AndreasWeller

So wir haben uns das ganze nochmal genauer bei uns angeschaut, mit dem Wlan Adapter klappt es ohne Probleme, dieser wählt sich nach der Windowsanmeldung automatisch ein, was natürlich ein bissel dauert. Das gleiche würde wahrscheinlich auch auf dem Switch klappen nur da ist ein GuestVlan eingerichtet, in das man automatisch gelangt, wenn man sich nicht innerhalb einer gewissen Zeit anmelden konnte. Wenn du aber schon beim booten, also noch vor der Windowsanmeldung die Authentifizierung durchführen möchtest, das funktioniert bei uns auch nicht. (Ist das überhaupt möglich???)

wie gesagt, machnmal läuft die Geschichte mit dem Cisco WLAN Adapter und der Aironet, doch leider nicht immer. Da es sich bei uns nur um eine Testumgebung handelt, haben wir uns damit zufrieden gegeben, sich nach dem Hochfahren erst einzuloggen. Fals du aber eine Lösung finden solltest, wären wir natürlich sehr interssiert daran....

da muss ich dich leider entäuschen, beim hochfahren klappt es bei uns auch nicht richtig. Liegt bei uns daran womit und wohin man sich einloggt. Mit nem WLan Adapter von Cisco und ner Aironet klappt es meistens mit dem XP Client beim Hochfahren. Beim Anmelden am Cat 2950 geht es regelmäßig in die Hose, egal ob mit WinXP Client oder AEGIS. Wie oft schaffst du es denn und in welcher Kombination?

Nein jedes Vlan hat seinen eigenen DHCP-Server. Das Thema hat sich aber seit gestern erledigt, da nach längerer Such bei Cisco zu erfahren war, das die IOS Version 12.3(2)JA wohl einen Bug enthält. Ein Update der Software auf 12.3(4)JA hat den Fehler sofort behoben. Trotzdem Danke für die Hilfe!

Hallo, ich habe folgendes Problem, ich betreibe eine Aironet mit zwei SSID´s, die jeweils einem Verschiedenen Vlan angehören. In beiden Vlans steht ein DHCP Server, der die jeweiligen Netze versorgt. Beim Vlan1(tsunami) klappt das ohne Problem, nur über Vlan2(GuestVlan) läuft das nicht. Verwende ich eine statische IP auf meinem Laptop, baut sich die Verbindung auf und ich kann den DHCP im Vlan2 anpingen. Weiss da jemand Rat? Ach ja hier noch ein Auszug aus der Config: dot11 vlan-name GuestVlan vlan 2 ! ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption mode wep mandatory ! encryption vlan 1 mode wep mandatory ! ssid GuestVlan vlan 2 authentication open accounting acct_methods guest-mode ! ssid tsunami vlan 1 authentication open eap eap_methods authentication network-eap eap_methods accounting acct_methods ! short-slot-time speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 channel 2462 station-role root no cdp enable ! interface Dot11Radio0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio0.2 encapsulation dot1Q 2 no ip route-cache bridge-group 2 bridge-group 2 subscriber-loop-control bridge-group 2 block-unknown-source no bridge-group 2 source-learning no bridge-group 2 unicast-flooding bridge-group 2 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto ! interface FastEthernet0.1 encapsulation dot1Q 1 native no ip route-cache bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.2 encapsulation dot1Q 2 no ip route-cache bridge-group 2 no bridge-group 2 source-learning bridge-group 2 spanning-disabled ! interface BVI1 ip address 10.10.x.x 255.255.x.x no ip route-cache ! ip http server no ip http secure-server ip http help-path http://www.cisco.com/w

sehr guter Artikel, nur leider hört er da auf, wo unsere Probleme beginnen. Mit einem IAS läuft es bei uns auch problemlos in allen Varriationen. Er lässt auch leider die Überprüfung des Server Zertifikates einfach weg, indem diese Funktion einfach enabled wird.(Wie wir es halt auch gerad machen) Jetzt habe ich natürlich folgenede Fragen, was läuft beim ACS anders und wie wichtig ist die Überprüfung des Server Zertifikates?

hm nun gut, wir werden weiterhin nach dem Problem mit den vertrauenswürdigen Stammzertifizierern suchen, also wenn jemand noch ne gut Idee hat, nur her damit....

Installiert ist Win XP SP2, mit allen aktuellen Updates. Habe aber gelesen, das es irgendwie möglich ist die Serverzertifikate expliziet als vertrauenswürdig anzumelden. Da ist auf jeden Fall noch ein Problem bei uns, würde mich aber auch mal interessieren, ob das bei dir alles so funktioniert, wie in der Anleitung vorgegeben...

