802.1x EAP/TLS funktioniert nicht mit Windows 8.1

[horihel]

Hallo,

meine heutige Frage ist mehr ein Hilferuf, wo ich noch suchen kann...

Wir haben im Haus 802.1x mit EAP/TLS eingeführt und das klappt auch ziemlich gut. Wir haben Zertifikate/Schlüssel und Wifi-Profil-XML (generiert unter Windows 7) im Haus auf den Rechnern verteilt und das tut.

... nicht unter Windows 8.1.

Unter Windows 8.1 gibt es Probleme mit dem Handshake. Windows 8.1 kann nicht verbinden.

Hier ein WLAN-STATUS Trace:

Code: Alles auswählen

[WLAN-STATUS] 2014/11/26 11:12:50,601
[WLAN-1-2] Authenticated WLAN station 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:12:50,604
[WLAN-1-2] Associated WLAN station 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:12:50,622
[WLAN-1-2] WLAN station 20:68:9d:c1:fd:99 leaves power-save mode

[WLAN-STATUS] 2014/11/26 11:12:51,010
[WLAN-1-2] WLAN station 20:68:9d:c1:fd:99 authenticated via 802.1x: user name is 20-68-9D-C1-FD-99

[WLAN-STATUS] 2014/11/26 11:12:53,460
[WLAN-1-2] Timeout in key handshake with peer 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:12:56,788
[WLAN-1-2] Authenticated WLAN station 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:12:56,792
[WLAN-1-2] Associated WLAN station 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:12:56,812
[WLAN-1-2] WLAN station 20:68:9d:c1:fd:99 leaves power-save mode

[WLAN-STATUS] 2014/11/26 11:13:15,426
[WLAN-1-2] WLAN station 20:68:9d:c1:fd:99 authenticated via 802.1x: user name is 20-68-9D-C1-FD-99

[WLAN-STATUS] 2014/11/26 11:13:17,870
[WLAN-1-2] Timeout in key handshake with peer 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:13:19,361
[WLAN-1-2] Authenticated WLAN station 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:13:19,365
[WLAN-1-2] Associated WLAN station 20:68:9d:c1:fd:99

[WLAN-STATUS] 2014/11/26 11:13:19,372
[WLAN-1-2] Disassociated WLAN station 20:68:9d:c1:fd:99 due to station request Disassociated because sending station is leaving (has left) BSS

Das Windows Log (und ein netsh trace) sind ausgesprochen unergiebig. Außerdem scheint Microsoft die GUI für die 802.1x-Einstellungen in 8.1 komplett entfernt zu haben (oder so gut versteckt, dass ich sie nicht finde).

Das absolut identische Netzwerkprofil funktioniert problemlos unter Win7.

Weiß jemand Rat?

[Bernie137]

Hi,

nehmt ihr einen Windows Radius Server dazu?
Dort mal unter C:\Windows\system32\LogFiles in die Dateien INxxxx.log geschaut? Dafür gibt es auch einen prima Viewer http://www.deepsoftware.com/iasviewer/? ... Aqe78P8HAQ

vg Bernie

[GrandDixence]

[WLAN-STATUS] 2014/11/26 11:12:53,460
[WLAN-1-2] Timeout in key handshake with peer 20:68:9d:c1:fd:99

Der Schlüsselaustausch konnte nicht erfolgreich abgeschlossen werden. Wahrscheinlicher Grund: Für Windows 8 wurden die minimalen Sicherheitsanforderungen für TLS verschärft. Zum Beispiel lässt der Internet Explorer auf Windows 8.1 den Aufruf von Webseiten mit der unsicheren RC4-Verschlüsselung nicht zu. Bei älteren Windows-Versionen ist die RC4-Verschlüsselung in den Standardeinstellungen noch zulässig. Entweder verwendet der RADIUS-Server für EAP-TLS zu unsichere Verschlüsselungsmethoden (Ciphers) oder die RSA-Schlüssellänge ist zu kurz (< 1024 Bit).

