soulseeker 13 Geschrieben 18. März 2014 Melden Teilen Geschrieben 18. März 2014 (bearbeitet) Hallo zusammen, ich habe hier ein merkwürdiges Problem mit meinem Radius-Server + WLAN-Authentifizierung. Intern funktioniert alles, auch aus einem anderen per VPN-Tunnel angebundenem Office kann der Accesspoint den Radius-Server kontaktieren und den User am WLAN authentifizieren. Aus einem anderen Branch Office jedoch nicht, obwohl beide identisch konfiguriert sind. Das VPN wird über Watchguards abgebildet, zwischen den Tunnelendpunkten ist alles an Traffic erlaubt und ich sehe auch keine denys. Im Security-Log des Radius-Servers finde ich jedoch folgende Einträge: Authentication Details: Connection Request Policy Name: Secure WLAN Network Policy Name: Connections to other access servers Authentication Provider: Windows Authentication Server: radius.domäne.de Authentication Type: EAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 65 Reason: The Network Access Permission setting in the dial-in properties of the user account in Active Directory is set to Deny access to the user. To change the Network Access Permission setting to either Allow access or Control access through NPS Network Policy, obtain the properties of the user account in Active Directory Users and Computers, click the Dial-in tab, and change Network Access Permission. Also zunächst mal wundert mich, warum der Network policy name "Connections to other access servers" verwendet wird, da ich eine eigene namens "Secure WLAN" habe. Die Dial-in-Properties des Users sind auch nicht auf deny gesetzt ... Vermutlich nur eine Kleinigkeit, aber ich finde es einfach nicht ;). Radius-Clients mit dieser IP-Range gibt es auch. Danke für Hilfe und Grüße Marcel bearbeitet 18. März 2014 von soulseeker Zitieren Link zu diesem Kommentar
Hannes91 10 Geschrieben 20. März 2014 Melden Teilen Geschrieben 20. März 2014 Hallo, Ich gehe mal davon aus, dass du den Windows NPS nutzt. wie man sehen kann greift ja deine Verbindungsanforderungsrichtlinie Policy "Secure WLAN". Allerdings danach die Richtlinie "Connections to other..." Ohne weitere Informationen können wir dir an dieser stelle schwierig weiterhelfen (eventuell screenshots der Policys usw.) Gruß, Hannes Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 (bearbeitet) Die letzte Antwort habe ich irgendwie übersehen, sorry. Das Problem habe ich allerdings immer noch, jedoch stellt es sich doch etwas anders dar. Um es nochmals zu verdeutlichen - am Hauptstandort klappts mit Radius-Authentifizierung. Von einem anderen Standort hinter einem VPN-Tunnel auch. Bei einem weiteren Standort (gleiche Firewall, auch mit VPN-Tunnel) jedoch nicht. Dort erscheint die FM: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: domain\NPC047$ Account Name: host/NPC047.domainc.de Account Domain: domain Fully Qualified Account Name: domain\NPC047$ Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: 00-90-7F-A1-1E-86:domain Calling Station Identifier: 00-24-D6-24-31-CA NAS: NAS IPv4 Address: - NAS IPv6 Address: - NAS Identifier: - NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 1 RADIUS Client: Client Friendly Name: WLAN Berlin Client IP Address: 192.168.52.1 Authentication Details: Connection Request Policy Name: Secure WLAN Network Policy Name: - Authentication Provider: Windows Authentication Server: dc.domain.de Authentication Type: EAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 48 Reason: The connection request did not match any configured network policy. Es gibt aber natürlich eine Network Policy, in der nur geprüft wird, ob der User in einer bestimmten Gruppe ist. Aber diese Policy wird hier scheinbar gar nicht benutzt. In der Connection policy steht habe ich eingetragen: NAS Port Type Ethernet or Wireless Der einzige Unterschied zwischen den Standorten: bei dem einen (funktionierenden) Standort ist eine Fritzbox im "DMZ-Modus" vor der Hardware-Firewall mit einem Transfernetz, das alles zur Firewall weiterleitet, bei dem anderen Standort ist es eine Vodafone Easybox, ebenfalls mit DMZ. Ich habe natürlich zunächst diese Box im Auge gehabt, aber mit einem Radius-Test-Tool (NTradping) kann ich mich problemlos authentifizieren ... also sollte es eigentlich nicht an geblockten Paketen etc. liegen. Was ich seltsam finde - der Eintrag User:Security ID: domain\NPC047$ ... hier wird kein Username eingetragen, sondern der Hostname des Notebooks. Vielleicht hat ja noch jemand eine Idee ... bearbeitet 4. April 2014 von soulseeker Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.