Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 15 replies
  • Subscribers 4 subscribers
  • Views 10700 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WIFI RADIUS Problem

Sebastian Wittmann

Hallo,

Ich habe ein kleines Problem mit der WPA2 Enterprise Authentifizierung. Die UTMs der Standorte verwalten ihre Wirelessumgebung selbst, haben aber die Radius-Server vom Hauptstandort eingetragen. Versucht sich nun ein Client zu verbinmden, steht im Log "A RADIUS message was received from the invalid RADIUS client IP address <IP vom AP im Standort>.". Im Radius ist natürlich nur die dortige UTM als RADIUS-Client eingetragen, denn ich dachte, dass auch diese die Anfrage schickt. Wo ist mein Denkfehler?

Danke und Grüße,

Sebastian



This thread was automatically locked due to age.
Parents
  • 0

    Wenn die Außenstandorte selbst WLAN-Subscription haben muss die Authentifizierung via RADIUS dort erfolgen, der RADIUS Backend Server kann dann derselbe sein, wenn die UTMs der Außenstandorte dort als Client hinterlegt sind. Ich vermute mal das hast Du soweit eingerichtet.

    Wird im VPN NAT verwendet oder ist eventuell ein '&' im Kennwort vom Radius-Client?

    Entsprechende eigene Richtlinien auf dem Radius vorhanden für die Außenstandorte?

    Ergänzung: wenn mehrere Netze auf demselben RADIUS authentifiziert werden sollen muss am besten die SSID als NAS-Bezeichner mit in die Richtlinie rein, sowohl in die Verbindungsanforderungs- als auch die Netzwerkrichtlinie. Die Radiusclient-IP allein reicht u.U. nicht, vor allem, wenn mehrere WPA2E Netze über dieselbe UTM laufen.

  • 0 in reply to kerobra_retired

    Hi zusammen,

    ich habe da ein kleines Verständnis Problem. Da kommt sicher die IP des APs am Radius an? Der Radius Client ist definitiv die UTM die als Radius Proxy agiert. Hast du auf der UTM unter wireles / global / advanced den Radius Server hinterlegt oder gibst du den Radius Server per DHCP direkt weiter? Das hört sich für mich erst mal so an als wenn auf der UTM der Radius gar nicht konfiguriert ist.

     

    vg

    mod

Reply
  • 0 in reply to kerobra_retired

    Hi zusammen,

    ich habe da ein kleines Verständnis Problem. Da kommt sicher die IP des APs am Radius an? Der Radius Client ist definitiv die UTM die als Radius Proxy agiert. Hast du auf der UTM unter wireles / global / advanced den Radius Server hinterlegt oder gibst du den Radius Server per DHCP direkt weiter? Das hört sich für mich erst mal so an als wenn auf der UTM der Radius gar nicht konfiguriert ist.

     

    vg

    mod

Children
  • 0 in reply to mod2402

    Hallo,

    ich habe das selbe letztens auch beobachtet, bin dem aber aus Zeitmangel erst mal nicht nachgegangen.

    Eine neue Demo-Software UTM erhielt temporär einen vorher an einer etwas älteren UTM laufenden AP.

    Die Standort-UTM war per VPN mit dem Haupstandort verbunden und sollte den dortigen RADIUS-Server verwenden.

    Hier hatte ich plötzlich auch die Situation, daß am RADIUS am Hauptstandort die IP vom AP und nicht von der Standort UTM ankam.

    Zurück an der UTM am Hauptstandort kamen die RADIUS-Anfragen wieder von der UTM.

     

    Ich würde die UTM's aktualisieren und den AP löschen und neu erkennen lassen.

    Wenn der Fehler weiterhin besteht ist das ein Fall für den Sophos Support.

     

  • 0 in reply to dirkkotte

    Schon mal vielen Dank für die Antworten.

    Nochmal ganz langsam:

     

    UTM1

    -in dem Netz steht auch der RADIUS-Server

    -802.1x läuft

     

    UTM2

    -per VPN an UTM1 angebunden

    -Authentication Services

     Radius Server definiert, "Server test passed"

     Wireless Protection > Advanced

     RADIUS Server eingetragen

     

    RADIUS

    NPS

    RADIUS Clients

    -alles UTMs eingetragen (wir haben mehrere Standorte). Keine funktioniert.