=> Mit Wireshark den Radius- oder EAPOL-Datenverkehr aufzeichnen und das CLIENT_HELLO und SERVER_HELLO inspizieren.

Eine sehr gute Literatur zu EAP-TLS bietet übrigens der BSI-TR-03103 Teil 1 Kapitel 7.2.3:

https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

und Empfehlungen zur verwendenden TLS-Schlüssellänge und Verschlüsselung gibt BSI TR-02102:

https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

[horihel]

Die Keys sind allesamt 4096bit RSA mit sha512,

der Radius ist ein Freeradius (SLES 11 SP3).

Ich war ursprünglich der Ansicht dass ein "Login OK" im Radius Log und ein "authenticated" im Lancom-Log "erfolg" bedeutet. Das kann aber sein, dass Windows den Server in der Zeit noch nicht authentifiziert hat. Ärgerlich ist da (mal wieder) der Mangel an Fehlermeldungen von Windows.

Ich werde mal tcpdumpen und gucken.

[alf29]

Moin,

Der Key Handshake ist das, was *nach* der 802.1X-Authentisierung passiert, und basiert auf dem Master Secret, was aus der 802.1X-Authentisierung herausfällt und das der AP vom RADIUS-Server mit dem RADIUS-Accept üblicherweise in den Attributen MS-MPPE-Recv/Send-Key mitgeteilt bekommt.

Den Key-Handshake (und auch die 802.1X-Verhandlung davor) kann man sich auf dem AP mit dem EAP-Trace anschauen.

Gruß Alfred

[horihel]

Hallo Alfred,

danke für den Tipp - der EAP-Trace ist sehr gesprächig. Auffällig da drin: jede Menge Timeouts:

Code: Alles auswählen

***Authenticator timeout occured for negotiation with 844bf534d6d8 in phase 1

Ich habe mittlerweile einen Log-Strohalm in Windows gefunden (10 testweise):

Code: Alles auswählen

Authentication failed for EAP method type 13. The error was 0x54F

Type 13 ist EAP-TLS, schonmal ein guter Start.
0x54F - da versagt mein google-fu. Aber diese Fehlernummer könnte der Schlüssel sein

Auffällig ist auch, dass beim tcpdump der Kommunikation mit dem Radius dieser zwar die Server-Kette schickt (insgesamt 3 Certs), der Client schickt aber kein Cert - (Ich sehe nur Access-Request, Access Challenge). Vielleicht überseh ich da auch was, bin schließlich nicht besonders tief in der Materie.

Die TLS-Kommunikation selbst scheint in Ordnung zu sein - sie einigen sich auf TLS_RSA_WITH_AES_256_CBC_SHA. Das ist ok und wird von allen Parteien unterstützt.

Ich kann - falls es nützlich ist - noch die EAP-Logs vom AP posten, die sind u.U. aber etwas umfangreich (selbst ohne die Retries).

[alf29]

Moin,

danke für den Tipp - der EAP-Trace ist sehr gesprächig. Auffällig da drin: jede Menge Timeouts:

Das ist per se noch nicht schlimm, denn der AP wiederholt die Pakete soundsoviele Male, bis er eine Antwort kriegt - erst wenn das zu oft hintereinander passiert, bricht er den WPA-Handshake mit der Meldung im Syslog ab.

Ich kenne Windows 8.1 bisher nicht, wenn der WPA-Supplicant Probleme hat, nach der 1X-Verhnadlung schnell genug zu starten, kann man im LANCOM auch eine 'Zwangspause' definieren (WPA-Handshake-Delay-ms unter /Setup/WLAN auf der LCOS-CLI). Wir hatten in der Vergangenheit öfters Probleme mit Handterminals, die nicht so recht 'aus den Pötten' kamen...

