RADIUS; wel acces granted geen verbinding. - Netwerken

donderdag 11 januari 2007 19:32

Acties:

Topicstarter

Mijn client maakt geen verbinding met mijn radius server.
De client blijft hangen op verifiëren identiteit. Dus eigenlijk wil ik dit eerst uitzetten om het probleem beter te kunnen analyseren en om wat meer van die radius servers te begrijpen en hun config.

- bij remote acces policy's staat nu 1 policy (blijkbaar 1 verplicht).
- bij connection request policy's staat precies de zelfde policy aan
Deze geeft toegang als je binnen bepaalde tijden inlogd (altijd).
Als het goed is staat dus nu nergens meer 1 vorm van identificatie gevraagd. In ieder geval niet bij deze policy's. Dan hoe komt het dat de cliënt nog steeds probeert te verifiëren?

mijn 2 centen; moet ik nog iets instellen bij de user zelf. Iets in de trend van wifi toegang?
Ik kan op mijn ap niet alleen radius aangeven, alleen wpa radius of wpa2 radius. Dus er zou ook nog een probleem bij de encryptie kunnen liggen. Dit lijkt me alleen zo sterk aangezien de eventlog van mijn windows 2003 server aangeeft dat hij toegang staat (ik probeer aan te melden, de event viewer geeft aan "acces granted")

Specs:
Client:
Windows xp sp2
AP:
WPA radius
Server
Windows 2003 radius server

[ Voor 4% gewijzigd door battler op 11-01-2007 19:32 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

donderdag 11 januari 2007 23:06

Acties:

battler

Topicstarter

kickje

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

vrijdag 12 januari 2007 10:43

Acties:

medendo

Ik begrijp geen hout van je verhaal. Begin eens met het geven van informatie i.p.v. met je natte vingers te gokken wat het kan zijn.
Hoe moet de verbinding lopen. Teken het uit. Welke radius? Welke client? Welke app? Staat er een FW tussen, zo ja, heb je alle poortjes open (laten) zetten?
Gewoon alles uittekenen, functies beschrijven, wat doet wat, werkt dit zoals het hoort etc.

vrijdag 12 januari 2007 20:18

Acties:

battler

Topicstarter

Afbeeldingslocatie: http://img110.imageshack.us/img110/669/tekening1lg3.th.jpg

Laptop nr 10 naar AP nr 6 naar Radius Server nr 1.
Geen firewall, port geforward van AP 6 naar Server nr 1.

Screens van server conf.
AP conf en Client Conf. komen er aan.

[ Voor 58% gewijzigd door battler op 12-01-2007 20:23 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zaterdag 13 januari 2007 01:16

Acties:

medendo

Het wordt er niet echt duidelijker op. Geen firewall maar wel een portforward?

Welke poorten dan?
Ik neem aan dat de laptop XP draait en via wifi connect. Wat is de AP voor apparaat? Welke RADIUS gebruik je? Hoe heb je die ingesteld hiervoor? Authenticatie gebeurt op de windows server kan ik er nog wel net uithalen...

zaterdag 13 januari 2007 12:20

Acties:

battler

Topicstarter

Het wordt er niet echt duidelijker op.
Geen firewall maar wel een portforward?

Alle ap's (3 op de netwerktekening) forwarden hun poort door naar de 1server
Ik weet niet ofdat dit goed is? aangezien je binnen je eigen lan blijft, en je al een radius server ip opgeeft.
Welke poorten dan?
1812
Ik neem aan dat de laptop XP
Client:
Windows xp sp2
draait en via wifi connect.
Wat is de AP voor apparaat?
DLINK DGL 4300 Gaming Router
Welke RADIUS gebruik je?
IAS Windows 2003 Server
Hoe heb je die ingesteld hiervoor?
http://www.hansenonline.net/Networking/wlanradius.html
Authenticatie gebeurt op de windows server kan ik er nog wel net uithalen...
Sorry dat het zo onduidelijk is, ik ben in iedergeval blij met je hulp. Aangezien je de enige bent volgens mij die het begrijpt.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 14 januari 2007 20:46

Acties:

battler

Topicstarter

Hij raakt snel in vergetelheid, en het probleem is niet opgelost. Ik hoop echt dat iemand me kan helpen. Ben al 3 dagen non stop bezig.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

vrijdag 19 januari 2007 13:30

Acties:

medendo

battler schreef op zaterdag 13 januari 2007 @ 12:20:
Het wordt er niet echt duidelijker op.
Geen firewall maar wel een portforward?
Alle ap's (3 op de netwerktekening) forwarden hun poort door naar de 1server
Ik weet niet ofdat dit goed is? aangezien je binnen je eigen lan blijft, en je al een radius server ip opgeeft.
Welke poorten dan?
1812

Sorry dat ik zo laat reageer, ik was deze al helemaal weer vergeten ...
Een portforward in hetzelfde subnet

Ik zie geen logica of wat je nou eigenlijk bedoelt.
Ik gok, met m'n natte vinger, dat de issue op de windows server zit. Indien je geen RADIUS gebruikt en gewoon WIFI+encryptie+password gebruikt dat het gewoon werkt. Is dat ook zo?
Punt waar het fout kan gaan is met het certificaat. Zie :

Before diving into this, the requirements for this project is:

1. Microsoft Windows Server 2000 or 2003 w/AD.
2. Certification server (or, you could buy a certificate from a third party certificate authority).
3. RADIUS server (comes with Windows server).
4. Wireless Access point that supports WPA with Radius authentication.
5. Wireless network card.
6. Windows XP clients with WPA patch.

If you got #1, then you automatically have #2 and #3, as these are services that comes with Windows Server (with the possible exception of Windows 2003 web edition). Installing the Internet Authentication Service (IAS) and the Certificate Authority service is easy enough. IAS is installed without any questions of any kind, the CA service installation is also painless yet it does ask you to name the certificate authority.

* NOTE: I have gotten some questions regarding the installation and configuration of the CA server, specifically about having to issue a Server Authentication Certificate to the IAS server before authentication will work. I didn't intentionally leave anything out; my setup as described here worked without having to issue any certificates. I don't want to say it "worked out of the box", because I did spend many hours reading sometimes contradicting information about how to configure this.

Dit heb je allemaal correct geconfigureerd?

vrijdag 19 januari 2007 13:53

Acties:

battler

Topicstarter

Inderdaad als ik geen Radius gebruik werkt wel alles perfect.
Sterker nog ik heb er een andere AP aangehangen deze heeft ook een interne Radius database.
Dan werkt het wel. Ik ben dus 100% overtuigt dat de identificatie verkeerd gaat op de Windows server.
Is er nog een applicatie die ook overweg kan met de database van Windows (zodat ik wel alle users kan gebruiken die daarin staan) maar en die dan ook als radius server kan dienen?

De hele configuratie ging vlekkeloos.

precies zoals daar beschreven stond.
Het is trouwens niet de eerste keer dat ik het installeer al een keer of 3 eerder gedaan. En nu wil het in 1 niet werken

Ik heb ook de hele installatie opnieuw gedaan, het enige wat ik zie is de gehele server opnieuw installeren.

[ Voor 27% gewijzigd door battler op 19-01-2007 13:56 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl