802.1x RADIUS authenticatie met TL-SG2008 switch.

Hallo allemaal,

Ik heb vanmorgen mijn nieuwe switch binnen gekregen (TP-Link TL-SG2008). Heb deze switch gekocht met als doel om clients in mijn netwerk te kunnen authenticeren door middel van een gebruikersnaam en wachtwoord.
Heb de radius server op mijn pfSense firewall draaien, deze radius server werkt ook, (getest met een testnetwerkje met wpaeap beveiliging op een UniFi AP). Alleen bedrade clients willen onmogelijk verbinden, geven telkens de melding "Authenticatie mislukt".
Weet iemand waar dit aan kan liggen?
Hier onder een aantal screenshots:






Bij voorbaat dank!

[ Voor 5% gewijzigd door MaxTheKing op 29-01-2021 14:32 ]

Ga vanavond even voor je kijken, moet zo werken namelijk.

Hierbij de logs;

Switch:
http://image.maxkoning.com/2016-11-19_17-17-55.jpg


pfSense:
http://image.maxkoning.com/2016-11-19_17-20-31.jpg
http://image.maxkoning.com/2016-11-19_17-20-40.jpg

[ Voor 8% gewijzigd door MaxTheKing op 30-04-2017 19:26 ]

Probleem ligt niet bij de RADIUS server denk ik, draadloze clients verbonden met een UniFi AP kunnen prima authenticeren, maar kan het toch wel even proberen.

EDIT: Heb de commands uitgevoerd, bedrade clients geven nog steeds de "Authentication failed" melding.

[ Voor 25% gewijzigd door MaxTheKing op 19-11-2016 17:35 ]

Iemand nog suggesties?? Kan op Google namelijk niets vinden als ik "Client challenge-response timeout" zoek.

Jammer, dacht dat ik hier wel geholpen kon worden

YoVla schreef op woensdag 23 november 2016 @ 14:47:
Ik zie in je TP-Link afbeelding dat je 10.10.10.1 als IP ingeeft en in PFsense 10.10.10.2?
Moeten die niet gelijk zijn?

Hoe werkt je systeem trouwens. Een computer prikt een kabel in de switch en vervolgens moet je naar een portal om je ww etc. in te voeren?

Ik heb dit met certificaten op kantoor gedaan, daar moest je voor Wired / WLAN speciale group policy's aan zetten, maar ik weet niet of dat hier ook voor geld. (denk het niet)

Radius server (pfSense firewall) zit op 10.10.10.1 en de Switch (NAS) zit op 10.10.10.2.
De bedoeling van mijn systeem is dat elke client die bedraad verbonden word eerst geautoriseerd moet worden voordat deze daadwerkelijk netwerk en internettoegang heeft. En dan niet door middel van een portal, maar gewoon door middel van de ingebouwde 802.1x van de client zelf.

[ Voor 6% gewijzigd door MaxTheKing op 23-11-2016 15:02 ]

Dat is het hem nou juist, ik was op de hoogte van die software, alleen is er nergens een download te vinden. Heb alles ook precies volgens die site gedaan. Maar alsnog weigeren bedrade clients te authenticaten.

[ Voor 35% gewijzigd door MaxTheKing op 23-11-2016 15:13 ]

MasterMike schreef op woensdag 23 november 2016 @ 15:22:
Wat staat er bij FreeRadius onder MACs?

Niets, Daar hoort verder ook niets, toch?

[ Voor 9% gewijzigd door MaxTheKing op 23-11-2016 15:38 ]

MasterMike schreef op woensdag 23 november 2016 @ 21:47:
Klopt inderdaad, bij de settings heb je neem ik aan het vinkje uitstaan "Use Windows Credentials"?


[...]

Uiteraard, ik heb daar "User authentication" aangevinkt.

MasterMike schreef op donderdag 24 november 2016 @ 18:19:
[...]


Dus je hebt je Windows username en password ingevoerd in FreeRadius?

Nee, zoals ik al zei, had user authentication gebruikt. Dus dit:

MasterMike schreef op vrijdag 25 november 2016 @ 08:01:
[...]


Maar als de user niet bekend is binnen FreeRadius, dan zal hij zich toch ook niet kunnen authenticeren?

Maar ik heb wel users toegevoegd in Freeradius hoor.

Zou iemand dat TP-Link authenticatie programma even naar een clouddienst willen uploaden en dan een download link sturen? Kan hem om de een of andere reden niet direct van de TP-Link website plukken, Denk dat mijn firewall het blokkeert.

roelpa schreef op zaterdag 26 november 2016 @ 20:08:
Je weet toch dat windows standaard geen md5 authenticatie meer ondersteund wegens veiligheidsredenen? Heb je de nodige aanpassingen gedaan in het register?

Oh, daar was ik niet van op de hoogte. Ik gebruik momenteel EAP-MD5, omdat mijn switch niet anders ondersteund. (Ja PAP, maar dat is al helemaal een drama).

T.Kreeftmeijer schreef op zondag 27 november 2016 @ 18:07:
Is er geen firmware update met nieuwe beveiligingstype beschikbaar? Dat zou ik eerst maar eens uitzoeken.

Dat niet, maar heb even contact gehad met TP-Link, en heb ze zover gekregen dat de developers een firmware update gaan maken.

Gaat hem niet worden denk ik. Ding zit sowieso vol veiligheidslekken, dus stuur hem retour. Iemand een suggestie voor een betaalbare (<€100) gigabit switch met 8 of meer poorten die 802.1x PEAP ondersteund? Zat zelf te denken aan de LINKSYS LGS308, maar heb geen zin om weer tegen hetzelfde probleem aan te lopen dat de switch geen PEAP ondersteund.

[ Voor 25% gewijzigd door MaxTheKing op 30-11-2016 15:06 ]

T.Kreeftmeijer schreef op woensdag 30 november 2016 @ 16:53:
[...]


En de GS1900 serie van XyZel?

Die zien er wel oké uit. Iemand hier enige ervaring met Zyxel? Kende het merk namelijk niet.