Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco Aironet 2600 autonom an Windows IAS Radius Server anbinden

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Eismann

Eismann (Level 1) - Jetzt verbinden

15.11.2013 um 16:19 Uhr, 3084 Aufrufe, 7 Kommentare

Hallo Leute,

Ich bin am Verzweifeln.
Ich habe einen Radius Server unter Windows 2003 und ein WLAN mit Proxim AP700 Accesspoints.

Damit der User die Internen Geräte ohne PW Anbfrage im WLAN nutzen können, sind die MAC Adressen als Windows Account in der AD angelegt im Format single dash delimited (xxxxxx-xxxxxx).

Die Authentifizierung erfolgt dann über den Windows Radius Server.
Die Proxim AP's funktionieren einwandfrei um ubergeben die Anmeldung als "single dash delimited / shared secret

Nun haben wir neue Cisco aironet 2600er bekommen die ich in unsere Infrastruktur einpflegen soll.
Allerdings kriege ich die Autentifizierung ums verrecken nicht hin.

Der Windows Radius Server meldet immer:

Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 15/11/2013
Time: 15:21:40
User: N/A
Computer: XXXXX
Description:
User 00216a6e344a was denied access.
Fully-Qualified-User-Name = XXXXXX\00216a6e344a
NAS-IP-Address = XXX.1.4.170
NAS-Identifier = AP-A225
Called-Station-Identifier = C0-25-5C-78-5B-E0
Calling-Station-Identifier = 00-21-6A-6E-34-4A
Client-Friendly-Name = AP-A225
Client-IP-Address = XXX.1.4.170
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1018
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = Authentication was not successful because an unknown user name or incorrect password was used.

Allerdings ist das Schwachsin, da ich mich mit dem gleichen Rechner über die Proxim Ap's anmelden kann.

Hier mal meine Cisco Config:
Ich würde mich super über euere Hilfe freuen.

LG - Luc -

______________________________________________________________________________________

!
! Last configuration change at 00:31:20 UTC Mon Mar 1 1993
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP-A225
!
logging rate-limit console 9
enable secret 5 $1$5W79$YTPfIb0mYaQD72iTX81Jq/
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
server XXX.1.0.8 auth-port 1812 acct-port 1813
subscriber mac-filtering security-mode shared-secret
mac-delimiter single-hyphen
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
!
!
dot11 syslog
!
dot11 ssid My Wireless Network A
vlan 1
authentication open mac-address mac_methods
!
dot11 aaa authentication attributes service login-only
dot11 aaa csid ietf
crypto pki token default removal timeout 0
!
!
username Cisco password 7 047802150C2E
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid My Wireless Network A
!
antenna gain 0
stbc
station-role root
no dot11 extension aironet
world-mode dot11d country-code LU both
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
antenna gain 0
no dfs band block
channel dfs
station-role root
no dot11 extension aironet
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host XXX.1.0.8 auth-port 1812 acct-port 1813 key 7 0215105A19010E3549
radius-server vsa send accounting
!
bridge 1 route ip
!
!
wlccp wds aaa authentication attributes service login-only
wlccp wds aaa csid ietf
!
line con 0
line vty 0 4
transport input all
!
end



Mitglied: Eismann
15.11.2013 um 17:55 Uhr
Hallo Aqui,

Danke für die Links, ich kenne das Tutorial.
Es geht mir aber nicht darum einen neuen Radius Server hoch zu ziehen, oder gar ein neues WLAN einzurichten.
Ich möchte nur die neuen Cisco AP's in die bestehende, funktionierende Infrastruktur einbinden.

Die Config ist ansich recht banal. Es ist eine simple mac-authentifizierung in einen offenen unverschlüsselten WLAN.
Da ich mich mit dem Cisco IOS aber nicht auskenne wollte ich nur wissen ob sich ein spezi meine Config mal anschaut und vieleicht den Fehler entdeckt.
Es kann nur eine Kleinigkeit sein.
Ich tippe mal dass die radius-server attribute vom Cisco nicht zum Windows IAS passen oder das PW nicht richtig übergeben wird.

LG. Luc
Bitte warten ..
Mitglied: Pjordorf
15.11.2013 um 18:28 Uhr
Hallo,

Zitat von Eismann:
Allerdings ist das Schwachsin,
Sagst du. Dein Server sieht das aber anders. Wer hat denn nun Recht? Was sagen denn deine Cisco Handbücher dazu? Hast du dir den Traffic mal mit den Netzwerkmonitor bzw. einen Kabelhai angesehen (die Unterschiede der APs sollten ja ersichtlich sein)?

