WiFi Enterprise / 802.1x / PEAP / Windows RADIUS: Mehrere Geräte können keine Verbindung herstellen, wenn dieselben Authentifizierungsdetails verwendet werden

1975
Adambean

Ich habe Probleme, mehrere Geräte dazu zu bringen, eine WLAN-Verbindung herzustellen, wenn sie dieselben Authentifizierungsdetails verwenden. Hier ist ein wenig über meine drahtlose Einrichtung:

  • Einzelner Zugriffspunkt mit WPA2 Enterprise (802.1X) - Linksys WAP4400N (ja, er ist ziemlich alt).
  • Die 802.1X-Authentifizierung ist PEAP, die Authentifizierung der zweiten Phase ist EAP-MSCHAPv2 oder ein Zertifikat.
  • Der RADIUS-Server ist ein Netzwerkrichtlinienserver von Windows Server 2008 R2.
  • Benutzer authentifizieren sich bei einem Active Directory. Jeder, der in der Gruppe der Domänenbenutzer aktiv ist, darf teilnehmen.
  • Zu den drahtlosen Geräten gehören Windows 7, zwei iPhones und zwei Android-Tablets. Nicht alle davon gehören mir.

Das Problem ist, dass, wenn derselbe Benutzer (weil das Gerät zu derselben Person gehört) versucht, sich auf zwei Geräten gleichzeitig zu authentifizieren, nur das erste authentifizierte Gerät eine funktionsfähige WLAN-Verbindung erhält. Obwohl die nachfolgenden Geräte behaupten, dass die 802.1X-Authentifizierung erfolgreich war (wie im Windows-Sicherheitsereignisprotokoll gespiegelt), kann sie keine IP-Adresse von DHCP abrufen.

Keines der Geräte behauptet auch, dass die 802.1X-Authentifizierung fehlgeschlagen ist. Sie bleiben nur eine Weile beim "Ermitteln der IP-Adresse" und schlagen dann die schlechte Verbindung fehl. Das Windows-Sicherheitsereignisprotokoll zeigt keine Authentifizierungsfehler an. Das Festlegen einer statischen IP-Adresse löst dieses Problem nicht auf. Es wird behauptet, dass eine WLAN-Verbindung hergestellt wurde, aber keine Daten fließen.

Ich frage mich, ob es der fehlerhafte Zugangspunkt ist oder ob die Art der Authentifizierung falsch empfohlen wird. Auf den ersten Blick scheint es, als würde der Zugangspunkt mit zwei Supplicants, die dieselben Benutzeranmeldeinformationen verwenden, nicht zufrieden sein, aber dann hatte ich den Eindruck, dass der Zugangspunkt keinen Einfluss darauf hat. Soll der Zugangspunkt (Authentifikator) nicht nur eine Brücke zwischen Supplikant und Authentifizierungsserver sein?

Vielleicht sollte ich jedes Gerät mit einem eigenen Zertifikat ausstellen und dann EAP-TLS oder PEAP mit Phase-2-Zertifikaten verwenden. Ich möchte nicht wirklich neue Benutzer für jede Person auf einem separaten WLAN-Gerät erstellen, da dies den Zweck des Benutzers missachtet. Außerdem wird die MAC-Adresse des Geräts vollständig protokolliert, sodass ich nicht erkennen kann, welche Geräte dies sind trotzdem authentifizieren.

1
Es wäre interessant, eine Paketverfolgung der RADIUS-Sitzung zu sehen, um zu sehen, ob das Access-Accept wirklich gesendet wird und ob die MPPE-Key-Nachricht jemals gesendet wird. Spiff vor 9 Jahren 1
Wir haben einfach Wireshark auf dem Windows-Server (Hosting von RADIUS und DHCP) verwendet, um dies herauszufinden. Ja, das Access-Accept-Paket wird gesendet, es wird jedoch kein MPPE-Key angezeigt. Es wird auch ein DHCP-Erkennungspaket empfangen, und ein DHCP-Angebotspaket wird sofort mit den erwarteten Details gesendet. Diese DHCP-Nachrichten werden dann in einer Schleife von einer Sekunde oder so weiter verschoben. Adambean vor 9 Jahren 0
Auch plötzlich funktioniert ALLES, aber keine Sorge, ich bin mir sicher, dass es nicht lange dauern wird. Ich habe es gerade mit 2 iPhones (eins wie ich, eins wie jemand anderes) und einem Android-Tablet (wie mir) ausprobiert. Alle haben sofort eine IP-Adresse von DHCP erhalten ... Adambean vor 9 Jahren 0
Entschuldigung, mein Gedächtnis hat mich versagt. Der Schlüssel wird nicht in einer separaten RADIUS-Nachricht gesendet, sondern als "MS-MPPE-Recv-Key-Attribut" in Access-Accept gesendet. Es wäre interessant zu wissen, ob der RADIUS-Server manchmal Access-Accepts sendet, die kein gültiges MS-MPPE-Recv-Key-Attribut enthalten. Spiff vor 9 Jahren 1
Ich habe das Attribut gefunden. Es ist vorhanden, aber jetzt funktioniert alles (noch). Ich werde wahrscheinlich warten müssen, bis es wieder mysteriös bricht ... Adambean vor 9 Jahren 0

0 Antworten auf die Frage