WLC mit Windows NPS

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

WLC mit Windows NPS

Beitrag von Bernie137 »

Hallo zusammen,

ich bin gerade bei der Umsetzung eines WLC-Szenarios.
Aufbau:
- Hauptstandort mit Windows NPS Server IP: 10.10.1.2/16
- Filiale mit 1781ef+(WLC-Option) IP: 10.7.1.1/24
- Filiale mit 10 L822acn
- WLC-Option ist soweit eingerichtet und funktioniert, bis auf die Radius Authentifizierung EAP-PEAP

Im WLC ist unter Controller -> Profile -> RADIUS-Profil auch der zentrale NPS Server angegeben. Nun hatte ich aber gehofft und gedacht, dass der WLC stellvertretend mit seiner eigenen IP sich am zentralen NPS meldet, aber da meldet sich jeder poplige AP direkt. Muss ich dazu extra den Umweg über den internen RADIUS des WLC konfigurieren oder habe ich etwas übersehen, geht es eleganter?

Gruß Bernie
Man lernt nie aus.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: WLC mit Windows NPS

Beitrag von alf29 »

Nein sorum ist das nicht gedacht. Wenn Du in den RADIUS-Profilen etwas einträgst, dann wird der dort hinterlegte Server an die APs übermittelt, und die kontaktieren ihn direkt. Wenn Du die RADIUS-Profile leerläßt, dann kontaktieren die APs den WLC als RADIUS/1X-Server und Du kannst auf dem WLC den RADIUS-Server so konfigurieren, daß er die Requests weiterleitet.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: WLC mit Windows NPS

Beitrag von Bernie137 »

Hallo Alfred,

vielen Dank für die auflösende Erklärung. Gesagt, getan und es funktioniert - Danke! Unter Weiterleitungs-Server habe ich den NPS eingetragen, "Standard-Realm" und "leerer Realm" habe ich leer gelassen.

Noch eine Nachfrage: Wieso ist es hier nicht erforderlich, den Radius-Server des 1781EF+ (des WLC) zu aktivieren? Ich habe beim Radius-Dienst, Authentifizierungs-Port noch Null drin stehen und es funktioniert? Sollte ich sicherheitshalber die 1812 dort eintragen? Firmware des WLC ist 9.24.0334SU9.

Gruß Bernie
Man lernt nie aus.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: WLC mit Windows NPS

Beitrag von alf29 »

Moin,

das würde mich eher wundern. Wenn der RADIUS-Server aus ist (d.h. Listener-Port auf Null bei älteren LCOS-Versionen), dan ist da auch kein Listener auf dem entsprechendne UDP-Port.

Vielleicht hatten Deine Clients und der AP von der Direktverbindung zum NPS noch gültige, gecachte PMKs und es hat gar keine 1X-Verhandlung gegeben.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: WLC mit Windows NPS

Beitrag von Bernie137 »

Moin Alfred,
das würde mich eher wundern. Wenn der RADIUS-Server aus ist (d.h. Listener-Port auf Null bei älteren LCOS-Versionen), dan ist da auch kein Listener auf dem entsprechendne UDP-Port.
Ja das stimmt in der Tat. Ich hatte voreilig Rückschlüsse gezogen nachdem ich das RADIUS Profil im WLC gelöscht hatte. Damit hatte ich so zu sagen erst einmal eine Konfigurationsfehler drin, denn ich hatte vergessen das "Default" Radius Profil im logischen WLAN Profil nachzutragen. Also alles in allem einen inkonsistenten Zustand.

Ich habe die Ports 1812 und 1813 nun eingetragen und danach gemerkt, dass ich bei REALM Angaben machen muss, damit es überhaupt funktionieren kann. Der Einfachheit halber habe ich bei "leerem Realm" und "Standard-Realm" meinen NPS angegeben. Welcher jetzt wirklich greift, habe ich nicht weiter untersucht.

Jedenfalls funktioniert es jetzt alles wie gewünscht, ist hiermit erledigt und vielen Dank!

Gruß Bernie
Man lernt nie aus.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“