Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco Aironet 2600 autonom an Windows IAS Radius Server anbinden

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Eismann

Eismann (Level 1) - Jetzt verbinden

15.11.2013 um 16:19 Uhr, 3000 Aufrufe, 7 Kommentare

Hallo Leute,

Ich bin am Verzweifeln.
Ich habe einen Radius Server unter Windows 2003 und ein WLAN mit Proxim AP700 Accesspoints.

Damit der User die Internen Geräte ohne PW Anbfrage im WLAN nutzen können, sind die MAC Adressen als Windows Account in der AD angelegt im Format single dash delimited (xxxxxx-xxxxxx).

Die Authentifizierung erfolgt dann über den Windows Radius Server.
Die Proxim AP's funktionieren einwandfrei um ubergeben die Anmeldung als "single dash delimited / shared secret

Nun haben wir neue Cisco aironet 2600er bekommen die ich in unsere Infrastruktur einpflegen soll.
Allerdings kriege ich die Autentifizierung ums verrecken nicht hin.

Der Windows Radius Server meldet immer:

Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 15/11/2013
Time: 15:21:40
User: N/A
Computer: XXXXX
Description:
User 00216a6e344a was denied access.
Fully-Qualified-User-Name = XXXXXX\00216a6e344a
NAS-IP-Address = XXX.1.4.170
NAS-Identifier = AP-A225
Called-Station-Identifier = C0-25-5C-78-5B-E0
Calling-Station-Identifier = 00-21-6A-6E-34-4A
Client-Friendly-Name = AP-A225
Client-IP-Address = XXX.1.4.170
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 1018
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = PAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = Authentication was not successful because an unknown user name or incorrect password was used.

Allerdings ist das Schwachsin, da ich mich mit dem gleichen Rechner über die Proxim Ap's anmelden kann.

Hier mal meine Cisco Config:
Ich würde mich super über euere Hilfe freuen.

LG - Luc -

______________________________________________________________________________________

!
! Last configuration change at 00:31:20 UTC Mon Mar 1 1993
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
! NVRAM config last updated at 15:21:28 UTC Fri Nov 15 2013
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AP-A225
!
logging rate-limit console 9
enable secret 5 $1$5W79$YTPfIb0mYaQD72iTX81Jq/
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
server XXX.1.0.8 auth-port 1812 acct-port 1813
subscriber mac-filtering security-mode shared-secret
mac-delimiter single-hyphen
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods group rad_mac
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
!
!
!
!
aaa session-id common
no ip routing
!
!
dot11 syslog
!
dot11 ssid My Wireless Network A
vlan 1
authentication open mac-address mac_methods
!
dot11 aaa authentication attributes service login-only
dot11 aaa csid ietf
crypto pki token default removal timeout 0
!
!
username Cisco password 7 047802150C2E
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid My Wireless Network A
!
antenna gain 0
stbc
station-role root
no dot11 extension aironet
world-mode dot11d country-code LU both
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
antenna gain 0
no dfs band block
channel dfs
station-role root
no dot11 extension aironet
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host XXX.1.0.8 auth-port 1812 acct-port 1813 key 7 0215105A19010E3549
radius-server vsa send accounting
!
bridge 1 route ip
!
!
wlccp wds aaa authentication attributes service login-only
wlccp wds aaa csid ietf
!
line con 0
line vty 0 4
transport input all
!
end



Mitglied: Eismann
15.11.2013 um 17:55 Uhr
Hallo Aqui,

Danke für die Links, ich kenne das Tutorial.
Es geht mir aber nicht darum einen neuen Radius Server hoch zu ziehen, oder gar ein neues WLAN einzurichten.
Ich möchte nur die neuen Cisco AP's in die bestehende, funktionierende Infrastruktur einbinden.

Die Config ist ansich recht banal. Es ist eine simple mac-authentifizierung in einen offenen unverschlüsselten WLAN.
Da ich mich mit dem Cisco IOS aber nicht auskenne wollte ich nur wissen ob sich ein spezi meine Config mal anschaut und vieleicht den Fehler entdeckt.
Es kann nur eine Kleinigkeit sein.
Ich tippe mal dass die radius-server attribute vom Cisco nicht zum Windows IAS passen oder das PW nicht richtig übergeben wird.