0x54F - da versagt mein google-fu. Aber diese Fehlernummer könnte der Schlüssel sein

Auffällig ist auch, dass beim tcpdump der Kommunikation mit dem Radius dieser zwar die Server-Kette schickt (insgesamt 3 Certs), der Client schickt aber kein Cert - (Ich sehe nur Access-Request, Access Challenge). Vielleicht überseh ich da auch was, bin schließlich nicht besonders tief in der Materie.

Bist Du sicher, daß Du EAP-TLS machst und nicht PEAP? Bei PEAP wäre das normal, daß nur der Server sich über ein Zertifikat authentisiert, die Clients machen das dann mit Benutzernamen und Paßwort.

Gruß Alfred

[horihel]

Moin,

Bist Du sicher, daß Du EAP-TLS machst und nicht PEAP? Bei PEAP wäre das normal, daß nur der Server sich über ein Zertifikat authentisiert, die Clients machen das dann mit Benutzernamen und Paßwort.

Gruß Alfred

Ja, da bin ich sicher - Jeder Client kriegt ein Cert installiert und ist damit im WLAN - unabhängig von der Benutzeranmeldung. Es kommt nach Installation des Cert und des Wifi-Profils (unter Win 7) auch kein Dialog hoch. Ich möchte nicht ausschließen, dass ich irgendwas falsch eingestellt habe und Win 7 an der Stelle dann nicht so streng ist. Ich wüsste halt nicht wo.

Einzig wenn kein Client-Cert installiert ist, dann kommt Windows 7 mit einem Username/Passwort Dialog hoch - weiß nicht weshalb. Im Radius und in den APs (zwei 1302acn und ein L54g) ist EAP-TLS eingestellt.

Ich finde leider nirgends Doku was a) in Windows 8.1 unterschiedlich ist und b) was 0x54F für ein Fehler ist.

[horihel]

Hossa,

hier der EAP-Trace:

Code: Alles auswählen

> trace + EAP @ 84:4B:F5:34:D6:D8

EAP                  ON  @ 84:4B:F5:34:D6:D8

]0;root@Lancom-Ap-2OG:/root@Lancom-Ap-2OG:/
> trace + WLAN-STATUS @ 84:4B:F5:34:D6:D8

WLAN-STATUS          ON  @ 84:4B:F5:34:D6:D8

]0;root@Lancom-Ap-2OG:/root@Lancom-Ap-2OG:/
> 
[WLAN-STATUS] 2014/11/27 08:18:00,133
[WLAN-1-2] Authenticated WLAN station 84:4b:f5:34:d6:d8

[WLAN-STATUS] 2014/11/27 08:18:00,135
[WLAN-1-2] Associated WLAN station 84:4b:f5:34:d6:d8

[EAP] 2014/11/27 08:18:00,136
EAP: Delete station 84:4b:f5:34:d6:d8 failed (station not found)


[EAP] 2014/11/27 08:18:00,137
EAP: Delete station 84:4b:f5:34:d6:d8 failed (station not found)


[EAP] 2014/11/27 08:18:00,139
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[EAP] 2014/11/27 08:18:00,139
EAP: Create station 84:4b:f5:34:d6:d8


[WLAN-STATUS] 2014/11/27 08:18:00,147
[WLAN-1-2] WLAN station 84:4b:f5:34:d6:d8 leaves power-save mode

[EAP] 2014/11/27 08:18:00,149
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 1 (EAPOL-Start)
EAP:   Packet Length = 0


[EAP] 2014/11/27 08:18:00,149
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[EAP] 2014/11/27 08:18:00,153
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 27
EAP:     Code        = 2 (Response)
EAP:     Ident       = 1
EAP:     Length      = 27
EAP:       Type      = 1 (Identity)


[EAP] 2014/11/27 08:18:00,157
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 27
EAP:     Code        = 2 (Response)
EAP:     Ident       = 1
EAP:     Length      = 27
EAP:       Type      = 1 (Identity)