Gruß,
Peter
Bitte warten ..
Mitglied: Eismann
15.11.2013 um 19:00 Uhr
Hallo Peter,

Ja das sage ich , denn mein mac account geht ja an den Proxim AP's durch, folglich muss es an der Cisco config liegen.
Laut dem Handbuch, wenn ich das dann richtig verstehe, sollte meine config aber in Ordnung sein.

Laut wire-shark ist das mac format falsch, der Account in der AD lautet xxxxxx-xxxxxx am Radius kommt aber xxxxxxxxxxxx an.
Sollte es aber nicht denn dafür ist der Parameter mac-delimiter single-hyphen.
Als PW soll der shared secret benutz werden, dafür steht subscriber mac-filtering security-mode shared-secret.

Ich habe aber das Gefühl dass die Parameter nicht ziehen.
Auch ist mir aufgefallen dass ich den shared-secret mit key 0 passwort eingegeben habe, "0" steht für unverschlüsselt.
Wenn ich die Config vom Cisco AP auslese ist der shared-secret aber mit key 7 passwort hinterlegt, was verschlüsselt heist.

Das pw sehe ich im Kabelhai auch nicht, scheint also in der Tat verschlüsselt am Radius anzukommen ?

LG. Luc
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert 22.11.2013
So war das auch nicht gemeint mit dem Hochziehen neuer Komponenten. Die Einrichtiug ist nur immer dieselbe und es gibt dort wenig Unterschiede. Radius ist eben Radius.
Mit dem Kabelhai bist du schon auf dem richtigen Weg. Wenn das Mac Format falsch ist dann schlägt auch die Authentisierung fehl, das ist klar !
wenn der Radius ein xxxxxx-xxxxxx erwartet es kommt dann aber ein xxxxxxxxxxxx schlägt die Benutzer Authentisierung fehl ! Also genau das was du auch siehst….
xxxxxx-xxxxxx ist ein sehr ungewöhnliches Format und nicht gerade üblich. Fraglich ob man den Cisco daruf umstellen kann. Das ist aber der Knackpunkt den du fixen musst sonst wird es nicht klappen.
Am besten wird sicher sein das auf ein einheitliches und gängiges Format wie xxxxxxxxxxxx umzustellen, dann verschwinden auch die Probleme sofort.
Bitte warten ..
Mitglied: Eismann
21.11.2013 um 07:41 Uhr
Hallo,

Ich wollte mal berichten, dass ich das Problem inzwischen gelöst habe.
Es lag in der Tat am User PW in der AD.

Hintergrund, bei den alten Proxim AP's benutze ich das Format Single Dash Delimited/SS um die MAC Addresse mit PW an den Radius Server zu übergeben.

SS steht für shared secret was soviel heist wie, der AP schickt die MAC Adresse als User und den shared secret als PW.
Cisco schickt default mässig die MAC Adresse als PW.
Nun muss ich nur noch herrausfinden ob man das am Cisco umstellen kann.

LG - Luc -
Bitte warten ..
Mitglied: aqui
22.11.2013 um 17:58 Uhr
Und dazu hilft ein Blick in den Command Reference Guide denn man sich frei von der Cisco Webseite für dein IOS Release runterladen kann.
Das klärt diese Frage dann in 3 Minuten.
Bitte warten ..
Ähnliche Inhalte
ISDN & Analoganschlüsse
Cisco 2600 als Media Gateway
Frage von Herbrich19ISDN & Analoganschlüsse3 Kommentare

Hallo, Ich würde gerne mit denn OCS2007 / Lync 2010 VoIP einrichten. Es handelt sich nur um Testversionen. Ich ...

LAN, WAN, Wireless
Cisco Aironet FIPS140
Frage von Herbrich19LAN, WAN, Wireless2 Kommentare

Hallo, Ich habe ein 3 Cisco Aironet AP,s die ich über einen RADIUS Server ihre Benutzer Autentifizieren. Wie kann ...

LAN, WAN, Wireless
Cisco Aironet Radio-Settings
gelöst Frage von swisstomLAN, WAN, Wireless6 Kommentare

Hallo Wir haben bei uns Cisco Aironet-APs (u.a. 1200 Series) am laufen. Kann mir ein (Cisco-)Spezialist folgende Begriffe plausibel ...

Switche und Hubs
Switch am Radius anbinden und local Login
gelöst Frage von Giusi1Switche und Hubs3 Kommentare

Hallo und guten Tag allerseits Ich habe ein Switch 3560G konfiguriert und am Radius angebunden. Ich möchte nun aber ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 1 StundePerl1 Kommentar

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 2 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 108 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless11 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Wieso kann ich den UPD 7000-9000 nicht freigeben?
Frage von Jayk0bRouter & Routing8 Kommentare

Router: Telekom W 723V Ports: UDP 7000-9000 Können nicht frei gegeben werden. Benutzgrund: Rocket League 7000 – 9000 UDP ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...