3
RADIUS-Server EAP kann nicht verarbeitet werden
Umgebung:
RADIUS-Server: Windows Server 2012 Datacenter, RADIUS-Client: D-Link DAP-1353 AccessPoint, Client: Windows 8 Pro Notebook
Zertifkat wurde von der CA in der Gesamtstruktur (übergeordnete Domain) ausgestellt und auf dem RADIUS-Server installiert.
Hallo zusammen,
ich bin gerade dabei, etwas mit RADIUS zu experimentieren. Ich möchte meine AccessPoints mit RADIUS absichern.
Konfiguration sieht wie folgt aus:
Client: Windows 8 Pro
Anmeldung: Domänen-Account
RADIUS-Client: Wireless AccessPoint D-Link DAP-1353:
Mode: AP
Authentication: WPA-Enterprise (WPA2 Only)
Cipher Type: AES
NAP: Disabled
RADIUS-Server: IP-vom-RADIUS, Port: 1812
RADIUS Secret: Schlüssel, welcher am RADIUS-Server erstellt wurde
RADIUS-Server:
RADIUS-Clients: oben stehender AP, mit IP-Adresse und manuellem Schlüssel (dieser Schlüssel ist im AP eingetragen)
Herstellername: RADIUS Standard
[x] "Access-Request"-Meldungen müssen das Attribut "Message-Authentivator" beinhalten
[ ] RADIUS-Client ist NAP-fähig
Verbindungsanforderungsrichtlinie:
Authentifizierungsanbieter: Lokaler Computer
EAP-Konfiguration (Extensible Authentication-Protokoll): Konfiguriert
EAP-Methode (...): Microsoft Smartcard- oder anderes Zertifikat (hier habe ich das von der CA ausgestellte Zertifikat ausgewählt, damit sich der Client mit diesem verbindet)
Authentifzierung der Netzwerkrichtlinie außer Kraft setzen: Aktiviert
Authentifizierungsmethode: EAP
Bedingungen:
- NAS-Porttyp: Funk (IEEE 801.11) OR Funk (sonstige)
- Client-IPv4-Adresse: IP-des-AccessPoints
Netzwerkrichtlinien:
Benutzereinwähleigenschaften ignorieren: Wahr
Zugriffsberechtigung: Zugriff gewähren
Authentifizierungsmethode: CHAP, MS-CHAP v1, MS-CHAP v2
NAP-Erzwingung: VOllständigen Netzwerkzugriff gewähren
IP-Einstellungen: Dem Client wird eine IP-Adresse bereitgestellt
Framed-Protocol: PPP
Service-Type: Framed
Verschülsselungsrichtlinie: Aktiviert
Verschlüsselung: Stärkste Verschlüsselung (MPPE 128-Bit)
Bedingungen:
- NAS-Porttyp: Funk (IEEE 802.11) OR Funk (Sonstige)
- Windows-Gruppe: meine vorher angelegte AD Gruppe mit meinem User drin
Mit dieser Konfiguration bekomme ich am Client beim Versuch zum Herstellen einer Verbindung die Meldung: Keine Verbindung mit dem Netzwerk möglich
In den Eventlogs am RADIUS-Server ist zu sehen:
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Hat hier jemand eine Idee, was noch fehlt? Habe dieses Szenario nach einem Step-by-Step-HowTo aufgebaut, aber ohne Erfolg bisher
ich bin gerade dabei, etwas mit RADIUS zu experimentieren. Ich möchte meine AccessPoints mit RADIUS absichern.
Konfiguration sieht wie folgt aus:
Client: Windows 8 Pro
Anmeldung: Domänen-Account
RADIUS-Client: Wireless AccessPoint D-Link DAP-1353:
Mode: AP
Authentication: WPA-Enterprise (WPA2 Only)
Cipher Type: AES
NAP: Disabled
RADIUS-Server: IP-vom-RADIUS, Port: 1812
RADIUS Secret: Schlüssel, welcher am RADIUS-Server erstellt wurde
RADIUS-Server:
RADIUS-Clients: oben stehender AP, mit IP-Adresse und manuellem Schlüssel (dieser Schlüssel ist im AP eingetragen)
Herstellername: RADIUS Standard
[x] "Access-Request"-Meldungen müssen das Attribut "Message-Authentivator" beinhalten
[ ] RADIUS-Client ist NAP-fähig
Verbindungsanforderungsrichtlinie:
Authentifizierungsanbieter: Lokaler Computer
EAP-Konfiguration (Extensible Authentication-Protokoll): Konfiguriert
EAP-Methode (...): Microsoft Smartcard- oder anderes Zertifikat (hier habe ich das von der CA ausgestellte Zertifikat ausgewählt, damit sich der Client mit diesem verbindet)
Authentifzierung der Netzwerkrichtlinie außer Kraft setzen: Aktiviert
Authentifizierungsmethode: EAP
Bedingungen:
- NAS-Porttyp: Funk (IEEE 801.11) OR Funk (sonstige)
- Client-IPv4-Adresse: IP-des-AccessPoints
Netzwerkrichtlinien:
Benutzereinwähleigenschaften ignorieren: Wahr
Zugriffsberechtigung: Zugriff gewähren
Authentifizierungsmethode: CHAP, MS-CHAP v1, MS-CHAP v2
NAP-Erzwingung: VOllständigen Netzwerkzugriff gewähren
IP-Einstellungen: Dem Client wird eine IP-Adresse bereitgestellt
Framed-Protocol: PPP
Service-Type: Framed
Verschülsselungsrichtlinie: Aktiviert
Verschlüsselung: Stärkste Verschlüsselung (MPPE 128-Bit)
Bedingungen:
- NAS-Porttyp: Funk (IEEE 802.11) OR Funk (Sonstige)
- Windows-Gruppe: meine vorher angelegte AD Gruppe mit meinem User drin
Mit dieser Konfiguration bekomme ich am Client beim Versuch zum Herstellen einer Verbindung die Meldung: Keine Verbindung mit dem Netzwerk möglich
In den Eventlogs am RADIUS-Server ist zu sehen:
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Hat hier jemand eine Idee, was noch fehlt? Habe dieses Szenario nach einem Step-by-Step-HowTo aufgebaut, aber ohne Erfolg bisher
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202748
Url: https://administrator.de/contentid/202748
Printed on: April 16, 2024 at 08:04 o'clock
3 Comments
Latest comment
Ggf. ist das noch hilfreich zum Troubleshooting:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Noch ein Tip: Framed Protokoll kann niemals PPP sein. Das muss eigentlich auf EAP stehen es sei denn MS macht da was grundlegend anders.