So hier mal nen kleiner Link zu deinem Problem, danach haben wir unsere Zertifikate auch erstellt: http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_configuration_example09186a00801df0ea.shtml Des weiteren würde ich wie erwähnt, bei Problemen die ganze Geschichte mal mit nem IAS laufen lassen und den AEGIS Client benutzen. Der XP Client läuft nun auch endlich bei uns, ein Abstellen der Server-Zertifikatsüberprüfung hat da doch weitergeholfen. Verwunderlich ist nur das unser CA in der Liste drin steht und das ganze mit dem IAS auch läuft. Auch beim AEGIS Client kann ich die Option ruhig anlasssen... Naja mal schauen, hab noch ein bissel Zeit, um ein wenig rumzuspielen.

jepp, nach meinem Wissen, braucht´s zwingend einen Benutzername+PW... Das andere Problem, haben wir wie gesagt mit dem AEGIS Client gelöst, beim XP Client ist der RootCA zu den vertrauenswürdigen Zertifizierungsstellen hinzugefügt worden. Auch ein Abstellen der Server-Zertifikatsüberprüfung hat da nicht weitergeholfen...

so wie ich in einem anderen Thread schon gepostet habe, scheint das Problem am Client zu liegen... Benutzen wir den AEGIS-Client läuft alles problemlos, kommt der XP-Client ins Spiel dann ist Schluss ist lustig... Kann mir da evtl jamand was zu sagen oder muss ich jetzt auf den XP Client verzichten???

wir haben das Problem etwas einkreisen können, die ganze Sache läuft Problemlos mit dem AEGIS Client, sobald ich aber den XP Client benutze fängt der Ärger an... Hat jemand eine Erklärung dafür oder muss ich micht damit abfinden und den AEGIS Client benutzen

Hallo, ich habe zwar im Cisco-Forum schon einen Thread zum ACS von Cisco mit EAP-TLS Authetifizierung laufen, doch vielleicht weiss hier jemand ja einen guten Rat. Ich betreibe einen Win2000 Server mit einem Cisco ACS als Radius Server und EAP-TLS Authetifizierung. Die ganze Sache läuft ohne Probleme, wenn ich den IAS als Radius Server benutze. Sobald ich jedoch den IAS ausschalte und den ACS anschmeiße erhalte ich die Fehlermeldung "Windows Dialin Permission Required". Ich hab in Eigenschaften der Benutzer der AD schon unter "Einwählen" den Haken bei "Zugriff gestatten" und "Zugriff über RAS-Richtlinien steuern" gesetzt. Ohne Erfolg... Hat hier jemand vielleicht noch nen heißen Tipp, da ich vermute, das der Fehler eher in der Win2000/AD Konfiguration zusuchen ist???

Haben wir leider auch schon versucht und ihm einfach im Userprofil gesagt "Zugriff gestatten" unter "RAS-Berechtigungen". Daraufhin läuft nichteinmal eine Fehlermeldung im ACS-Log auf, von der Authentifizierung ganz abgesehn. Oder befinden wir uns da evtl. gerad auf dem falschen Dampfer....? Ich kann halt nicht ganz nachvollziehen, dass die ganze Sache problemlos mit dem IAS läuft aber mit dem ACS nur Probleme auflaufen...

Hallo Operator, wie du vielleicht schon in anderen Beiträgen gelesen hast, arbeite ich mit Mr._Oiso zusammen an dem Problem. Vielen Dank für die Konfiguration, aber wir denken das ist leider nicht unser Problem, da der ganze Aufbau mit einem IAS von Microsoft problemlos läuft... Der Ärger fängt erst an, wenn der IAS ausgestellt wird und der ACS die Rolle des Radius Servers übernehemn soll. Wir bekommen dabei jedesmal folgenede Fehlermeldung: "Windows dialin permission requiered" Ich habe bereits nachgeschaut bei den Eigenschaften der Benutzer in der AD. Dort ist unter "Einwählen" das Feld "Zugriff über RAS-Richtlinien steuern" aktiviert. Gibt es da noch weitere Einstellungen die gemacht werden müssen??? Ach ja, wir haben den ACS und den Zertifikatsdienst(CA) auf einem Server zusammen laufen, könnte es damit Probleme geben???

