[WiFi Authenticatie] W2k8 NPS en Cisco 1142 APs (geen cert)

Hallo Tweakers,

Momenteel ben ik bezig met een nieuw project m.b.t. de uitrol van WiFi.
Het is de bedoeling dat alle access points roamen met elkaar (via de controller), echter moet de authenticiteit plaatst vinden op de NPS (radius) server op basis van AD gegevens.

Het liefst maak ik hierin gebruik van 2 security groups;
1. dl_wifi_access_public
2. dl_wifi_access_private

Waarbij er onder “dl_wifi_access_public” één user hangt “draadloos” die iedereen kan gebruikt voor alleen internet toegang (vuil internet allemaal in VLAN11) en in de toekomst mogen alle users die lid zijn van “dl_wifi_access_private” ook op de andere VLANs indien ze goed kunnen authenticeren.

Op het moment is het zo dat “any device” (Ipad,Iphone,BlackBerry,Laptop, Android w/e) moet kunnen connecten zonder certificaat of iets dergelijks gewoon puur op basis van username/password geverifieerd tegen het AD account “draadloos”.

Echter alle posts, howto’s, tutorials, technet articles, blogs etc die ik kan vinden m.b.t. Microsoft NPS(radius) en Wirless Accesspoints werken met Certificaten en ik kom er dus gewoon niet verder mee.
Heel concreet moet een willekeurige laptop kunnen aanmelden op de SSID: “Cisco_test” en dan met user: Draadloos en pass: draadloos aan kunnen melden.

Ik heb een POC omgeving opgezet waarin de volgende apparaten zich bevinden:
1. Cisco wireless controller 5500 series (5508)
2. 12x Cisco Aironet 1142 (AIR-LAP1142N-A-K9)
3. Windows 2008 Std SP2 (32bit); NPS en DHCP role.

* NPS server is geregistreerd in AD en is lid van de security Group “RAS and IAS Servers”.
* Cisco AP ondersteund WEP, EAP en WPA waarbij er bij EAP en WPA een radius server moet worden opgegeven.

Alles access points, controller en NPS server kunnen elkaar benaderen, zitten in het zelfde VLAN en er zijn geen port of IP restricties of firewalls.

Wanneer ik mijn laptop zelf toevoeg als Radius client en ik met het tooltje “NTRadPing” een connectie opbouw naar de NPS server dan krijg ik een “Access Accept” mits ik het juiste shared secret en de juiste AD credentials invul.

Output NTRADPING:
^{Sending authentication request tot server 192.168.4.23:1812
Transmitting packet, code=1 id=0 lenght=49
received response from the server in 63 milliseconds
reply packet code=2 id=0 lenght=102
response: Access-Accept
-----------------attribute dump-----------------------
Framed-Protocol=PPP
Service-Type=Framed
Class=\0xa2,\0x09@\0x00\0x00\0x017\0x00\0xfe\
Vendor Microsoft MS-MPPE-Encryption-Policy=Encyryption-Allowed
Vendor Microsoft MS-MPPE-Encryption-Type=0}

Wanneer ik de AD credentials of de shared secret foutief verander dan gaat het fout, er moet dus wel degelijk een connectie zijn tussen mijn laptop en de NPS server op dat moment.

Dus wanneer ik met het tooltje een connectie maak naar de NPS server met de juiste credentials dan doet hij een goede autenticatie op AD, alleen hoe krijg ik het nou voor elkaar dat dit ook via de Cisco Access Points kan? Een user meldt zich aan op de SSID “Cisco_test” en krijg een credential popup waarna hij of zij toegang krijg (voor any device).

Ik hoop dat er iemand is met ervaringen op dit gebied en het wel voor elkaar heeft gekregen.
Wie weet kan die gene mij op weg helpen want ik kom er tot nu toe niet uit en ben al een aantal weken bezig

Paul en Bazkar, bedankt voor jullie reactie.

@Paul
Ah mooi, ik ben benieuwd naar jouw oplossing en de eventuele problemen die je bent tegen gekomen.
Goed om te weten dat het in ieder geval kan op die manier

@Bazkar
Dit behoort zeker tot de opties voor de "internet only" users. Alleen wil ik in de toekomst ook gebruikers toegang geven op de productie VLANs en als we het dus voor "internet only" werkend krijgen dan is die volgende stap ook gelijk gemaakt.

Wellicht (als er tijd over is) wil ik idd ook wel even kijken naar dat Aruba Networks, al veel over gehoort en gelezen

Uiteindelijk willen we misschien wel naar iets toe met een certificaat en ook voor de guests zullen we misschien in eerste instantie gebruik maken van het captive portal, echter in de test fase is het de bedoeling dat het werkt zonder certificaten.

Policy @ NPS server:

RADIUS clients:
- friendly name = Cisco
- IP addr = 192.168.1.32
- Vendor name = RADIUS standaard (ook cisco geprobeerd).
- Shared Secred manual = ******
- Access-request message must contain the message-authenticator attribute (unchecked)
- RADIUS client is NAP-capable (unchecked)

Connection Request policy:

Conditions:
Day and time restrictions (staan 24/7 open).

Settings:
- Authenticaion Provider = Local computer

Override:
- Authentication = Disabled


Network Policy:

Conditions:
- User Groups = testzorg\dl_wifi_access

Settings:
- Access Permission = Grand access
- Authenication Method = Unencrypted authentication (PAP,SPAP), or MS-CHAP v1 or MS-CHAP v1 (User can change password after it has expired) or MS-CHAP v2 or MS-CHAP v2 (User can change password after it has expired).
- NAP Enforcement = Allow full network access.
- Update Noncompilant Clients = True
- Framed-Porotocol = PPP
- Service-type = Framed
- Encryption Policy = Disabled.
- Encryption = <blank>
- Extended state = <blank>
- BAP Percentage of Capacity = Reduce Multilink if server reaches 50% for 2 minutes
- NAS port type = Ethernet OR Wirless - IEEE 802.111


Cisco 1142n Access Point Running-Config:
^{Current configuration : 2228 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname vf0304
!
logging rate-limit console 9
enable secret 5 $1$t.JP$W4rHNmHDXqzHbTEORWCy70
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.4.23 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
server 192.168.4.23 auth-port 1645 acct-port 1646
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
!
!
dot11 syslog
!
dot11 ssid cisco_wpa2
vlan 2
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
guest-mode
!
!
!
username Cisco password 7 1531021F0725
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 2 mode ciphers aes-ccm tkip
!
ssid cisco_wpa2
!
antenna gain 0
station-role root
!
interface Dot11Radio0.2
encapsulation dot1Q 2 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no keepalive
!
interface GigabitEthernet0.2
encapsulation dot1Q 2 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp...smbiz/prodconfig/help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.4.23 auth-port 1645 acct-port 1646 key 7 051D0F1920
radius-server vsa send accounting
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end}



Vervolgens probeer ik vanaf mijn windows 7 laptop te verbinding door te kiezen voor de SSID "Cisco_wpa2" en krijg ik na ongeveer 30 seconde de melding "Er kan geen verbinding gemaakt worden met cisco_wpa2".

Event logs @ W7 Laptop:
Geen event logs.

@Cisco AP:
<sub>Syslog logging: enabled (1 messages dropped, 91 messages rate-limited,
0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 846 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level debugging, 935 messages logged, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 246 message lines logged

Log Buffer (1048576 bytes):

*Mar 20 16:24:29.120: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
*Mar 20 16:24:29.157: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:29.163: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:29.163: dot11_auth_parse_client_pak: id is not matching req-id:1resp-id:2, waiting for response
*Mar 20 16:24:29.166: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:29.337: dot11_auth_dot1x_parse_aaa_resp: Received server response: FAIL
*Mar 20 16:24:29.337: dot11_auth_dot1x_parse_aaa_resp: found eap pak in server response
*Mar 20 16:24:29.337: Client 0021.6a11.d640 failed: by EAP authentication server
*Mar 20 16:24:29.337: %DOT11-7-AUTH_FAILED: Station 0021.6a11.d640 Authentication failed
*Mar 20 16:24:30.118: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
*Mar 20 16:24:30.144: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:30.148: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:30.148: dot11_auth_parse_client_pak: id is not matching req-id:1resp-id:2, waiting for response
*Mar 20 16:24:30.150: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:30.160: dot11_auth_dot1x_parse_aaa_resp: Received server response: FAIL
*Mar 20 16:24:30.160: dot11_auth_dot1x_parse_aaa_resp: found eap pak in server response
*Mar 20 16:24:30.160: Client 0021.6a11.d640 failed: by EAP authentication server
*Mar 20 16:24:30.929: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
*Mar 20 16:24:30.959: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640
*Mar 20 16:24:31.743: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
*Mar 20 16:24:31.776: dot11_auth_parse_client_pak: Received EAPOL packet from 0021.6a11.d640</sub>

INI210 @ W2k8 NPS server:
_{"TEST2003","IAS",10/23/2012,09:49:03,1,"host/VL0120.zorg.lan","ZORG\VL0120$","c40a.cb65.ce30","0021.6a11.d640",,,"vf0304","192.168.1.32",375,0,"192.168.1.32","cisco",,,19,,,1,5,,0,"311 1 fe80::3862:9a13:e81e:5b05 10/23/2012 07:46:08 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"cisco1142n",1,,,,
"TEST2003","IAS",10/23/2012,09:49:03,3,,"ZORG\VL0120$",,,,,,,,0,"192.168.1.32","cisco",,,,,,,5,,48,"311 1 fe80::3862:9a13:e81e:5b05 10/23/2012 07:46:08 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"cisco1142n",1,,,,
"TEST2003","IAS",10/23/2012,09:49:04,1,"ZORG\testuser","zorg.lan/Useraccounts/Persoonsgebonden accounts/Test Zorggroep (1)/TestUser","c40a.cb65.ce30","0021.6a11.d640",,,"vf0304","192.168.1.32",376,0,"192.168.1.32","cisco",,,19,,,1,5,"cisco1142n admin",0,"311 1 fe80::3862:9a13:e81e:5b05 10/23/2012 07:46:08 2",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"cisco1142n",1,,,,
"TEST2003","IAS",10/23/2012,09:49:04,3,,"zorg.lan/Useraccounts/Persoonsgebonden accounts/Test Zorggroep (1)/TestUser",,,,,,,,0,"192.168.1.32","cisco",,,,,,,5,"cisco1142n admin",66,"311 1 fe80::3862:9a13:e81e:5b05 10/23/2012 07:46:08 2",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"cisco1142n",1,,,,}


De enige houvast die ik heb is de logs op de cisco ap, deze geven een aantal foutmeldigen:
- dot11_auth_parse_client_pak: id is not matching req-id:1resp-id:2, waiting for response
- Client 0021.6a11.d640 failed: by EAP authentication server
- %DOT11-7-AUTH_FAILED: Station 0021.6a11.d640 Authentication failed
Echter als ik hier op google of de cisco support fora doorlees vind ik geen directe oorzaak, ben ik een vendor specific setting of iets dergelijks vergeten of staat er een fout in de configuratie van de AP....

[ Voor 3% gewijzigd door Fr0zenFlame op 23-10-2012 10:01 ]

Momenteel zit de WLC er nog niet tussen, het is nu puur 1 AP direct naar de NPS server.
Voordat we live gaan zullen we ook nog even kijken naar de firmware, bedankt voor het advies.

Bedankt voor jullie hulp zover! Het is gelukt, ik bleef te lang door testen op mn windows7 laptop.
Na wat aanpassingen bleek 't gewoon te werken op een Iphone, HTC, Windows Phone en Sony Erikson met alleen een server side certificaat.

Onder windows 7 moet even handmatig een WPA netwerk worden toegevoegd en dan werkt het ook, even uitzoeken of we dit ook nog kunnen versimpelen voor de eind gebruikers... 't liefst moeten ze gelijk geprompt worden voor user/pass (ook op de laptops).