    -Im EventViewer einige Fehler "A RADIUS message was received from the invalid RADIUS client IP address <Access-Point-IP>."

     

    So viel zu den Fehlern.

     

    Sebastian

  • 0 in reply to Sebastian Wittmann

    Die Tests kommen auch sauber am Radius an. für jede UTM... Event-ID 6273

    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            XXX\Guest
        Account Name:            -
        Account Domain:            XXX
        Fully Qualified Account Name:    XXX\Guest

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        -
        Calling Station Identifier:        -

    NAS:
        NAS IPv4 Address:        -
        NAS IPv6 Address:        -
        NAS Identifier:            -
        NAS Port-Type:            -
        NAS Port:            -

    RADIUS Client:
        Client Friendly Name:        <Name der UTM>
        Client IP Address:            <IP der UTM>

    Authentication Details:
        Connection Request Policy Name:    Use Windows authentication for all users
        Network Policy Name:        -
        Authentication Provider:        Windows
        Authentication Server:       <RADIUS-Server>
        Authentication Type:        Unauthenticated
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            34
        Reason:                The user or computer account that is specified in the RADIUS Access-Request message is disabled.

  • 0 in reply to Sebastian Wittmann

    Hilft nur nicht wirklich.

    NAT rule

    • Rule Type: SNAT(Source)
    • For Traffic from: Internal (network)
    • Using service: RADIUS
    • Going to: Internal (Address)
    • Change the source to: External (Address)

    Hab ich noch irgendwo einen Denkfehler?

     

    Sebastian

  • 0 in reply to Sebastian Wittmann

    Hi Sebastian,

    der Artikel hat nichts mit dem Problem zu tun. Dann würden gar keine Anfragen am Radius ankommen. Da komen aber welche an.

    vg

    mod

  • 0 in reply to mod2402

    War als Link in dem hier: https://community.sophos.com/products/unified-threat-management/f/wireless-security/56479/ap-talking-directly-to-radius-why

    Vom Prinzip aber schon eigentlich mein Fehlerbild. Ich möchte, dass die Anfragen an den Radius nicht direkt kommen, sondern das die Anfrage mit der Source-IP der UTM im Standort kommen.

     

    Sebastian

  • 0 in reply to Sebastian Wittmann

    GEHT!!!! "Also a checkbox with "IPSEC" has to be set in this mapping rule. Doesn't work otherwise." Das hab ich übersehen. :)

     

    Sebastian

  • 0 in reply to Sebastian Wittmann

    Hi Sebastian,

    interessanter Artikel. Scheinbar findet hier ein Fallback auf den AP statt wenn die UTM den Radius nicht erreichen kann. Das ist aber nur ein Workarround. Das eigentlich Problem scheint zu sein das die UTM den Radius über VPN nicht erreichen kann. Das bedeutet für mich das hier die IP der WAN Schnittstelle nicht im Tunnel aufgeführt ist. Wenn du die WAN IP mit aufnimmst müssten die Anfragen des UTM Radius Proxy durchgehen. Ohne SNAT.

    Es könnte aber nauch noch was anderes sein. Ich habe für ein ähnliches Problem ein case bei Sophos eröffnet das jetzt schon seit ein paar Wochen eskaliert ist.

    Wenn du redundante Tunnel Anbindung hast, d.h. du benutzt die Option "Bind to lokal Interface", kommt die UTM nicht mehr an Remotenetze dran. Das war bei mir aufgefallen beim Versuch den UTM Manager über die interne IP des SUM am Remote Standort anzubinden.

    Hast du redundante Tunnel in der Form?

    vg

    mod

  • 0 in reply to mod2402

    Es ist ja nicht wirklich die WAN IP. Also meine SNAT-Regel ersetzt jetzt die Quelle in den RADIUS-Paketen durch die Adresse der UTMs, wie sie im RADIUS eingetragen sind.

    Also im Prinzip durch die Gateway-Adresse des jeweiligen Netzwerksegments. So wie es eigentlich sein sollte.

     

    Sebastian