Teil2: 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:19:21: AAA/AUTHEN (1732263527): Method=radius (radius) 03:19:21: RADIUS: ustruct sharecount=1 03:19:21: RADIUS: EAP-login: length of radius packet = 163 code = 1 03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 35 10.10.3.1:1812, Access -Request, len 163 03:19:21: Attribute 4 6 0A0A03FD 03:19:21: Attribute 5 6 0000C364 03:19:21: Attribute 61 6 0000000F 03:19:21: Attribute 1 25 4672616E 03:19:21: Attribute 30 19 30302D30 03:19:21: Attribute 31 19 30302D45 03:19:21: Attribute 6 6 00000002 03:19:21: Attribute 12 6 000005DC 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 79 8 02020006 03:19:21: Attribute 80 18 135ED7A2 03:19:21: RADIUS: Received from id 35 10.10.3.1:1812, Access-Challenge, len 1576 03:19:21: Attribute 27 6 0000001E 03:19:21: Attribute 79 255 010305D8 03:19:21: Attribute 79 255 74686F72 03:19:21: Attribute 79 255 40746861 03:19:21: Attribute 79 255 69727374 03:19:21: Attribute 79 255 65205065 03:19:21: Attribute 79 233 686F7269 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 80 18 FE967E07 03:19:21: RADIUS: EAP-login: length of eap packet = 1496 03:19:21: RADIUS: EAP-login: got challenge from radius 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:19:21: AAA/AUTHEN/CONT (1732263527): continue_login (user='Frank@Testnetzete. local') 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:19:21: AAA/AUTHEN (1732263527): Method=radius (radius) 03:19:21: RADIUS: ustruct sharecount=1 03:19:21: RADIUS: EAP-login: length of radius packet = 163 code = 1 03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 36 10.10.3.1:1812, Access -Request, len 163 03:19:21: Attribute 4 6 0A0A03FD 03:19:21: Attribute 5 6 0000C364 03:19:21: Attribute 61 6 0000000F 03:19:21: Attribute 1 25 4672616E 03:19:21: Attribute 30 19 30302D30 03:19:21: Attribute 31 19 30302D45 03:19:21: Attribute 6 6 00000002 03:19:21: Attribute 12 6 000005DC 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 79 8 02030006 03:19:21: Attribute 80 18 A13B8FC8 03:19:21: RADIUS: Received from id 36 10.10.3.1:1812, Access-Challenge, len 778 03:19:21: Attribute 27 6 0000001E 03:19:21: Attribute 79 255 010402C0 03:19:21: Attribute 79 255 65725472 03:19:21: Attribute 79 200 29203139 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 80 18 70539898 03:19:21: RADIUS: EAP-login: length of eap packet = 704 03:19:21: RADIUS: EAP-login: got challenge from radius 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:20:21: AAA/MEMORY: free_user_quiet (0x80E434D8) user='Frank@Testnetzete.local ' ruser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3- 6A-08/00-0C-CE-38-CC-94' authen_type=6 service=17 priv=1 ab hier geht´s dann immer wieder von vorne los.

