802.1x mit Passwort Anmeldung IOS Problem - WIN10 ok

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

802.1x mit Passwort Anmeldung IOS Problem - WIN10 ok

Beitrag von otellodb »

Wir haben nun erfolgreich ein Profil im WLC eingerichtet, das unseren Windows 10 clients die Anmeldung mit 802.1x (Benutzername, Passwort) ermöglicht.
Leider spielen die IOS clients nicht mit. Diese weigern sich mit dem Netz zu verbinden.
was können wir da falsch gemacht haben.
Die Ablehnung erfolgt infolgendem EAP Trace sichtbar:

[EAP] 2020/06/20 11:29:11,333 Devicetime: 2020/06/20 11:29:18,285
***Received EAP packet on WLAN-1-3 from e0:c7:67:b1:77:34 (Apple b1:77:34):
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 17
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 5
EAP Packet Len : 17
EAP Packet Type : PEAP
--> EAP/PEAP Packet
PEAP Flags : LenPresent Version 0
TLS Record(s) Len : 7
--> SSL/TLS Record
Record Content Type : Alert
Record Length : 2
Protocol Version : TLSv1
Level: : warning
Description: : close_notify



Das entsprechende Stück beim Windows client lautet:

[EAP] 2020/06/20 11:34:32,092 Devicetime: 2020/06/20 11:34:39,003
***Received EAP packet on WLAN-2-2 from f8:e4:e3:7b:3c:a2:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 176
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 5
EAP Packet Len : 176
EAP Packet Type : PEAP
--> EAP/PEAP Packet
PEAP Flags : LenPresent Version 0
TLS Record(s) Len : 166
--> SSL/TLS Record
Record Content Type : Handshake
Record Length : 102
Protocol Version : TLSv1
Handshake Msg Type : Client Key Exchange
Message Length : 98


Was machen wir da falsch?
Danke für jegliche Idee.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: 802.1x mit Passwort Anmeldung IOS Problem - WIN10 ok

Beitrag von GrandDixence »

PEAP sollte aus Sicherheitsgründen nicht eingesetzt werden. Besser EAP-TLS einsetzen.

Bei EAP-TLS wird eine verschlüsselte Netzwerkverbindung mit TLS zwischen WLAN-Client und Radius-Server realisiert. Die verschlüsselten TLS-Datenpakete werden verpackt und per EAPOL vom WLAN-Client zum Radius-Server übertragen und umgekehrt.
https://www.heise.de/ct/artikel/WLAN-un ... 79513.html

Gemäss dem EAP Trace wird TLS v1.0 eingesetzt. TLS v1.0 sollte aus Sicherheitsgründen nicht mehr eingesetzt werden. Dies könnte der Grund sein, weshalb die Apple Geräte (korrekterweise) den Anmeldevorgang abbrechen. Radius-Server umkonfigurieren, so dass dieser Verschlüsselungsmethoden konform zu den Empfehlungen von BSI TR-02102-2 unterstützt.

Code: Alles auswählen

Setup->RADIUS->Server->EAP->EAP-TLS
otellodb
Beiträge: 104
Registriert: 19 Jun 2008, 14:14

Re: 802.1x mit Passwort Anmeldung IOS Problem - WIN10 ok

Beitrag von otellodb »

Ich habe jetzt unter dem Radius Server die Vorgabemethode auf TLS gesetzt.
Unter EAP-TSL kann ich noch Versionen von TLS auswählen.
Wähle ider Version 1 und Version 1.1 geht der Windows 10 client noch. Wähle ich auch VErsion 1.2 geht auch der WIndows 10 client nicht mehr.

Aber leider ändert sich für die IOS clients nichts.

das log der ios clients sieht dann an der Stelle so aus:

[EAP] 2020/06/21 13:36:29,454 Devicetime: 2020/06/21 13:36:29,417
***Received EAP packet on WLAN-2-2 from e0:c7:67:b1:77:34 (Apple b1:77:34):
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 17
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 5
EAP Packet Len : 17
EAP Packet Type : PEAP
--> EAP/PEAP Packet
PEAP Flags : LenPresent Version 0
TLS Record(s) Len : 7
--> SSL/TLS Record
Record Content Type : Alert
Record Length : 2
Protocol Version : TLSv1.1
Level: : warning
Description: : close_notify
-->forwarding non-802.11i key packet to 802.1X
Antworten