EAP-TLS WLAN-Verbindung kommt nicht zustande - LCOS LX

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

EAP-TLS WLAN-Verbindung kommt nicht zustande - LCOS LX

Beitrag von DirkK »

Hallo,

ich habe einen 1784 als WLC und CA. Damit habe ich bereits mal vor Jahren erfolgreich ein 802.1x EAP WLAN für die iOS-Geräte aufgesetzt.
War eigentlich nur ein Test, so dass ich nach dem Ablauf der Zertifikate wieder die WPA-PSK SSID's genutzt habe. Nun wollte ich das Thema nochmal aufnehmen. Also habe ich auf dem 1784 neue Zertifikate erstellt und auf den WLC und die iPhones verteilt, sowie die noch vorhandene 802.1x-EAP SSID wieder aktiviert. Dabei habe ich die Konfiguration auch nochmal nach der Beschreibung in der Lancom Knowledge-Base kontrolliert.

Danach habe ich versucht eine Verbindung zu dem WLAN aufzubauen. Hierbei habe ich zuerst nicht beachtet, dass iOS ja die WLAN-Informationen im Schlüsselbund (oder so) speichert und die Verbindung wurde mit einer banalen Fehlermeldung abgelehnt. Als ich dann das "alte" EAP-WLAN auf dem iPhone gelöscht habe und ich die Verbindung erneut versucht habe bin ich schon deutlich weiter gekommen. Hier konnte ich dann auf EAP-TLS umstellen und das neue Zertifikat auswählen. Komisch fand ich allerdings dass es trotzdem noch ein Feld für den Benutzernamen gab, welches ich dann leer gelassen habe. Beim Verbindungsaufbau selbst wurde ich dann noch gefragt, ob ich dem self-signed Zertifikat vertrauen möchte. Es hat dann einige Sekunden gedauert, aber eine Verbindung ist leider immer noch nicht zustande gekommen. Während des Verbindungsaufbaus habe ich das iPhone allerdings bereits im LANmonitor gesehen und es hatte auch schon eine DHCP-IP bekommen. Trotzdem konnte sich das iPhone nicht in das EAP-WLAN dauerhaft einbuchen.

Da ich hier keine Idee habe, woran das nun noch liegen könnte wollte ich euch mal fragen, ob euch noch was einfällt.

Anbei mal ein EAP-Trace von dem erfolglosen Einbuchversuch:

Code: Alles auswählen

[EAP] 2022/01/19 17:39:00,303  Devicetime: 2022/01/19 17:39:21,850
Creating EAP/TLS context (method is TLS):
 -> TLS connection handle is 5671
 -> success, off we go...

[EAP] 2022/01/19 17:39:00,303  Devicetime: 2022/01/19 17:39:21,850
TxRdy->TRUE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:00,303  Devicetime: 2022/01/19 17:39:21,850
TxRdy->FALSE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:00,379  Devicetime: 2022/01/19 17:39:21,919
EAP/TLS: send response:
-> TLS not yet ready on server side

[EAP] 2022/01/19 17:39:00,379  Devicetime: 2022/01/19 17:39:21,919
EAP-TLS: 151 bytes to TLS session

[EAP] 2022/01/19 17:39:00,379  Devicetime: 2022/01/19 17:39:21,919
TxRdy->TRUE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:00,456  Devicetime: 2022/01/19 17:39:21,999
EAP-TLS: TLS message ready to transmit

[EAP] 2022/01/19 17:39:00,456  Devicetime: 2022/01/19 17:39:21,999
EAP/TLS: send response:
-> sent off

[EAP] 2022/01/19 17:39:00,456  Devicetime: 2022/01/19 17:39:21,999
TxRdy->FALSE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:00,518  Devicetime: 2022/01/19 17:39:22,023
EAP/TLS: send response:
-> sent off

[EAP] 2022/01/19 17:39:00,518  Devicetime: 2022/01/19 17:39:22,023
TxRdy->TRUE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:00,518  Devicetime: 2022/01/19 17:39:22,023
TxRdy->FALSE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:02,990  Devicetime: 2022/01/19 17:39:24,517
TxRdy->TRUE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:02,990  Devicetime: 2022/01/19 17:39:24,518
TxRdy->FALSE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:03,036  Devicetime: 2022/01/19 17:39:24,544
EAP/TLS: send response:
-> TLS not yet ready on server side

[EAP] 2022/01/19 17:39:03,036  Devicetime: 2022/01/19 17:39:24,544
EAP-TLS: 1335 bytes to TLS session

[EAP] 2022/01/19 17:39:03,036  Devicetime: 2022/01/19 17:39:24,544
TxRdy->TRUE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:03,082  Devicetime: 2022/01/19 17:39:24,624
EAP-TLS: TLS message ready to transmit

