Problem 802.1x Lancom 1800EF-5G

[UL71M473]

Hallo, ich habe folgendes Problem:

Ich würde gerne diverese Clients per 802.1x am LAN3-Port meines Lancom 1800EF-5G authentifizieren.+, sodass nur diese mit dem Router kommunizieren dürfen. Das soll ausschließlich mit Zertifikaten erfolgen (Ohne Benutzername und Passwort).

Ich habe mir mit folgender Anleitung ein Root und ein Client-Zertifikat mit XCA erstellt (https://knowledgebase.lancom-systems.de ... endung+XCA)

Anschließend mit dieser Anleitung (https://knowledgebase.lancom-systems.de ... US-Servers) die Daten im Router eingestellen (ich habe keinen Switch dazwischen).

Zudem noch in LANConfig bei Lan --> „802.1X Authenticator für ETH-3" die Authentifizierung aktiviert. Muss ich hier bei Radius-Server die 127.0.0.1 eintragen? Ich würde gerne den lokalen Radius vom Router verwenden.

Nachdem die Windows Einstellungen lt. Anleitung getroffen wurden, kommt immer sofort "Authentifizierung fehlgeschlagen" bei Windows. Auch der Bypass über die MAC-Adresse scheint nicht zu funktionieren. Woran kann das liegen? Kann ich irgendwie was loggen um eine genaue Fehlerbeschreibung zu erhalten?

Danke

[rotwang]

Zudem noch in LANConfig bei Lan --> „802.1X Authenticator für ETH-3" die Authentifizierung aktiviert. Muss ich hier bei Radius-Server die 127.0.0.1 eintragen? Ich würde gerne den lokalen Radius vom Router verwenden.

Du trägst den Namen eines Eintrags aus der Tabelle ein, die auf der LCOS-CLI unter Setup/IEEE802.1X/RADIUS-Server liegt. Wo die Tabelle im LANconfig steht, weiss ich nicht auswendig... In dieser Tabelle setzt Du dann die 127.0.0.1 als Host-Namen, der Port darf 1812 bleiben und das Shared Secret leer (ist im Loopback-Fall egal). Dann musst Du noch die Authentifizierungs-Funktion des RADIUS-Servers unter Setup/RADIUS/Server einschalten.

Nachdem die Windows Einstellungen lt. Anleitung getroffen wurden, kommt immer sofort "Authentifizierung fehlgeschlagen" bei Windows. Auch der Bypass über die MAC-Adresse scheint nicht zu funktionieren. Woran kann das liegen? Kann ich irgendwie was loggen um eine genaue Fehlerbeschreibung zu erhalten?

Das ist das Trace-Kommando auf der CLI. Passende Trace-Kategorien wären EAP und RADIUS-Client, später auch noch TLS, wenn gesichert ist, dass der Authenticator und der RADIUS-Server miteiander reden können und es Probleme mit dem EAP/TLS gibt.

[UL71M473]

Hallo, danke für die Antwort.
Ich habe mit jetzt mal den Trace angesehen. Hier steht "missing root certificate" als EAP Fehler. Im Lancom-Router ist das Zertifikat aber hinterlegt (und auch auf dem Client entsprechend).

Außerdem funktioniert die ByPass-Authentifizierung über die MAC-Adresse auch nicht. Wenn ich hier in der Tabelle den Benutzernamen und das Passwort (Mac-Adresse) hinterlege, meldet der Router, dass die Passwortrichtlinien das Passwort verbieten.

Die Windows Netzwer-Einstellungen stehen auf Microsoft: Geschütztes EAP (PEAP) ist das korrekt?

Danke

[rotwang]

Ich habe mit jetzt mal den Trace angesehen. Hier steht "missing root certificate" als EAP Fehler. Im Lancom-Router ist das Zertifikat aber hinterlegt (und auch auf dem Client entsprechend).

Das Root-Zertifikat offensichtlich nicht. Man hat immer mindestens zwei Zertifikate. Zum einen das (RADIUS-Server-)Gerätezertifikat mitsamt des dazu passenden privaten Schlüssels, zum anderen das Zertifikat der CA, die dieses Zertifikat signiert hat. Hast Du bei Dir auf der CLI unter /Status/File-System/Contents die Einträge 'eaptsl_cert', 'eaptls_privkey' und 'eaptls_rootcert'? Die drei Dateien kannst Du entweder einzeln hochladen, oder zusammen in einem PKCS#12-Container.

Ein fehlendes Root-CA-Zertifikat führt im RADIUS-Server nur dann zum Abbruch, wenn als EAP-Methode EAP-TLS ausgehandelt wurde, d.h. der Client authentisiert sich auch mit einem Zertifikat, und nicht mit Benutzernamen und Passwort. De von Dir genannten Text gibt es zweimal im EAP-Trace, und da ist sie jeweils die erste Hälfte einer vollständigen Meldung. Im einen Fall (EAP-TLS) ist es eine Fehlermeldung mit Abbruch, im anderen Fall (PEAP oder EAP-FAST) nur eine Warnung. Was bei Dir jetzt genau schief läuft, ist mit solchen bruchstückhaften Angaben kaum zu sagen.

