Hallo zusammen,
ich bin gerade bei der Umsetzung eines WLC-Szenarios.
Aufbau:
- Hauptstandort mit Windows NPS Server IP: 10.10.1.2/16
- Filiale mit 1781ef+(WLC-Option) IP: 10.7.1.1/24
- Filiale mit 10 L822acn
- WLC-Option ist soweit eingerichtet und funktioniert, bis auf die Radius Authentifizierung EAP-PEAP
Im WLC ist unter Controller -> Profile -> RADIUS-Profil auch der zentrale NPS Server angegeben. Nun hatte ich aber gehofft und gedacht, dass der WLC stellvertretend mit seiner eigenen IP sich am zentralen NPS meldet, aber da meldet sich jeder poplige AP direkt. Muss ich dazu extra den Umweg über den internen RADIUS des WLC konfigurieren oder habe ich etwas übersehen, geht es eleganter?
Gruß Bernie
WLC mit Windows NPS
Moderator: Lancom-Systems Moderatoren
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
WLC mit Windows NPS
Man lernt nie aus.
Re: WLC mit Windows NPS
Nein sorum ist das nicht gedacht. Wenn Du in den RADIUS-Profilen etwas einträgst, dann wird der dort hinterlegte Server an die APs übermittelt, und die kontaktieren ihn direkt. Wenn Du die RADIUS-Profile leerläßt, dann kontaktieren die APs den WLC als RADIUS/1X-Server und Du kannst auf dem WLC den RADIUS-Server so konfigurieren, daß er die Requests weiterleitet.
Gruß Alfred
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: WLC mit Windows NPS
Hallo Alfred,
vielen Dank für die auflösende Erklärung. Gesagt, getan und es funktioniert - Danke! Unter Weiterleitungs-Server habe ich den NPS eingetragen, "Standard-Realm" und "leerer Realm" habe ich leer gelassen.
Noch eine Nachfrage: Wieso ist es hier nicht erforderlich, den Radius-Server des 1781EF+ (des WLC) zu aktivieren? Ich habe beim Radius-Dienst, Authentifizierungs-Port noch Null drin stehen und es funktioniert? Sollte ich sicherheitshalber die 1812 dort eintragen? Firmware des WLC ist 9.24.0334SU9.
Gruß Bernie
vielen Dank für die auflösende Erklärung. Gesagt, getan und es funktioniert - Danke! Unter Weiterleitungs-Server habe ich den NPS eingetragen, "Standard-Realm" und "leerer Realm" habe ich leer gelassen.
Noch eine Nachfrage: Wieso ist es hier nicht erforderlich, den Radius-Server des 1781EF+ (des WLC) zu aktivieren? Ich habe beim Radius-Dienst, Authentifizierungs-Port noch Null drin stehen und es funktioniert? Sollte ich sicherheitshalber die 1812 dort eintragen? Firmware des WLC ist 9.24.0334SU9.
Gruß Bernie
Man lernt nie aus.
Re: WLC mit Windows NPS
Moin,
das würde mich eher wundern. Wenn der RADIUS-Server aus ist (d.h. Listener-Port auf Null bei älteren LCOS-Versionen), dan ist da auch kein Listener auf dem entsprechendne UDP-Port.
Vielleicht hatten Deine Clients und der AP von der Direktverbindung zum NPS noch gültige, gecachte PMKs und es hat gar keine 1X-Verhandlung gegeben.
Viele Grüße
Alfred
das würde mich eher wundern. Wenn der RADIUS-Server aus ist (d.h. Listener-Port auf Null bei älteren LCOS-Versionen), dan ist da auch kein Listener auf dem entsprechendne UDP-Port.
Vielleicht hatten Deine Clients und der AP von der Direktverbindung zum NPS noch gültige, gecachte PMKs und es hat gar keine 1X-Verhandlung gegeben.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: WLC mit Windows NPS
Moin Alfred,
Ich habe die Ports 1812 und 1813 nun eingetragen und danach gemerkt, dass ich bei REALM Angaben machen muss, damit es überhaupt funktionieren kann. Der Einfachheit halber habe ich bei "leerem Realm" und "Standard-Realm" meinen NPS angegeben. Welcher jetzt wirklich greift, habe ich nicht weiter untersucht.
Jedenfalls funktioniert es jetzt alles wie gewünscht, ist hiermit erledigt und vielen Dank!
Gruß Bernie
Ja das stimmt in der Tat. Ich hatte voreilig Rückschlüsse gezogen nachdem ich das RADIUS Profil im WLC gelöscht hatte. Damit hatte ich so zu sagen erst einmal eine Konfigurationsfehler drin, denn ich hatte vergessen das "Default" Radius Profil im logischen WLAN Profil nachzutragen. Also alles in allem einen inkonsistenten Zustand.das würde mich eher wundern. Wenn der RADIUS-Server aus ist (d.h. Listener-Port auf Null bei älteren LCOS-Versionen), dan ist da auch kein Listener auf dem entsprechendne UDP-Port.
Ich habe die Ports 1812 und 1813 nun eingetragen und danach gemerkt, dass ich bei REALM Angaben machen muss, damit es überhaupt funktionieren kann. Der Einfachheit halber habe ich bei "leerem Realm" und "Standard-Realm" meinen NPS angegeben. Welcher jetzt wirklich greift, habe ich nicht weiter untersucht.
Jedenfalls funktioniert es jetzt alles wie gewünscht, ist hiermit erledigt und vielen Dank!
Gruß Bernie
Man lernt nie aus.