[EAP] 2022/01/19 17:39:03,082  Devicetime: 2022/01/19 17:39:24,624
EAP/TLS: send response:
-> sent off

[EAP] 2022/01/19 17:39:03,082  Devicetime: 2022/01/19 17:39:24,624
TxRdy->FALSE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:03,082  Devicetime: 2022/01/19 17:39:24,624
EAP/TLS: send response:
-> not ready, bailing out

[EAP] 2022/01/19 17:39:03,082  Devicetime: 2022/01/19 17:39:24,624
EAP/TLS: TLS connect success on connection 5671

[EAP] 2022/01/19 17:39:03,145  Devicetime: 2022/01/19 17:39:24,644
EAP/TLS: send response:
sent success

[EAP] 2022/01/19 17:39:03,145  Devicetime: 2022/01/19 17:39:24,643
TxRdy->TRUE pSession 08f7a050 pEapContext 08f7b090

[EAP] 2022/01/19 17:39:03,145  Devicetime: 2022/01/19 17:39:24,644
TxRdy->FALSE pSession 08f7a050 pEapContext 08f7b090


[EAP] 2022/01/19 17:39:32,229  Devicetime: 2022/01/19 17:39:53,767
Deleting EAP/TLS context (TLS connection handle is 5671)

[EAP] 2022/01/19 17:39:32,229  Devicetime: 2022/01/19 17:39:53,767
Deleting 802.1X auth server session state 832ddfc84196efe420cb77f21065bbf9 for calling station '96-82-24-43-33-51'
Danke und Grüße
Dirk
Zuletzt geändert von DirkK am 22 Jan 2022, 16:45, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: EAP-TLS WLAN-Verbindung kommt nicht zustande

Beitrag von GrandDixence »

Der Radius-Server hat das Maschinenzertifikat vom IPhone nicht akzeptiert. X.509-Zertifikate kontrollieren und die EAP-/Radius-Serverkonfiguration auf dem LANCOM-Gerät kontrollieren. Irgendwo unter SYSLOG oder LCOS-Menübaum/Status ist ersichtlich, ob der Radius-Server die Benutzeranmeldung per EAP akzeptiert hat oder nicht. Die X.509-Zertifikate sind gemäss der VPN-Anleitung für Windows unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
zu erstellen. Der "common name" (CN) respektive der "subjectAltName" des Maschinenzertifikats (individuelles X.509-Zertifikat für den WLAN-Client) muss als zulässiger Benutzer im Radius-Server vorkonfiguriert sein.

Ohne erfolgreiche Anmeldung des WLAN-Clients am Radius-Server erhält der WLAN-Client kein eigenes, individuelles Schlüsselmaterial für die verschlüsselte WLAN-Funkkommunikation. Dieses Schlüsselmaterial ist zwingend erforderlich für die WLAN-Funkkommunikation mit WPA2-Enterprise.
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: EAP-TLS WLAN-Verbindung kommt nicht zustande

Beitrag von DirkK »

GrandDixence hat geschrieben: 19 Jan 2022, 20:23 Der Radius-Server hat das Maschinenzertifikat vom IPhone nicht akzeptiert. X.509-Zertifikate kontrollieren und die EAP-/Radius-Serverkonfiguration auf dem LANCOM-Gerät kontrollieren. Irgendwo unter SYSLOG oder LCOS-Menübaum/Status ist ersichtlich, ob der Radius-Server die Benutzeranmeldung per EAP akzeptiert hat oder nicht. Die X.509-Zertifikate sind gemäss der VPN-Anleitung für Windows unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
zu erstellen. Der "common name" (CN) respektive der "subjectAltName" des Maschinenzertifikats (individuelles X.509-Zertifikat für den WLAN-Client) muss als zulässiger Benutzer im Radius-Server vorkonfiguriert sein.
Also ich glaube auch, dass es an den Zertifikaten liegt. Diese sind nach folgendem Artikel in der Lancom-KB hergestellt worden, sollten also funktionieren. Und bzgl. Benutzeranmeldung finde ich im SYSLOG auch den Eintrag "sent RADIUS accept for user id '<User-ID>' to <Accesspoint-IP>".

