7
Cisco Aironet 2600 autonom an Windows IAS Radius Server anbinden
Hallo Leute,
Ich bin am Verzweifeln.
Ich habe einen Radius Server unter Windows 2003 und ein WLAN mit Proxim AP700 Accesspoints.
Damit der User die Internen Geräte ohne PW Anbfrage im WLAN nutzen können, sind die MAC Adressen als Windows Account in der AD angelegt im Format single dash delimited (xxxxxx-xxxxxx).
Die Authentifizierung erfolgt dann über den Windows Radius Server.
Die Proxim AP's funktionieren einwandfrei um ubergeben die Anmeldung als "single dash delimited / shared secret
Nun haben wir neue Cisco aironet 2600er bekommen die ich in unsere Infrastruktur einpflegen soll.
Allerdings kriege ich die Autentifizierung ums verrecken nicht hin.
Der Windows Radius Server meldet immer:
Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 15/11/2013
Time: 15:21:40
User: N/A
Computer: XXXXX
Description:
User 00216a6e344a was denied access.
Fully-Qualified-User-Name = XXXXXX\00216a6e344a
NAS-IP-Address = XXX.1.4.170
NAS-Identifier = AP-A225
Called-Station-Identifier = C0-25-5C-78-5B-E0
Calling-Station-Identifier = 00-21-6A-6E-34-4A
Client-Friendly-Name = AP-A225
Client-IP-Address = XXX.1.4.170
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1018
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = Authentication was not successful because an unknown user name or incorrect password was used.
Allerdings ist das Schwachsin, da ich mich mit dem gleichen Rechner über die Proxim Ap's anmelden kann.
Hier mal meine Cisco Config:
Ich würde mich super über euere Hilfe freuen.
LG - Luc -
______________________________________________________________________________________
!
! Last configuration change at 00:31:20 UTC Mon Mar 1 1993
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP-A225
!
logging rate-limit console 9
enable secret 5 $1$5W79$YTPfIb0mYaQD72iTX81Jq/
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
server XXX.1.0.8 auth-port 1812 acct-port 1813
subscriber mac-filtering security-mode shared-secret
mac-delimiter single-hyphen
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
!
!
dot11 syslog
!
dot11 ssid My Wireless Network A
vlan 1
authentication open mac-address mac_methods
!
dot11 aaa authentication attributes service login-only
dot11 aaa csid ietf
crypto pki token default removal timeout 0
!
!
username Cisco password 7 047802150C2E
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid My Wireless Network A
!
antenna gain 0
stbc
station-role root
no dot11 extension aironet
world-mode dot11d country-code LU both
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
antenna gain 0
no dfs band block
channel dfs
station-role root
no dot11 extension aironet
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host XXX.1.0.8 auth-port 1812 acct-port 1813 key 7 0215105A19010E3549
radius-server vsa send accounting
!
bridge 1 route ip
!
!
wlccp wds aaa authentication attributes service login-only
wlccp wds aaa csid ietf
!
line con 0
line vty 0 4
transport input all
!
end
Ich bin am Verzweifeln.
Ich habe einen Radius Server unter Windows 2003 und ein WLAN mit Proxim AP700 Accesspoints.
Damit der User die Internen Geräte ohne PW Anbfrage im WLAN nutzen können, sind die MAC Adressen als Windows Account in der AD angelegt im Format single dash delimited (xxxxxx-xxxxxx).
Die Authentifizierung erfolgt dann über den Windows Radius Server.
Die Proxim AP's funktionieren einwandfrei um ubergeben die Anmeldung als "single dash delimited / shared secret
Nun haben wir neue Cisco aironet 2600er bekommen die ich in unsere Infrastruktur einpflegen soll.
Allerdings kriege ich die Autentifizierung ums verrecken nicht hin.
Der Windows Radius Server meldet immer:
Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 15/11/2013
Time: 15:21:40
User: N/A
Computer: XXXXX
Description:
User 00216a6e344a was denied access.
Fully-Qualified-User-Name = XXXXXX\00216a6e344a
NAS-IP-Address = XXX.1.4.170
NAS-Identifier = AP-A225
Called-Station-Identifier = C0-25-5C-78-5B-E0
Calling-Station-Identifier = 00-21-6A-6E-34-4A
Client-Friendly-Name = AP-A225
Client-IP-Address = XXX.1.4.170
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1018
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = Authentication was not successful because an unknown user name or incorrect password was used.
Allerdings ist das Schwachsin, da ich mich mit dem gleichen Rechner über die Proxim Ap's anmelden kann.
Hier mal meine Cisco Config:
Ich würde mich super über euere Hilfe freuen.
LG - Luc -
______________________________________________________________________________________
!