[EAP] 2014/11/27 08:18:00,161
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 1 (Request)
EAP:     Ident       = 2
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,173
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 118
EAP:     Code        = 2 (Response)
EAP:     Ident       = 2
EAP:     Length      = 118
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,178
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1024
EAP:     Code        = 1 (Request)
EAP:     Ident       = 3
EAP:     Length      = 1024
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,188
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 3
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,193
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1024
EAP:     Code        = 1 (Request)
EAP:     Ident       = 4
EAP:     Length      = 1024
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,198
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 4
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,203
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1024
EAP:     Code        = 1 (Request)
EAP:     Ident       = 5
EAP:     Length      = 1024
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,209
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 5
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,215
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1024
EAP:     Code        = 1 (Request)
EAP:     Ident       = 6
EAP:     Length      = 1024
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,221
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 6
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,226
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1024
EAP:     Code        = 1 (Request)
EAP:     Ident       = 7
EAP:     Length      = 1024
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,231
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 7
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,236
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 352
EAP:     Code        = 1 (Request)
EAP:     Ident       = 8
EAP:     Length      = 352
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,279
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1492
EAP:     Code        = 2 (Response)
EAP:     Ident       = 8
EAP:     Length      = 1492
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,284
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 1 (Request)
EAP:     Ident       = 9
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,299
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1492
EAP:     Code        = 2 (Response)
EAP:     Ident       = 9
EAP:     Length      = 1492
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,305
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 1 (Request)
EAP:     Ident       = 10
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,323
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1492
EAP:     Code        = 2 (Response)
EAP:     Ident       = 10
EAP:     Length      = 1492
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,329
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 1 (Request)
EAP:     Ident       = 11
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,335
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 81
EAP:     Code        = 2 (Response)
EAP:     Ident       = 11
EAP:     Length      = 81
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,360
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 1024
EAP:     Code        = 1 (Request)
EAP:     Ident       = 12
EAP:     Length      = 1024
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,368
EAP: RX <- 84:4b:f5:34:d6:d8 - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 12
EAP:     Length      = 6
EAP:       Type      = 13 (EAP-TLS)


[EAP] 2014/11/27 08:18:00,374
EAP: TX -> 84:4b:f5:34:d6:d8 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 4
EAP:     Code        = 3 (Success)
EAP:     Ident       = 12
EAP:     Length      = 4


[WLAN-STATUS] 2014/11/27 08:18:00,375
[WLAN-1-2] WLAN station 84:4b:f5:34:d6:d8 authenticated via 802.1x: user name is 84-4B-F5-34-D6-D8

[WLAN-STATUS] 2014/11/27 08:18:20,760
[WLAN-1-2] Timeout in key handshake with peer 84:4b:f5:34:d6:d8

[EAP] 2014/11/27 08:18:20,763
EAP: Delete station 84:4b:f5:34:d6:d8


[EAP] 2014/11/27 08:18:20,763
EAP: Delete station 84:4b:f5:34:d6:d8 failed (station not found)

Spannend an der Sache ist, dass es wohl am Ende mit "Success" abschließt - und dann doch in einem Timeout endet.
Wobei ich heute Morgen keine massenhaften Retransmits hab, das war gestern abend anders...

[alf29]

Moin,

Wobei ich heute Morgen keine massenhaften Retransmits hab, das war gestern abend anders...

Du hast den EAP-Trace auf die MAC-Adresse des Clients in der Schreibweise mit Doppelpunkten gefiltert. Der Teil im LCOS, der den WPA-Key-Handshake macht, gibt die MAC-Adressen im Trace aber (noch) in der Schreibweise ohne Doppelpunkt aus...

Gruß Alfred

[horihel]

ah, da sind sie wieder...

