nixverstehen
Goto Top

WLAN mit Radius-Authentifizierung - Keine IP per DHCP

Guten Morgen,

ich habe mich vor einigen Tagen erstmals mit dem Thema WLAN und Radius beschäftigt. Allerdings hatte ich vorher damit noch nie etwas am Hut und komme dazu ein wenig wie die „Jungfrau zum Kinde“. Ok, ich traue mich also mal wieder zu fragen, obwohl noch nicht Freitag ist face-smile.

Ich habe hier zwei Cisco WAP150 an einem Cisco SG350X-24MP. Die beiden APs sind als Cluster konfiguriert und stellen Firmen-WLAN (VLAN 60) und Gast-WLAN (VLAN 70) bereit. Zunächst geht es aber nur um das Firmen-WLAN.

Die Radius-Authentifizierung mit dem Server 2016 Essentials (DC) mit NPS-Rolle ist eingerichtet. Das funktioniert auch hervorragend mit den Iphones meines Vorgesetzten und mir.
Beim Verbinden ins Firmen-WLAN erfolgt die Abfrage, ob dem selbsterstellten nicht vertrauenswürdigen Zertifikat (Domänen-CA) vertraut werden soll.
Nach dem „Abnicken“ des Zertifikats erfolgt die Abfrage der Credentials des Domänen-Benutzers und die Verbindung wird hergestellt. In der Ereignisanzeige des DC ist dann auch zu sehen, dass der Zugriff gewährt wurde.

Versuche ich allerdings, an einem Win10-Client in der Werkstatt eine WLAN-Verbindung herzustellen, erhalte ich per DHCP keine Adresse aus dem VLAN60. Der Client meldet zwar eine Verbindung, allerdings als öffentliches Netzwerk, und vergibt sich eine 169er-Adresse. In der Ereignisanzeige ist dann zu sehen, das vom NPS dem Client der Zugriff verweigert wurde, allerdings dem Benutzer der Zugriff erlaubt wurde. Vergebe ich dem Client eine fixe IP aus diesem Netz, funktioniert es sofort wunderbar. Die Verbindung zeigt dann die SSID und das Domänen-Suffix.
Eine herkömmliche Verbindung in mein Test-WLAN (VLAN10) auf einem anderen AP per WPA2-PSK funktioniert aber.

Die beiden APs sind als Radius-Client eingerichtet. Dasselbe natürlich auch auf dem NPS. In den Verbindungsanforderungsrichtlinien ist als Bedingung nur als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert. In den Netzwerkrichtlinien ist als Bedingung ebenfalls als NAS-Porttyp „Drahtlos IEEE 802.11 oder Drahtlos Sonstige“ konfiguriert sowie als Windowsgruppe die entsprechende Benutzer-OU. Bei den Einschränkungen der Netzwerkrichtlinie ist als Authentifizierungsmethode PEAP und EAP-MSCHAP v2 eingestellt.

Wie gesagt, bin ich als Anfänger etwas planlos und kann mir nicht erklären, warum der Win10-Client keine Adresse per DHCP erhält, es aber bei den Smartphones problemlos funktioniert. Aber vielleicht gibt es ja die typischen Anfängerfehler, bei denen sich ein Profi gleich mit der Hand an die Stirn haut und denkt: Mann, ist doch klar! face-smile

Gruß NV

Content-Key: 473660

Url: https://administrator.de/contentid/473660

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: emeriks
Lösung emeriks 16.07.2019 aktualisiert um 11:25:36 Uhr
Goto Top
Hi,
Zitat von @NixVerstehen:
sowie als Windowsgruppe die entsprechende Benutzer-OU. .....
Wenn Du Geräte erlauben willst, dann müssen diese auch in der Richtlinie erlaubt werden. Also z.B. Gruppe "Domänencomputer".

E.
Mitglied: NixVerstehen
NixVerstehen 19.07.2019 aktualisiert um 16:52:41 Uhr
Goto Top
Hi,

ich bin zwar ein Stück weiter, aber fliegen tut es noch nicht.

Ich hab noch mal von vorne angefangen und mich an Andys Blog (hatte aqui mal irgendwo verlinkt) gehalten. Für die Windows-Maschine hab ich im AD eine Computergruppe erstellt, da den Client rein gepackt und auf dem NPS dann die Bedingung angelegt.
Die Ereignisanzeige für den Network Policy Server zeigt mir auch an, das sowohl für den W10-Client selbst als auch den Benutzer Zugriff gewährt wurde. Aber der Client erhält keine IP per DHCP.

Wenn ich mit Wireshark auf dem LAN-Port des Access Points mitschneide, sehe ich einige DHCP-Discover des W10-Clients, aber keine DHCP-Offer dazu.

Wenn ich aber ein iPhone oder einen Androiden zum Testen nehmen, funktioniert es sofort wie es soll. Da hab ich den DHCP-Discover im Wireshark und sofort drauf den DHCP-Offer.

Ich werde nicht schlau draus. Aber es ist Freitag und für heute ist Schluss. Der Grill und ein kühles Bier warten.

Gruß NV
Mitglied: NixVerstehen
NixVerstehen 22.07.2019 um 10:24:36 Uhr
Goto Top
Moin,

so...Fehler gefunden. ich verstehe es zwar nicht, aber es funktioniert. Ich habe schon länger auf dem Cisco SG350, an dem die APs angeschlossen sind, DHCP Snooping aktiviert und nur die Ports des DC (auch DHCP) und des Routers (DHCP für einen Kundenrechner)
als Trusted Ports konfiguriert.

Nachdem ich die Ports, an dem die beiden APs hängen, als Trusted Port aktiviert habe, fliegt das Ganze wie es soll. Warum allerdings
die Test-Smartphones von Anfang an eine IP erhalten haben und der W10-Client erst, nachdem die Ports der APs als Trusted Ports gesetzt wurden, verstehe ich nicht.

Gruß NV