Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 15 replies
  • Subscribers 4 subscribers
  • Views 10714 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WIFI RADIUS Problem

Sebastian Wittmann

Hallo,

Ich habe ein kleines Problem mit der WPA2 Enterprise Authentifizierung. Die UTMs der Standorte verwalten ihre Wirelessumgebung selbst, haben aber die Radius-Server vom Hauptstandort eingetragen. Versucht sich nun ein Client zu verbinmden, steht im Log "A RADIUS message was received from the invalid RADIUS client IP address <IP vom AP im Standort>.". Im Radius ist natürlich nur die dortige UTM als RADIUS-Client eingetragen, denn ich dachte, dass auch diese die Anfrage schickt. Wo ist mein Denkfehler?

Danke und Grüße,

Sebastian



This thread was automatically locked due to age.
  • 0 in reply to Sebastian Wittmann

    Hi Sebastian,

    interessanter Artikel. Scheinbar findet hier ein Fallback auf den AP statt wenn die UTM den Radius nicht erreichen kann. Das ist aber nur ein Workarround. Das eigentlich Problem scheint zu sein das die UTM den Radius über VPN nicht erreichen kann. Das bedeutet für mich das hier die IP der WAN Schnittstelle nicht im Tunnel aufgeführt ist. Wenn du die WAN IP mit aufnimmst müssten die Anfragen des UTM Radius Proxy durchgehen. Ohne SNAT.

    Es könnte aber nauch noch was anderes sein. Ich habe für ein ähnliches Problem ein case bei Sophos eröffnet das jetzt schon seit ein paar Wochen eskaliert ist.

    Wenn du redundante Tunnel Anbindung hast, d.h. du benutzt die Option "Bind to lokal Interface", kommt die UTM nicht mehr an Remotenetze dran. Das war bei mir aufgefallen beim Versuch den UTM Manager über die interne IP des SUM am Remote Standort anzubinden.

    Hast du redundante Tunnel in der Form?

    vg

    mod

  • 0 in reply to mod2402

    Es ist ja nicht wirklich die WAN IP. Also meine SNAT-Regel ersetzt jetzt die Quelle in den RADIUS-Paketen durch die Adresse der UTMs, wie sie im RADIUS eingetragen sind.

    Also im Prinzip durch die Gateway-Adresse des jeweiligen Netzwerksegments. So wie es eigentlich sein sollte.

     

    Sebastian

  • 0 in reply to Sebastian Wittmann

    Stimmt, hast du natürlich Recht. Dann ist das aber definitiv ein Bug. Hast du redundante Tunnel? Würde mich interessieren.

    vg

    mod

  • 0 in reply to mod2402

    Nein, immer nur einen Tunnel in eine Richtung. Sternförmig. Jede UTM nur ans Hauptquatier.

     

    Sebastian

  • 0 in reply to Sebastian Wittmann

    Danke für die Rückmeldung. Dann wird das  bei dir wohl ein anderes Problem sein das nur in einer bestimmten Konstelation auftritt.

    Ich werde mir das bei meinem nächsten Kundenprojekt wo Radius eine Rolle spielt mal genauer anschauen.

    Hauptsache es funktioniert jetzt erst mal bei dir ;)

    vg

    mod