Außerdem funktioniert die ByPass-Authentifizierung über die MAC-Adresse auch nicht. Wenn ich hier in der Tabelle den Benutzernamen und das Passwort (Mac-Adresse) hinterlege, meldet der Router, dass die Passwortrichtlinien das Passwort verbieten.

Welche Tabelle meinst Du mit 'Die Tabelle'? Die richtige Tabelle wäre die Benutzertabelle des RADIUS-Servers, und zumindest auf der CLI gibt es in der Tabelle keine Richtlinien für die Passwortspalte. Eben weil für Fälle wie MAC-Auth-Bypass da sehr einfache 'Passwörter' stehen können.

Die Windows Netzwer-Einstellungen stehen auf Microsoft: Geschütztes EAP (PEAP) ist das korrekt?

Das mußt Du letzten Endes selber wissen, was Du eigentlich haben willst. PEAP ist für Client-seitige Authentisierung mit Benutzernamen und Passwort richtig.

[UL71M473]

Hallo,

tatsächlich war das Zertifikat ein Problem davon. Diese sind jetzt alle auf dem Router installiert.
Da ich ja nur eine Zertifikatesauthentifizierung will und kein Benutzername/Passwort, habe ich jetzt nur EAP-TSL eingeschaltet bei Windows.

Der Trace zeigt mir dann nur noch:
1. (EAP)-Create Station XX:XX:XX:XX:XX:XX
2. (EAP) RX reveicved EAPOL
3. (EAP) TX sending EAPOL
4. (RADIUS-Server) Chekcing for dead accounting session

Sonst pasiert da leider gar nichts..
Hast du da vielleicht noch eine Idee?
Danke für die Hilfe!

[rotwang]

Sonst pasiert da leider gar nichts..

Äh, sonst wirklich gar nichts im RADIUS-Server-Trace? Du hast in einem vorherigen Post geschrieben, dass Du die Meldung "missing root certificate..." gesehen hast. Die kann aber nur kommen, wenn Pakete zwischen dem RADIUS-Client (also dem 1X-Authenticator auf den Ethernet-Ports) und dem RADIUS-Server im LANCOM laufen und letzterer eine EAP(-TLS)-Session beginnen will.

Wenn im RADIUS-Server- und RADIUS-Client-Trace wirklich nichts mehr kommt, dann musst Du weiter vorne schauen, ob die Definition des RADIUS-Servers unter Setup/IEEE802.1x/RADIUS-Server noch stimmt und in der Tabelle /Setup/LAN/IEEE802.1x/Authenticator-Ifc-Setup darauf korrekt Bezug genommen wird.

[UL71M473]

Hallo,
also ich habe es gerade nochmal mit neuen Zertifikaten und neuem Rechner versucht. Leider kommt da wirklich nicht mehr, als die EAP Meldungen. Die Radius Einstellungen auf dem Router passen aber. Anbei mal ein Screenshot.

Die Fehlermeldung mit dem fehlenden Root-Zertifikat habe ich ja behoben. Diese ist erschienen als ich in Windows (PEAP) ausgewählt hatte und nicht einfach "Zertifikat" für EAP-TLS.

Egal ob ich jetzt EAP-TLS oder PEAP in Windows auswähle, erscheint im Trace trotzdem nur der EAP Fehler aus dem Screenshot. Auf dem Windows-Gerät kommt dann wirklich sofort "Authentifizierung fehlgeschlagen".

Screenshot 2025-03-05 085712.png

[rotwang]

Hm, dann hast Du noch irgendein Problem auf dem Windows-Rechner. Das LANCOM bekommt ein EAPoL-Start, schickt einen Identity Request, also ein 'gib mir Deinen Benutzernamen', und darauf kommt kein Identity Response vom Client. - stattdessen der Fehler-Popup auf dem Client.

Ich habe von 802.1X auf Windows wenig bis gar keine Ahnung, aber eventuell ist auf dem Windows noch nicht alles richtig für EAP-TLS eingerichtet. Unter Windows gibt es wohl verschiedene Zertifikatsspeicher und man erwischt gerne den falschen. Vielleicht probierst Du zum Vergleich mal eine Methode ganz ohne Zertifikate, wie EAP-MD5. Einfach mal als Gegenprobe...

[UL71M473]

oh super Idee. Das Probiere dann gleich mal aus. Nur noch zum Verständnis: Bei EAP-TLS brauche ich ja keinen Benutzernamen in der Lancom-User-Radius Tabelle oder? Soll ja nur über die Zertifikate laufen.

Danke!

[rotwang]

Korrekt, das ist optional. Es gibt in den RADIUS-Server-Einstellungen den Punkt 'TLS-Check-Username'. Wenn der an ist, muss der im Client-Zertifikat stehende Name (üblicherweise der CN vom Subject) auch in der Benutzertabelle stehen. Ist aber im Default aus.

[UL71M473]

Wenn ich einen Benutzer in der Datenbank anlege und diesen auch in Windows mit dem Passwort hinterlege funktionier die Authentifizierung über PEAP. Das ist im Prinzip ja noch besser. Dann hinterlege ich einfach den Benutzer in Windows. Man benötigt ja trotzdem die Zertifikate.

Danke