikat.

Ich habe es auf einem 2012R2 anhand folgender Doku gemacht:
http://bent-blog.de/w-lan-mit-ieee-802- ... -umsetzen/
http://bent-blog.de/update-sicheres-w-l ... rver-2012/
http://www.matrixpost.de/blog/?p=4

[cobain86]

also ich bin jetzt durch
ich hab vorhin nochmal nen alten L54g ausgekramt und versucht den als basisgerät mit dem nps zu verbinden.
bekomme da im nps log die gleiche meldung

The message receiveed was unexpected or badly formatted

[alexes]

Ich denke nicht, dass es am WLC liegt. Da gibt es nicht so viele Möglichkeiten. Bei mir sieht es so aus:

rad1.JPG

bis auf die Absender-Adresse eigentlich alles gleich

rad2.JPG