Radius Zertifikate mit XCA und WLC4006...

[asapHO]

Hallo Community,

erstmal ein großes Lob an euch, denn durch dieses Forum hab ich schon so manche Lösung gefunden, die mir der technische Support so schnell nicht geben konnte. Jetzt habe ich ein System aufgesetzt, bestehend aus einem 1 x WLC4006 und 5 x L-321agn

Folgende Tutorials habe ich adaptiert:

WLAN Layer-3 Tunneling: WLAN-Contoller mit Public Spot [1103.0214.4353.RHOO] (http://www2.lancom.de/kb.nsf/1275/E5B40 ... enDocument)
Konfiguration eines separaten Gast-Netzwerks (LAN & WLAN) mit Public-Spot- und Content-Filter-Funktionalität [1009.2914.0116.RHOO] (http://www2.lancom.de/kb.nsf/1275/8713F ... enDocument)

Dadurch konnte ich ein Wireless LAN System aufsetzen, das eben besagtes Gastnetzwerk zum Controller tunnelt, dann ins Internet rausgeht. Das Produktivnetzwerk habe ich dann als WPAPSK ausgeführt und direkt am AP ausgeleitet. Jetzt kam die Anforderung hoch, dass das Produktivnetzwerk per WPA mit 802.1X und Zertifikaten verschlüsselt werden soll.
Ich habe nun die Herausforderung, KEINE CA aufzusetzen (ich fürchte noch nicht absehbare Seiteneffekte auf unsere Serverlandschaft), daher wollte ich es wie in den beiden Tutorials beschrieben durchführen:

Zertifikatsbasierte WLAN-Verbindung mit 802.1x (EAP-TLS) Authentifizierung und LANCOM RADIUS-Server [1108.0916.4823.RHOO] http://www2.lancom.de/kb.nsf/0/8CE39818 ... endocument
Erstellen von X.509-Zertifikaten mit der Anwendung XCA [1108.1713.4236.RHOO] (http://www2.lancom.de/kb.nsf/1275/55EB3 ... enDocument)

Ich war also in der Lage die Zertifikate zu erstellen (laut Anleitung) mit dem Unterschied, dass ich einen CRL Distribution Point in der Form URI:http://meinserver/ca/ca.crl hinterlegt habe. Gleichzeitig hab ich die Schlüssellängen auf 4096 Bit hochgesetzt, sollte mit dem WLC hoffentlich kein Problem sein. Die Zertifikate sind erzeugt, das RootZertifikat gilt 10 Jahre, der AP gilt 5 Jahre und jeder Client würde 1 Jahr gelten. Es ist zwar immer ein wenig manuelle Arbeit, aber wie gesagt, mit der CA und dem NPS möchte ich noch nicht weiter fortfahren.

Die Idee ist, dass der WLC den Radius Server für eben diese Zertifikate macht.
Also habe ich ein lgoisches WLAN Erzeugt, dass WPA Authentifizierung erfordert. (siehe 1_log_wlan.JPG) Hab das Netzwerk in die Profile integriert.
Die Radius Einstellungen hab ich unter Radius-Server --> EAP vorgenommen (siehe 2_radius_eap.jpg).
Das Zertifikat habe ich wie in der Doku beschrieben als EAP/TLS - Container als PKCS#12-Datei hochgeladen. Der Export ist inkl. Zertifikatskette. Der Uploadvorgang ist auch erfolgreich abgeschlossen worden.

Ich hab nirgends gefunden, wo ich den RADIUS Server entsprechend einstellen kann, momentan ist er wie im Screenshot unter WLAN-Controller --> Stationen --> RADIUS-Server eingestellt (Siehe Screenshot 3_wlan_radius_setting.jpg)
Der RADIUS Dienst slebst ist laut Standard eingerichtet (Authentifizierung = 1812, Accounting = 1813).

Nachdem ich ein Clientzertifikat auf dem Computer importiert habe, und die Einstellungen für das WLAN wie in der Doku vorgenommen habe.

Nachdem ich 2 x Erfolg hatte mit einem Notebook bekomme ich nun immer und immer wieder mal sporadisch: Authentifizierung aufgrund ungültigen Benutzerzertifikats fehlgeschlagen. Das ist total diffus, denn gestern habe ich mich den ganzen Abend gespielt, da hat es nicht geklappt - heute hats auf Anhieb geklappt.
Aber momentan scheint es ja nun zu klappen, ein Trace hab ich auch beigefügt.

UPDATE:
Jetzt klappt es nimmer :p... Ich hab rausgefunden, nachdem ich was an der Konfig geändert habe, dass das Zertifikat offensichtlich wieder beim Teufel ist, denn auf der Konsole hat er mir mit 'show eap' mein Zertifikat nicht mehr angezeigt, sondern nur das LANCOM Zertifikat... Ich meine zu wissen, dass es hier mal einen Thread gab, dass der WLC das Zertifikat nach 3 Stunden gelöscht hat... Nachdem ich das Zertifikat hochgeladen hab, klappt es wieder.

Ich bin also knapp davor das "endlich" fertigzubekommen, wie ich es möchte. Am Ende hab ich hoffentlich eine brauchbare Doku (mit viiiielen Screenshots) die jeden Schritt in der richtigen Reihenfolge ausführt.

