Hallo zusammen,
Irgendwie hänge ich momentan bei der Konfig. von RADIUS fest, und würde eure Hilfe ersuchen..
Ich habe versucht, RADIUS zu konfigurieren, mit einem Win2k16 NPS Server.
Bei Radius > Server:
Radius Auth: aktiv
Port: 1812
Keine IPv4 oder v6 Clients
EAP: PEAP und Mschapv2 ohne Tunnelserver
Bei Forwarding:
Default Realm und Empty Realm: IP des NPS Servers
Realm-Types: Alle aktiv
Beim Eintrag des Weiterleitungsservers:
Realm: IP des NPS Servers
Serveradresse: x.x.x.x
Port 1812
Secret wie auf dem NPS
Source Adress: keins
Protokol: RADIUS
Unter WLC - Radius Profile:
Gleiche Einstellungen wie beim Weiterleitungsserver, namens "NPS"
Unter WLC - Logical Networks (SSID) habe ich bei der SSID, die Radius bekommen soll:
WPA-802.1X Sec Level: Standard
RADIUS Profil: NPS
Bei meinen ersten Versuchen konnte ich im NPS Server noch nachvollziehen, dass es eine Verbindung gibt, allerdings kam diese vom Access Point, und nicht vom WLC, weshalb es eine Fehlermeldung gab (Client IP nicht bekannt) - verständlicherweise.
Mein Ziel ist es aber natürlich, nicht 50 APs als RADIUS Clients in das NPS eintragen zu müssen, sondern die RADIUS Req. an den WLC weiterzuleiten, der diese dann an den NPS weiterleitet.
Jetzt, ohne Änderung, sieht man nichtmal mehr die Fehlermeldung, dass der Access Point versucht hat, einen Radius Request zu schicken.
Als kleine Zusatzinfo: Ich betreibe den NPS in Azure, Azure und Standort sind mit VPN verbunden und die Ports und Ranges freigegeben. In einem anderen Standort (Cisco WLC) läuft es bereits zu 100%.
Könnt ihr mir sagen, was ich falsch mache? Die RADIUS Authentifizierung erfolgt mit O365 Logindaten, die der NPS Server sich über Azure AD Domain Services (Azure ADDS) zieht.
Lt. Wireshark kommt vom WLC auf den NPC null an - Ohne dass ich es irgendwas geändert hätte, gingen mit den 1:1 gleiche Einstellungen zuvor wenigstens Auth-Anfragen beim NPS ein. Wireshark und der EventLog zeigen aber keine RADIUS Auth Versuche vom WLC.
Ich freue mich auf euere Rückmeldung, ob ich das Setup überhaupt richtig gemahct habe, und wo die Fallstricke liegen könnten.
Danke und beste Grüße
Ron
RADIUS mit externem NPS
Moderator: Lancom-Systems Moderatoren
Re: RADIUS mit externem NPS
Moin,
an sich ganz eingfach:
https://www.lancom-systems.de/docs/LCOS ... xtern.html
Hier ist der erste Satz wichtig:
Daher muss der AAA-Server nur im WLC eingetragen werden, die Anleitung für den (hier echt rustikalen NPS) ist hier:
https://support.lancom-systems.com/know ... NPS+Server
Viele Grüße
an sich ganz eingfach:
https://www.lancom-systems.de/docs/LCOS ... xtern.html
Hier ist der erste Satz wichtig:
Code: Alles auswählen
Standardmäßig übernimmt der WLC die Weiterleitung von Anfragen für die Konto- bzw. Zugangsverwaltung an einen RADIUS-Server
https://support.lancom-systems.com/know ... NPS+Server
Viele Grüße
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: RADIUS mit externem NPS
Hallo ua,
Vielen lieben Dank für deine Antwort.
Zum Thema WLC übernimmt die Weiterleitung:
Leider tat es das nicht, als ich damals noch auf dem NPS Server in der Ereignisanzeige RADIUS - Auth versuche gesehen habe - damals hatte der NPS den RADIUS - Auth request direkt vom AP bekommen statt vom WLC.
Zum Thema NPS - Konfiguration:
ICh habe meinen NPS genau so konfiguriert, wie die Anleitung es verlant.
Während am Anfang meiner Testreihe wenigstens noch Auth - Versuche beim NPS nachvollziehbar waren, kann ich weder mit Wireshark, noch mit der Ereignisanzeige überhaupt einen Verbindungsversuch navollziehen.
Mit einem anderen Standort, dem gleichen NPS und einem Cisco WLC klappt es problemlos.
Hast du oder jemand Screenshots der Punkte, die konfiguriert werden müssen für RADIUS mit NPS? Vielleicht habe ich irgendwo anders Fehler gemacht.
Meine Konfigurationen habe ich ja bereits versucht, textuell zur Verfügung zu stellen.
Mich irritiert vor allem, warum am Anfang beim NPS Auth - Versuche angezeigt wurden, jetzt aber nichs mehr angezeigt wird.
Ich freue mich über jede Hilfe, ich bin langsam echt am verzweifeln.
Danke und LG
Ron
Vielen lieben Dank für deine Antwort.
Zum Thema WLC übernimmt die Weiterleitung:
Leider tat es das nicht, als ich damals noch auf dem NPS Server in der Ereignisanzeige RADIUS - Auth versuche gesehen habe - damals hatte der NPS den RADIUS - Auth request direkt vom AP bekommen statt vom WLC.
Zum Thema NPS - Konfiguration:
ICh habe meinen NPS genau so konfiguriert, wie die Anleitung es verlant.
Während am Anfang meiner Testreihe wenigstens noch Auth - Versuche beim NPS nachvollziehbar waren, kann ich weder mit Wireshark, noch mit der Ereignisanzeige überhaupt einen Verbindungsversuch navollziehen.
Mit einem anderen Standort, dem gleichen NPS und einem Cisco WLC klappt es problemlos.
Hast du oder jemand Screenshots der Punkte, die konfiguriert werden müssen für RADIUS mit NPS? Vielleicht habe ich irgendwo anders Fehler gemacht.
Meine Konfigurationen habe ich ja bereits versucht, textuell zur Verfügung zu stellen.
Mich irritiert vor allem, warum am Anfang beim NPS Auth - Versuche angezeigt wurden, jetzt aber nichs mehr angezeigt wird.
Ich freue mich über jede Hilfe, ich bin langsam echt am verzweifeln.
Danke und LG
Ron
Re: RADIUS mit externem NPS
Hi,
Trace mal auf dem Lancom die Radius-Funktion.
Vom Lancom erreichst Du den NPS (ggf. von der Lancom CLI ein Telnet auf den Radiusport probieren, auf die Absenderadresse achten)?
Sofern beim Radius keine Absenderadresse eingetragen ist, nimmt er die nächstliegende.
VG
WLC - Profile - Radius-Profile WLC - Profile - Logische WLAN Netzwerke
Trace mal auf dem Lancom die Radius-Funktion.
Vom Lancom erreichst Du den NPS (ggf. von der Lancom CLI ein Telnet auf den Radiusport probieren, auf die Absenderadresse achten)?
Sofern beim Radius keine Absenderadresse eingetragen ist, nimmt er die nächstliegende.
VG
WLC - Profile - Radius-Profile WLC - Profile - Logische WLAN Netzwerke
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...