so hier kommte der Debug vom Port 20, vielleicht bringt er etwas Licht ins Dunkle: Teil1: ACS-Client1# 03:18:23: %LINK-3-UPDOWN: Interface FastEthernet0/20, changed state to up 03:19:21: AAA: parse name=FastEthernet0/20 idb type=122 tty=-1 03:19:21: AAA: name=FastEthernet0/20 flags=0x15 type=6 shelf=0 slot=0 adapter=0 port=20 channel=0 03:19:21: AAA: parse name=<no string> idb type=-1 tty=-1 03:19:21: AAA/MEMORY: create_user (0x80E434D8) user='Frank@Testnetzete.local' ru ser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3-6A-0 8/00-0C-CE-38-CC-94' authen_type=EAP service=802.1x priv=1 03:19:21: AAA/AUTHEN/START (1732263527): port='FastEthernet0/20' list='Dot1x Acc List' action=LOGIN service=802.1x 03:19:21: AAA/AUTHEN/START (1732263527): using "default" list 03:19:21: AAA/AUTHEN/START (1732263527): Method=radius (radius) 03:19:21: RADIUS: ustruct sharecount=1 03:19:21: RADIUS: EAP-login: length of radius packet = 161 code = 1 03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 33 10.10.3.1:1812, Access -Request, len 161 03:19:21: Attribute 4 6 0A0A03FD 03:19:21: Attribute 5 6 0000C364 03:19:21: Attribute 61 6 0000000F 03:19:21: Attribute 1 25 4672616E 03:19:21: Attribute 30 19 30302D30 03:19:21: Attribute 31 19 30302D45 03:19:21: Attribute 6 6 00000002 03:19:21: Attribute 12 6 000005DC 03:19:21: Attribute 79 30 0200001C 03:19:21: Attribute 80 18 C3923C1E 03:19:21: RADIUS: Received from id 33 10.10.3.1:1812, Access-Challenge, len 76 03:19:21: Attribute 27 6 0000001E 03:19:21: Attribute 79 8 01010006 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 80 18 4A595053 03:19:21: RADIUS: EAP-login: length of eap packet = 6 03:19:21: RADIUS: EAP-login: got challenge from radius 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:19:21: AAA/AUTHEN/CONT (1732263527): continue_login (user='Frank@Testnetzete. local') 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:19:21: AAA/AUTHEN (1732263527): Method=radius (radius) 03:19:21: RADIUS: ustruct sharecount=1 03:19:21: RADIUS: EAP-login: length of radius packet = 237 code = 1 03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 34 10.10.3.1:1812, Access -Request, len 237 03:19:21: Attribute 4 6 0A0A03FD 03:19:21: Attribute 5 6 0000C364 03:19:21: Attribute 61 6 0000000F 03:19:21: Attribute 1 25 4672616E 03:19:21: Attribute 30 19 30302D30 03:19:21: Attribute 31 19 30302D45 03:19:21: Attribute 6 6 00000002 03:19:21: Attribute 12 6 000005DC 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 79 82 02010050 03:19:21: Attribute 80 18 63B6DF8C 03:19:21: RADIUS: Received from id 34 10.10.3.1:1812, Access-Challenge, len 1576 03:19:21: Attribute 27 6 0000001E 03:19:21: Attribute 79 255 010205D8 03:19:21: Attribute 79 255 4886F70D 03:19:21: Attribute 79 255 72301D06 03:19:21: Attribute 79 255 65747A65 03:19:21: Attribute 79 255 6E666967 03:19:21: Attribute 79 233 2E6C6F63 03:19:21: Attribute 24 24 057F014C 03:19:21: Attribute 80 18 A3B645CB 03:19:21: RADIUS: EAP-login: length of eap packet = 1496 03:19:21: RADIUS: EAP-login: got challenge from radius 03:19:21: AAA/AUTHEN (1732263527): status = GETDATA 03:19:21: AAA/AUTHEN/CONT (1732263527): continue_login (user='Frank@Testnetzete. local')

Hallo Tinsel, ich arbeite mit Mr.Oiso zusammen an dem Problem, daher noch kurz folgende Frage: Bei den Eigenschaften der Benutzer in der Active Directory gibt es die Möglichkeit unter Einwählen, RAS Berechtigungen zu vergeben. Bei "Zugriff über RAS-Richtlinie steuern" bekommen wir die obigen Fehlermeldung (Windows Dialin Permission required ! ) Bei "Zugriff gestatten" bekommen wir keinen Zugriff und tauchen nichteinmal im Log-File als Fehler auf. Welche Einstellung sollte also gewählt werden? Als kurze Ergänzung noch, die ganze Geschichte läuft bis jetzt noch Problemlos mit dem IAS von MS als Radius Server. Ich denke also das die Zertifikate in Ordnung sind, bis der ACS kommt, dann ist Feierabend...

Hallo, Meine Komponeneten : Server mit Windows 2000 Server SP4 und Cisco ACS 3.3 , 2950 Catalyst (AAA-Client) , Laptop mit Windows XP SP2 (802.1x Client) Ich habe soweit alles konfiguriert wie es in der Cisco Dokumentation nachzulesen war, aber ich bekomme immer wieder folgende Fehlermeldung in der ACS.log Datei.( Failed Attempts active.csv) : Authen-Failure-Code : EAP-TLS or PEAP authentication failed during SSL handshake Der Radius(ACS) Server und auch der der Client besitzen gültige Zertifikate, die ich mit der Windows eigenen Zertifizierungsstelle ebenfals nach Cisco-Anleitung erstellt habe. (Das Zertifikat auf dem Laptop habe ich installiert, bevor ich begonnen habe mich über den 802.1x Port des Switches einzuloggen) Hat jemand eine Idee wo das Problem liegen könnte? Hier noch die Configuration des Catalyst 2950, fals sie denn helfen könnte : version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname ACS-Client1 ! aaa new-model aaa authentication dot1x default group radius enable secret 5 $1$iDdn$1Bmg1m5kY/W76lwgJtZm5/ ! username aweller privilege 15 password 0 aweller ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id dot1x system-auth-control ! interface FastEthernet0/13 switchport mode access dot1x port-control auto dot1x timeout quiet-period 3 dot1x timeout reauth-period 1 dot1x reauthentication ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 10.10.3.253 255.255.255.0 no ip route-cache ! ip default-gateway 10.10.3.254 ip http server radius-server host 10.10.3.1 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key radius ! line con 0 password cisco line vty 0 4 password cisco line vty 5 15 password cisco ! ! end