! Last configuration change at 00:31:20 UTC Mon Mar 1 1993
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP-A225
!
logging rate-limit console 9
enable secret 5 $1$5W79$YTPfIb0mYaQD72iTX81Jq/
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
server XXX.1.0.8 auth-port 1812 acct-port 1813
subscriber mac-filtering security-mode shared-secret
mac-delimiter single-hyphen
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
!
!
dot11 syslog
!
dot11 ssid My Wireless Network A
vlan 1
authentication open mac-address mac_methods
!
dot11 aaa authentication attributes service login-only
dot11 aaa csid ietf
crypto pki token default removal timeout 0
!
!
username Cisco password 7 047802150C2E
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid My Wireless Network A
!
antenna gain 0
stbc
station-role root
no dot11 extension aironet
world-mode dot11d country-code LU both
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
antenna gain 0
no dfs band block
channel dfs
station-role root
no dot11 extension aironet
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host XXX.1.0.8 auth-port 1812 acct-port 1813 key 7 0215105A19010E3549
radius-server vsa send accounting
!
bridge 1 route ip
!
!
wlccp wds aaa authentication attributes service login-only
wlccp wds aaa csid ietf
!
line con 0
line vty 0 4
transport input all
!
end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 222108
Url: https://administrator.de/contentid/222108
Printed on: April 16, 2024 at 10:04 o'clock
7 Comments
Latest comment
Dieses Tutorial zu dem Thema hast du gelesen ?:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kapitel Mac Authentisierung.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kapitel Mac Authentisierung.
Hallo Aqui,
Danke für die Links, ich kenne das Tutorial.
Es geht mir aber nicht darum einen neuen Radius Server hoch zu ziehen, oder gar ein neues WLAN einzurichten.
Ich möchte nur die neuen Cisco AP's in die bestehende, funktionierende Infrastruktur einbinden.
Die Config ist ansich recht banal. Es ist eine simple mac-authentifizierung in einen offenen unverschlüsselten WLAN.
Da ich mich mit dem Cisco IOS aber nicht auskenne wollte ich nur wissen ob sich ein spezi meine Config mal anschaut und vieleicht den Fehler entdeckt.
Es kann nur eine Kleinigkeit sein.
Ich tippe mal dass die radius-server attribute vom Cisco nicht zum Windows IAS passen oder das PW nicht richtig übergeben wird.
LG. Luc
Danke für die Links, ich kenne das Tutorial.
Es geht mir aber nicht darum einen neuen Radius Server hoch zu ziehen, oder gar ein neues WLAN einzurichten.
Ich möchte nur die neuen Cisco AP's in die bestehende, funktionierende Infrastruktur einbinden.
Die Config ist ansich recht banal. Es ist eine simple mac-authentifizierung in einen offenen unverschlüsselten WLAN.
Da ich mich mit dem Cisco IOS aber nicht auskenne wollte ich nur wissen ob sich ein spezi meine Config mal anschaut und vieleicht den Fehler entdeckt.
Es kann nur eine Kleinigkeit sein.
Ich tippe mal dass die radius-server attribute vom Cisco nicht zum Windows IAS passen oder das PW nicht richtig übergeben wird.
LG. Luc
Hallo,
Sagst du. Dein Server sieht das aber anders. Wer hat denn nun Recht? Was sagen denn deine Cisco Handbücher dazu? Hast du dir den Traffic mal mit den Netzwerkmonitor bzw. einen Kabelhai angesehen (die Unterschiede der APs sollten ja ersichtlich sein)?
Gruß,
Peter
Sagst du. Dein Server sieht das aber anders. Wer hat denn nun Recht? Was sagen denn deine Cisco Handbücher dazu? Hast du dir den Traffic mal mit den Netzwerkmonitor bzw. einen Kabelhai angesehen (die Unterschiede der APs sollten ja ersichtlich sein)?
Gruß,
Peter
Hallo Peter,
Ja das sage ich
, denn mein mac account geht ja an den Proxim AP's durch, folglich muss es an der Cisco config liegen.
Laut dem Handbuch, wenn ich das dann richtig verstehe, sollte meine config aber in Ordnung sein.
Laut wire-shark ist das mac format falsch, der Account in der AD lautet xxxxxx-xxxxxx am Radius kommt aber xxxxxxxxxxxx an.
Sollte es aber nicht denn dafür ist der Parameter mac-delimiter single-hyphen.
Als PW soll der shared secret benutz werden, dafür steht subscriber mac-filtering security-mode shared-secret.
Ich habe aber das Gefühl dass die Parameter nicht ziehen.
Auch ist mir aufgefallen dass ich den shared-secret mit key 0 passwort eingegeben habe, "0" steht für unverschlüsselt.