Und trotzdem bekommt das iPhone keine echte WLAN-Verbindung... ich versteh's einfach nicht... :G)

Grüße
Dirk
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: EAP-TLS WLAN-Verbindung kommt nicht zustande

Beitrag von GrandDixence »

Mit der SYSLOG-Meldung "sent RADIUS accept for user id '<User-ID>' to <Accesspoint-IP>" wird protokolliert, dass der Radius-Server das Maschinenzertifikat des WLAN-Clients akzeptiert hat. Nächster Schritt erfolgt im Wireless Access Point mit der Bereitstellung des Schlüsselmaterials für die verschlüsselte Kommunikation. Da liegt wohl ein Konfigurationsfehler vor.
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: EAP-TLS WLAN-Verbindung kommt nicht zustande

Beitrag von DirkK »

GrandDixence hat geschrieben: 21 Jan 2022, 16:24 Mit der SYSLOG-Meldung "sent RADIUS accept for user id '<User-ID>' to <Accesspoint-IP>" wird protokolliert, dass der Radius-Server das Maschinenzertifikat des WLAN-Clients akzeptiert hat. Nächster Schritt erfolgt im Wireless Access Point mit der Bereitstellung des Schlüsselmaterials für die verschlüsselte Kommunikation. Da liegt wohl ein Konfigurationsfehler vor.
GUTER TIPP!!!

Aber ich habe aktuell den Konfigurationsfehler noch nicht gefunden, was ich allerdings festgestellt habe, dass die iPhones sich mich LCOS Accesspoints verbinden können. Die Probleme bestehen offensichtlich nur mit LCOS LX Accesspoints.

Ich habe vor ca. einem Jahr alte LCOS-AP's gegen LX-6402 ersetzt. Den noch relativ neuen LN-1702 habe ich behalten.

Jetzt stellt sich mir allerdings die Frage wo denn ein Konfigurationsfehler vorliegen könnte. Der 1784 fungiert ja als WLC in dem zentral das 802.1x-EAP WLAN. Dieses EAP-WLAN wird über den WLC an den LN-1702 und die LX-6402 gleich verteilt. Die iPhones können sich mit dem EAP-WLAN beim LN-1702 verbinden, bei allen(!) LX-6402 hingegen nicht. Ich sehe keine Möglichkeit, dass es hier einen Konfigurationsunterschied geben sollte...

Jemand eine Idee, oder ein Bug im LCOS-LX?

Viele Grüße
Dirk
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: EAP-TLS WLAN-Verbindung kommt nicht zustande - gelöst

Beitrag von DirkK »

DirkK hat geschrieben: 22 Jan 2022, 17:00 Jetzt stellt sich mir allerdings die Frage wo denn ein Konfigurationsfehler vorliegen könnte. Der 1784 fungiert ja als WLC in dem zentral das 802.1x-EAP WLAN. Dieses EAP-WLAN wird über den WLC an den LN-1702 und die LX-6402 gleich verteilt. Die iPhones können sich mit dem EAP-WLAN beim LN-1702 verbinden, bei allen(!) LX-6402 hingegen nicht. Ich sehe keine Möglichkeit, dass es hier einen Konfigurationsunterschied geben sollte...
Problem gelöst...
Es war im weitesten Sinne ein Konfigurationsfehler, wobei ich meine, dass diese Möglichkeit der Fehlkonfiguration irgendwie von LANconfig oder Geräteintern abgefangen werden müsste. Schließlich verwende ich ja das System, um eine nahtlose Konfiguration zwischen den einzelnen Komponenten verwalten zu können.

Es lag am Parameter "In Unicast konvertieren" in der Konfiguration der Logischen WLAN's des WLC. Die LCOS-LX Geräte scheinen das nicht zu unterstützen. Die Default-Einstellung ist jedoch "DHCP" was eben scheinbar nicht kompatibel mit einem 802.1x-EAP-WLAN und den LX-Geräten ist. Ich habe das nun auf "Keine" gestellt und prompt funktioniert auch die dauerhafte Anmeldung am 802.1x-EAP WLAN der LX-Geräte.

Was es zudem noch schwierig gemacht hat, diesen Parameter als Ursache zu identifizieren ist, dass er scheinbar bei WPA-PSK WLANs auch für LX-AP's in jeder Einstellung funktioniert, also auch beim Default "DHCP" und auch auch bei "DHCP und Multicast".

Bei anderen inkompatiblem Einstellungen hat teilweise der LANmonitor das angezeigt und die entsprechende SSID auch nicht ausgestrahlt. Sollte in diesem Fall vielleicht so erfolgen.

Viele Grüße
Dirk
losinka
Beiträge: 2
Registriert: 06 Feb 2022, 19:42

Re: EAP-TLS WLAN-Verbindung kommt nicht zustande - LCOS LX

Beitrag von losinka »

Es lag am Parameter "In Unicast konvertieren" in der Konfiguration der Logischen WLAN's des WLC. Die LCOS-LX Geräte scheinen das nicht zu unterstützen. Die Default-Einstellung ist jedoch "DHCP" was eben scheinbar nicht kompatibel mit einem 802.1x-EAP-WLAN und den LX-Geräten ist. Ich habe das nun auf "Keine" gestellt und prompt funktioniert auch die dauerhafte Anmeldung am 802.1x-EAP WLAN der LX-Geräte.
Vielen Dank! Ich dachte schon, ich würde es nie schaffen. Jetzt funktioniert.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“