LG. Luc
Bitte warten ..
Mitglied: Pjordorf
15.11.2013 um 18:28 Uhr
Hallo,

Zitat von Eismann:
Allerdings ist das Schwachsin,
Sagst du. Dein Server sieht das aber anders. Wer hat denn nun Recht? Was sagen denn deine Cisco Handbücher dazu? Hast du dir den Traffic mal mit den Netzwerkmonitor bzw. einen Kabelhai angesehen (die Unterschiede der APs sollten ja ersichtlich sein)?

Gruß,
Peter
Bitte warten ..
Mitglied: Eismann
15.11.2013 um 19:00 Uhr
Hallo Peter,

Ja das sage ich , denn mein mac account geht ja an den Proxim AP's durch, folglich muss es an der Cisco config liegen.
Laut dem Handbuch, wenn ich das dann richtig verstehe, sollte meine config aber in Ordnung sein.

Laut wire-shark ist das mac format falsch, der Account in der AD lautet xxxxxx-xxxxxx am Radius kommt aber xxxxxxxxxxxx an.
Sollte es aber nicht denn dafür ist der Parameter mac-delimiter single-hyphen.
Als PW soll der shared secret benutz werden, dafür steht subscriber mac-filtering security-mode shared-secret.

Ich habe aber das Gefühl dass die Parameter nicht ziehen.
Auch ist mir aufgefallen dass ich den shared-secret mit key 0 passwort eingegeben habe, "0" steht für unverschlüsselt.
Wenn ich die Config vom Cisco AP auslese ist der shared-secret aber mit key 7 passwort hinterlegt, was verschlüsselt heist.

Das pw sehe ich im Kabelhai auch nicht, scheint also in der Tat verschlüsselt am Radius anzukommen ?

LG. Luc
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert 22.11.2013
So war das auch nicht gemeint mit dem Hochziehen neuer Komponenten. Die Einrichtiug ist nur immer dieselbe und es gibt dort wenig Unterschiede. Radius ist eben Radius.
Mit dem Kabelhai bist du schon auf dem richtigen Weg. Wenn das Mac Format falsch ist dann schlägt auch die Authentisierung fehl, das ist klar !
wenn der Radius ein xxxxxx-xxxxxx erwartet es kommt dann aber ein xxxxxxxxxxxx schlägt die Benutzer Authentisierung fehl ! Also genau das was du auch siehst….
xxxxxx-xxxxxx ist ein sehr ungewöhnliches Format und nicht gerade üblich. Fraglich ob man den Cisco daruf umstellen kann. Das ist aber der Knackpunkt den du fixen musst sonst wird es nicht klappen.
Am besten wird sicher sein das auf ein einheitliches und gängiges Format wie xxxxxxxxxxxx umzustellen, dann verschwinden auch die Probleme sofort.
Bitte warten ..
Mitglied: Eismann
21.11.2013 um 07:41 Uhr
Hallo,

Ich wollte mal berichten, dass ich das Problem inzwischen gelöst habe.
Es lag in der Tat am User PW in der AD.

Hintergrund, bei den alten Proxim AP's benutze ich das Format Single Dash Delimited/SS um die MAC Addresse mit PW an den Radius Server zu übergeben.

SS steht für shared secret was soviel heist wie, der AP schickt die MAC Adresse als User und den shared secret als PW.
Cisco schickt default mässig die MAC Adresse als PW.
Nun muss ich nur noch herrausfinden ob man das am Cisco umstellen kann.

LG - Luc -
Bitte warten ..
Mitglied: aqui
22.11.2013 um 17:58 Uhr
Und dazu hilft ein Blick in den Command Reference Guide denn man sich frei von der Cisco Webseite für dein IOS Release runterladen kann.
Das klärt diese Frage dann in 3 Minuten.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco Aironet Radio-Settings (6)

Frage von swisstom zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst GPOs für Windows 10 in Server 2008 R2: Erfahrungsberichte (8)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...