Im o.a. Tutorial kannst du das auch so nachlesen.
Sehr sinnvoll wäre hier ein Logauszug vom Radius zu posten (analog zum Debug Output des FreeRadius) dann wüsste man sofort genau wo es kneift !
Zudem solltest du aus Sicherheitsgründen CHAP, MS-CHAP v1 zwingend verbieten, denn diese Protokolle sind binnen Sekunden knackbar !
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Noch ein Tip: Framed Protokoll kann niemals PPP sein. Das muss eigentlich auf EAP stehen es sei denn MS macht da was grundlegend anders.
Im o.a. Tutorial kannst du das auch so nachlesen.
Sehr sinnvoll wäre hier ein Logauszug vom Radius zu posten (analog zum Debug Output des FreeRadius) dann wüsste man sofort genau wo es kneift !
Zudem solltest du aus Sicherheitsgründen CHAP, MS-CHAP v1 zwingend verbieten, denn diese Protokolle sind binnen Sekunden knackbar !
Mit Logs von FreeRadius kann ich leider nicht dienen, da ich Windows Server 2012 als Radius-Server einsetze 
Ich kann aber die beiden Eventlogs von Windows mal posten:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: Domäne\User
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne\User
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: xx-xx-xx-xx-xx-13:WLAN
Anrufer-ID: xx-xx-xx-xx-xx-70
NAS:
NAS-IPv4-Adresse: 1.2.3.4 (IP vom AP)
NAS-IPv6-Adresse: -
NAS-ID: xx:xx:xx:xx:xx:13
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: WLAN-AP
Client-IP-Adresse: 1.2.3.4 (IP vom AP)
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUS-Hostname.Domäne
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: host/Hostname.Domäne
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne\Hostname$
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: xx-xx-xx-xx-xx-13:WLAN
Anrufer-ID: xx-xx-x-xx-xx-70
NAS:
NAS-IPv4-Adresse: 1.2.3.4 (IP vom AP)
NAS-IPv6-Adresse: -
NAS-ID: xx:xx:xx:xx:xx:13
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: WLAN-AP
Client-IP-Adresse: 1.2.3.4 (IP vom AP)
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUSServer.Domäne
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Diese beiden Meldungen erscheinen, sobald ich mich 1x versuche mit dem Notebook mit dem WLAN zu verbinden.
Wenn ich das Tool NTRadPing nutze und die Daten entsprechend eintrage, bekomme ich nur die Meldung: no response from server
Auf dem Server tauchen aber auch keine Logs auf, das Tool kommt also nicht zum Server durch. Firewalls hängen keine dazwischen.
Ich kann aber die beiden Eventlogs von Windows mal posten:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: Domäne\User
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne\User
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: xx-xx-xx-xx-xx-13:WLAN
Anrufer-ID: xx-xx-xx-xx-xx-70
NAS:
NAS-IPv4-Adresse: 1.2.3.4 (IP vom AP)
NAS-IPv6-Adresse: -
NAS-ID: xx:xx:xx:xx:xx:13
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: WLAN-AP
Client-IP-Adresse: 1.2.3.4 (IP vom AP)
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUS-Hostname.Domäne
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: host/Hostname.Domäne
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne\Hostname$
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: xx-xx-xx-xx-xx-13:WLAN
Anrufer-ID: xx-xx-x-xx-xx-70
NAS:
NAS-IPv4-Adresse: 1.2.3.4 (IP vom AP)
NAS-IPv6-Adresse: -
NAS-ID: xx:xx:xx:xx:xx:13
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: WLAN-AP
Client-IP-Adresse: 1.2.3.4 (IP vom AP)
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUSServer.Domäne
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Diese beiden Meldungen erscheinen, sobald ich mich 1x versuche mit dem Notebook mit dem WLAN zu verbinden.
Wenn ich das Tool NTRadPing nutze und die Daten entsprechend eintrage, bekomme ich nur die Meldung: no response from server
Auf dem Server tauchen aber auch keine Logs auf, das Tool kommt also nicht zum Server durch. Firewalls hängen keine dazwischen.
Kann es evtl. daran liegen, dass Routing und RAS nicht konfiguriert ist? Wenn dem so ist, wie muss ich RRAS konfigurieren?