WLC mit Public Spot und externem Radius

[slutz]

Hallo zusammen,

ich habe ein Problem mit einem WLC-4100, diversen AP's und einem Windows Server 2008R2 NPS als Radius.

Folgendes Szenario soll eingerichtet werden:

1. SSID Gästenetz mit Public Spot Option soll über den lokalen Radius laufen.
2. SSID Soll über WPA2-PSK autorisiert werden.
3. SSID soll über den NPS als Radius autorisiert werden.

Wenn ich einen einzelnen AP nehme und die Weiterleitung auf den NPS einrichte dann funktioniert die Autorisierung einwandfrei.
Wenn ich das ganze über den WLC machen möchte, dann kann ich ja Pro SSID einen eigenen RADIUS Server in den RADIUS Profilen und dann in den Logischen WLAN Netzen eintragen.

Ich habe für das 3. Netz unseren NPS Server eingetragen.
Wenn ich mir den Trace beim anmelden an dieser SSID anschaue dann sendet der AP die Anfrage auch an den NPS Server und gibt dann irgendwann aufgrund eines Timeouts auf. Der NPS ist vom AP aus anpingbar und der AP ist vom NPS anpingbar. Ein Routginproblem kann das ja dann nicht wirklich sein.
Der AP ist beim NPS als Radius Client eingetragen. Und die Firewall und UAC sind am NPS deaktiviert.

Was mache ich falsch?

Alternativ wäre noch die Möglichkeit das ganze über den WLC zu routen allerdings wäre da wieder der Single Point of Failure und das Thema mit den REALMS zwecks Public Spot.

Hier ein Auszug aus dem Trace:

Code: Alles auswählen

[RADIUS-Client] 2014/11/21 10:09:17,349  Devicetime: 2014/11/21 10:09:16,003
RADIUS-Client: register UDP listener for responses
-> port is 3072

[RADIUS-Client] 2014/11/21 10:09:17,349  Devicetime: 2014/11/21 10:09:16,003
Send RADIUS Authentication Request Id 41 to 172.16.253.10:1812 Backup-Step 1 Retry 0 Auth 341a8d663339bcde6f17abf55a2db6db

[RADIUS-Client] 2014/11/21 10:09:22,325  Devicetime: 2014/11/21 10:09:21,000
Send RADIUS Authentication Request Id 41 to 172.16.253.10:1812 Backup-Step 1 Retry 1 Auth 341a8d663339bcde6f17abf55a2db6db

[RADIUS-Client] 2014/11/21 10:09:27,349  Devicetime: 2014/11/21 10:09:26,000
Send RADIUS Authentication Request Id 41 to 172.16.253.10:1812 Backup-Step 1 Retry 2 Auth 341a8d663339bcde6f17abf55a2db6db

[RADIUS-Client] 2014/11/21 10:09:32,356  Devicetime: 2014/11/21 10:09:31,000
Send RADIUS Authentication Request Id 41 to 172.16.253.10:1812 Backup-Step 1 Retry 3 Auth 341a8d663339bcde6f17abf55a2db6db

[RADIUS-Client] 2014/11/21 10:09:37,332  Devicetime: 2014/11/21 10:09:36,000
RADIUS Request Id 41 finally timed out

[alf29]

Moin,

das logisch nächste wäre auf dem LANCOM ein IP-Router-Trace, um zu sehen, wohin der IP-Router im LANCOM die RADIUS-Anfragen leitet. Wenn die das Gerät in der gewünschten Richtung verlassen, mußt Du außerhalb des LANCOM suchen, wo sie bleiben...

Gruß Alfred

[slutz]

Das werde ich am Montag mal testen. Hab die Umgebung zwar im Zugriff aber kann übers Wochenende kein Einwählversuch machen.

[slutz]

ich habe soeben den RADIUS und den IP-Router Trace laufen lassen.

Der IP-Router Trace spuckt mir dies hier aus:

Code: Alles auswählen

[RADIUS-Client] 2014/11/24 07:07:45,456  Devicetime: 2014/11/24 07:07:59,680
Send RADIUS Authentication Request Id 209 to 172.16.253.10:1812 Backup-Step 1 Retry 2 Auth 48a4d2e9542a95eaf5daedd6eb558ac5

[IP-Router] 2014/11/24 07:07:45,456  Devicetime: 2014/11/24 07:07:59,680
IP-Router Rx (intern, RtgTag: 0): 
DstIP: 172.16.253.10, SrcIP: 172.16.xxx.24, Len: 238, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 1812, SrcPort: 3072
Route: 172.16.xxx.7, LAN Tx ((unknown)): 

Müsste wenn er es rausschickt nicht irgendwo ein IP-Router Tx erscheinen?
Außerdem erscheint bei Route ein falsches Gateway. Oder sollte dies nicht das Gateway sein? Die IP die hier erscheint, ist die IP vom WLC und nicht von dem Subnetz in dem der AP hängt. Dies könnte natürlich die Ursache sein, aber wo kann ich das umstellen? Diese IP ist außer als WLC-IP nirgends eingetragen.

[Lancomiker]

Er empfängt auf intern und schickt das Paket an die IP-Adresse 172.16.xxx.7.

Was macht das Gerät denn deiner Meinung nach falsch?

Was gibt es denn für Netze? Muss überhaupt geroutet werden?