Wenn ich die Config vom Cisco AP auslese ist der shared-secret aber mit key 7 passwort hinterlegt, was verschlüsselt heist.
Das pw sehe ich im Kabelhai auch nicht, scheint also in der Tat verschlüsselt am Radius anzukommen ?
LG. Luc
Ja das sage ich
, denn mein mac account geht ja an den Proxim AP's durch, folglich muss es an der Cisco config liegen.Laut dem Handbuch, wenn ich das dann richtig verstehe, sollte meine config aber in Ordnung sein.
Laut wire-shark ist das mac format falsch, der Account in der AD lautet xxxxxx-xxxxxx am Radius kommt aber xxxxxxxxxxxx an.
Sollte es aber nicht denn dafür ist der Parameter mac-delimiter single-hyphen.
Als PW soll der shared secret benutz werden, dafür steht subscriber mac-filtering security-mode shared-secret.
Ich habe aber das Gefühl dass die Parameter nicht ziehen.
Auch ist mir aufgefallen dass ich den shared-secret mit key 0 passwort eingegeben habe, "0" steht für unverschlüsselt.
Wenn ich die Config vom Cisco AP auslese ist der shared-secret aber mit key 7 passwort hinterlegt, was verschlüsselt heist.
Das pw sehe ich im Kabelhai auch nicht, scheint also in der Tat verschlüsselt am Radius anzukommen ?
LG. Luc
So war das auch nicht gemeint mit dem Hochziehen neuer Komponenten. Die Einrichtiug ist nur immer dieselbe und es gibt dort wenig Unterschiede. Radius ist eben Radius.
Mit dem Kabelhai bist du schon auf dem richtigen Weg. Wenn das Mac Format falsch ist dann schlägt auch die Authentisierung fehl, das ist klar !
wenn der Radius ein xxxxxx-xxxxxx erwartet es kommt dann aber ein xxxxxxxxxxxx schlägt die Benutzer Authentisierung fehl ! Also genau das was du auch siehst….
xxxxxx-xxxxxx ist ein sehr ungewöhnliches Format und nicht gerade üblich. Fraglich ob man den Cisco daruf umstellen kann. Das ist aber der Knackpunkt den du fixen musst sonst wird es nicht klappen.
Am besten wird sicher sein das auf ein einheitliches und gängiges Format wie xxxxxxxxxxxx umzustellen, dann verschwinden auch die Probleme sofort.
Mit dem Kabelhai bist du schon auf dem richtigen Weg. Wenn das Mac Format falsch ist dann schlägt auch die Authentisierung fehl, das ist klar !
wenn der Radius ein xxxxxx-xxxxxx erwartet es kommt dann aber ein xxxxxxxxxxxx schlägt die Benutzer Authentisierung fehl ! Also genau das was du auch siehst….
xxxxxx-xxxxxx ist ein sehr ungewöhnliches Format und nicht gerade üblich. Fraglich ob man den Cisco daruf umstellen kann. Das ist aber der Knackpunkt den du fixen musst sonst wird es nicht klappen.
Am besten wird sicher sein das auf ein einheitliches und gängiges Format wie xxxxxxxxxxxx umzustellen, dann verschwinden auch die Probleme sofort.
Hallo,
Ich wollte mal berichten, dass ich das Problem inzwischen gelöst habe.
Es lag in der Tat am User PW in der AD.
Hintergrund, bei den alten Proxim AP's benutze ich das Format Single Dash Delimited/SS um die MAC Addresse mit PW an den Radius Server zu übergeben.
SS steht für shared secret was soviel heist wie, der AP schickt die MAC Adresse als User und den shared secret als PW.
Cisco schickt default mässig die MAC Adresse als PW.
Nun muss ich nur noch herrausfinden ob man das am Cisco umstellen kann.
LG - Luc -
Ich wollte mal berichten, dass ich das Problem inzwischen gelöst habe.
Es lag in der Tat am User PW in der AD.
Hintergrund, bei den alten Proxim AP's benutze ich das Format Single Dash Delimited/SS um die MAC Addresse mit PW an den Radius Server zu übergeben.
SS steht für shared secret was soviel heist wie, der AP schickt die MAC Adresse als User und den shared secret als PW.
Cisco schickt default mässig die MAC Adresse als PW.
Nun muss ich nur noch herrausfinden ob man das am Cisco umstellen kann.
LG - Luc -
Und dazu hilft ein Blick in den Command Reference Guide denn man sich frei von der Cisco Webseite für dein IOS Release runterladen kann.
Das klärt diese Frage dann in 3 Minuten.
Das klärt diese Frage dann in 3 Minuten.