Code: Alles auswählen

[EAP] 2014/11/27 08:56:59,460
***Authenticator timeout occured for negotiation with 844bf534d6d8 in phase 1
-->Retrying, this time with 1024 ms timeout...
-->EAPOL Header
Protocol Version    : 2
Packet Type         : Key
Packet Length       : 117
Key Type            : 2
-->802.11i RSN Key Descriptor
Key Information     : Version 2 Pairwise Key-Index 0 ACK
Key Length          : 16
Replay Counter      : 000000000000000e
Nonce               : b1 6b 12 ce 81 66 19 1a .k...f..
                      32 8a 76 a3 ef 77 55 ee 2.v..wU.
                      75 62 51 86 f4 6f 7e 47 ubQ..o~G
                      87 3e 87 f4 69 cc 52 2b .>..i.R+
Key IV              : 00 00 00 00 00 00 00 00 ........
                      00 00 00 00 00 00 00 00 ........
Key RSC             : 00 00 00 00 00 00 00 00 ........
Key ID              : 00 00 00 00 00 00 00 00 ........
Key MIC             : 00 00 00 00 00 00 00 00 ........
                      00 00 00 00 00 00 00 00 ........
Key Data Length     : 22
Key Data            : dd 14 00 0f ac 04 ee 87 ........
                      b1 6a 91 3c c4 03 c7 26 .j.<...&
                      d6 1e 8e a0 e3 95       ......

davon kommen knapp 20 stück pro Versuch. Das (inklusive der "Starting-" Meldung, deren Inhalt weitgehend identisch ist) ist alles mit dem Filter ohne Doppelpunkt.

Ich werde parallel mal noch einen etwas aktuelleren FreeRadius auftreiben - ich habe da so einen verdacht

[alf29]

Moin,

also wenn der Windows-Client über 20 Sekunden nicht auf das Paket vom AP reagiert, dann ist bei dem etwas oberfaul...

Ich werde parallel mal noch einen etwas aktuelleren FreeRadius auftreiben - ich habe da so einen verdacht

Der RADIUS-Server ist an der Stelle schon aus dem Spiel, weil die 802.1X-Verhandlung abgeschlossen ist.

Funktioniert denn mit dem Windows-Client eine ganz schlichte WPA-PSK-Verbindung?

Gruß Alfred

[horihel]

Ja, habe parallel eine WPA-PSK-Verbindung aufgebaut (mit LEPS) und das klappt.

Das Problem tritt wohl ab Windows 8.1 erst auf - mangels einer 8-Installation kann ich es grade dort nicht testen.
Windows 10 Preview hat das gleiche Problem.

[horihel]

kleines Update - ich glaube das Problem liegt tatsächlich an den Zertifikaten und Windows - neuere Versionen von FreeRadius haben folgendes in der README:

- Windows requires certain OIDs in the certificates. If it doesn't
see them, it will stop doing EAP. The most visible effect is
that the client starts EAP, gets a few Access-Challenge packets,
and then a little while later re-starts EAP. If this happens, see
the FAQ, and the comments in raddb/eap.conf for how to fix it.

[...]

- In none of these cases will Windows give the end user any
reasonable error message describing what went wrong. This leads
people to blame the RADIUS server. That blame is misplaced.

- Someone needs to ask Microsoft to please stop making life hard for
their customers.

ich grabe weiter und hoffe, hier niemanden mit meinem Spam zu nerven...

[GrandDixence]

Das Clientzertifikat sollte nur für folgende Zwecke aktiviert sein:

Serverauthentifizierung
Clientauthentifizierung

Siehe KB814394 (gilt ab Windows Vista bis Windows 10):
http://support.microsoft.com/kb/814394/en-us

Mit OpenSSL erreicht man dies wie folgt:

--------------------------------------------------------------------------
# openssl genrsa -out clientcertificate.pem 2048

Mit einer zusätzlichen Konfigurationsdatei den Schlüsselgebrauch
einschränken auf Server- und Clientidentifizierung mit SSL/TLS:

clientcertificate.ext
-------------------------------------------------------------
extensions = x509v3

[ x509v3 ]
extendedKeyUsage = serverAuth, clientAuth
-------------------------------------------------------------

Zertifikatsanforderung (Request) für das Serverzertifikat erstellen:

# openssl req -key clientcertificate.pem -new -subj /CN=<FQDN Client> -out clientcertificate.req