Also - ich würde mich sehr über Feedback freuen und zwar bzgl:

a) Gibts was, was man verbessern könnte?
b) Warum löscht der Sackl immer die Zertifikate? (Ich hab noch nicht rausgefunden wie und wann).

[asapHO]

Also nun ist es klar. Jedes Mal, wenn ich mit LANConfig etwas an der Konfiguration der APs ändere, dann überschreibt er mir die Zertifikate mit den eigenen. Auf der Konsole zeigt show eap vor eine Konfigänderung die "richtigen" Zertifikate, nachher direkt die von Lancom direkten.
Kennt jemand einen Weg, dass man das "ändern" kann?

[alf29]

Moin,

auf der CLI unter Setup->Certificates->SCEP-Client->
Certificates den Eintrag 'RADIUS' löschen.

Gruß Alfred

[asapHO]

Hallo Alf29,
wunderbar, das scheint geklappt zu haben. Ich hab den Eintrag rausgelöscht und schon kann ich Konfigurationsänderungen vornehmen, ohne dass das Zertifikat immer überschrieben wird. Jetzt starte ich einfach mal den Testbetrieb über 2 Tage und Dokumentiere bis die Schwarte raucht... Anschließend gibts die Doku hier

[alf29]

Moin,

verstehe ich das richtig, daß 802.1x bei Dir prinzipiell jetzt
funktioniert?

Gruß Alfred

[asapHO]

Richtig, das "generierte" Zertifikat wird nun verwendet. Ich hab heut nochmal nachgesehen und 802.1x funktioniert so wie es soll, auch mit den Clients. Das bedeutet, ich hab 2 SSIDs, 1 x WPA2PSK mit Public Spot und 1 x WPA2 mit Zertifikaten. Den PublicSpot habe ich auch PSK Verschlüsselt und die Templates entsprechend angepasst, dass das WPAPSK Passwort auch auf dem Voucher steht.
Die Computer können sich nun - mit einem gültigen Zertifikat - anmelden und bekommen eine Verbindung.

Ich schreib noch alles zusammen und hoffe bis zum Ende der Woche eine PDF mit meinen Schritten zu haben, die als HowTo für die Community bestimmt nicht so schlecht sein kann.

Grüße und Danke,

AsapHO

[MEM12]

Hallo asapHO,

ich wäre sehr interessiert an deinem HowTo, da wir hier in unserer Firma in etwa vor den selben Anforderungen stehen. Wäre nett wenn Du diese uns zur Verfügung stellen könntest.

Schon mal ein herzliches Danke im voraus!

[TZappe]

Ja, mich würde das auch sehr interessieren. Wir haben ähnliches bei uns auch demnächst vor.

[MaverrickTM]

Hallo zusammen,

kommt das versprochene Howto noch? Ich wäre auch sehr daran interessiert!

MfG Mav

[asapHO]

Hallo Community,

sorry, dass es so lange gedauert hat - aber die Zeit und Arbeit ruft. Mittlerweile ist das System schon länger in der Art bei uns im Einsatz und läuft soweit stabil, deshalb kann ich die Doku hier "guten Gewissens" einstellen. Ich habe versucht die Namen, Adressen etc. weitesgehend zu verschleiern, bzw. andere zu verwenden - ich will ja schließlich keine Internas ausplaudern.

Dieses Dokument ist nur ein "Leitfaden", der an der ein oder anderen Stelle möglicherweise weiterhelfen "kann". Die KBs von Lancom selbst sind ausgezeichnet, daher kann ich diese nur empfehlen.

Zur Vorgehensweise - ich empfehle an einer frischen Konfig den Internet Zugang zuerst mit dem Internet Assistenten durchzuführen, das macht es an der ein oder anderen Stelle etwas leichter.

Folgende Dokumente haben mir bei der Anfertigung (neben dem Handbuch) gut geholfen:

WLC Troubleshooting - Dokument-Nr. 0807.1414.1050.WWIN - V1.20
Erstellen von X.509-Zertifikaten mit der Anwendung XCA - Dokument-Nr. 1108.1713.4236.RHOO - V1.10
Konfiguration eines separaten Gast-Netzwerks (LAN & WLAN) mit Public-Spot- und Content-Filter-Funktionalität - Dokument-Nr. 1009.2914.0116.RHOO - V1.10
Tutorial WLAN Layer-3 Tunneling: WLAN-Controller mit Public Spot - Dokument-Nr. 1103.0214.4353.RHOO - V1.50

Alles in der Lancom KB

Anregungen, Wünsche und Kommentare - bitte zu mir.

Was in der Doku nicht drinnensteht ist, wie man die Public Spot Vouchers anpasst, damit diese evtl. gleich den PSK Code enthalten (wie hier konfiguriert).

Dies findet man hier:
Public Spot Option / Implementierung eigener Webseiten - Dokument-Nr. 0910.0109.1706.CIMD - V1.60

Ich hoffe, dass es dem ein oder anderen hier helfen kann.

Liebe Grüße an die ganze Community und vielen Dank auch an alf29, der an der ein oder anderen Stelle ausgeholfen hat

[TschungTschung]

Klasse Anleitung! Super! Werde da gleich mal ein wenig was kopieren müssen!