PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Radius und Win 8.1/Win10; Anmeldung klappt nicht



mrieglhofer
12.01.2016, 17:59
Ich betreibe seit längerem ein WLAN mit Draytek AP800 Access Points, Draytek 2860 Router und dahinter die Synology DS713+ als Radius Server.
Mit Win 7, iOS und Android kein Problem. Mit Win 8,1 und Win 10 Clients habe ich es nicht geschafft, mich daran richtig zu atuhentifzieren..

Leider habe ich derzeit meinen Läppi auf Win 7, sodass ich das nicht selbst testen kann sondern auf den fremden Geräten nur eingeschränkt ausprobieren kann.
Hat jemand eine Idee, an welcher Ecke ich suchen könnte? Interessant wäre auch, ob jemand so einen Radius mit Win 8.1 oder 10 erfolgreich betreibt. Nicht dass ich im Kreis laufe und es ganz woanders liegt.

mrieglhofer
14.01.2016, 11:14
Ich habe jetzt das Szenario bei mir nachgestellt. Mit Vorauthentifizierung des Netzwerkes angehackt (beim Win10 Pro Client) funktioniert es reporduzierbar. Ob es dann auch mit Access Points zusätzlich klappt, muss ich mir noch anschauen.

julianlampert
30.01.2016, 11:50
Ich habe eine DS215j und ebenfalls einen RADIUS Server laufen. Diesen nutze ich auf meinen Access Points mit WPA2 Enterprise. Bei allen unseren Clients (Mac's, Android, iOS, etc.) hat der Login ins WLAN geklappt. Nur bei unseren Windows 10 - Laptops war der Login nicht erfolgreich. Windows 10 meldet: "Keine Verbindung mit diesem Netzwerk möglich".

Kann also deinen Bericht bestätigen.

Im Log des RADIUS Servers habe ich folgendes gefunden:


Auth 2016-01-29 20:39:39 Login incorrect (TLS Alert read:fatal:access denied): [julian/<via Auth-Type = EAP>] (from client ROUTERNAME port 0 cli 11-11-11-11-11-11)
Error 2016-01-29 20:39:39 TLS Alert read:fatal:access denied


Ist das ein Bug im RADIUS Server?

mrieglhofer
30.01.2016, 13:20
Hast du probiert, am Client "Netzwerk verwendet Vorauthentifizierung" anzukreuzen. Das war bei mir die entscheidende Änderung.
Damit war es mit Win10 Pro und Home in beiden Fällen erfolgreich.

Noch ergänzend: es geht bei mir mit Win8 und Win 8.1 nicht. Bei Win8 konnte ich das Gerät dadurch ins Netz bringen, dass ich es auf WPA/TKIP einstellte und natürlich die APs auf Dualbetrieb WPA2/AES und WPA/TKIP. Bei Win 8.1 habe ich das noch mangels Client nicht probiert. Aber das unterstützt WPA nur mehr über die Kommandozeile.

julianlampert
30.01.2016, 14:32
Wow! Tatsächlich, man muss die Zugangsdaten zwar direkt beim Anlegen der Verbindung eingeben aber es geht! Vielen Dank für den Hinweis!

dougi
03.11.2016, 21:29
Ich betreibe seit längerem ein WLAN mit Draytek AP800 Access Points, Draytek 2860 Router und dahinter die Synology DS713+ als Radius Server.
Das ist ziemlich genau mein Szenario. Die Authentifizierung am Radius per ldap Benutzer funktioniert, aber mein iPhone bekommt keine iP Adresse.
Im dhcp log des externen dhcp fand ich permanent Anfragen nach einer Ip von der Mac Adresse der synology.
Ist dazu eine umkonfiguration nötig bzw. ist das Problem bekannt?

Gruß dougi

mrieglhofer
03.11.2016, 21:55
KAnn ich nicht helfen, da ich DHCP am 2860 verwalte. Ich würde in deinem Fall den DHCP für dieses Netz daher testweise vom Router verwalten lassen und schauen, ob es dann geht. Wenn Nein, liegt der Fehler woanders. Ich sehe auch den Zusammenhang nicht. Ich kann man eine Radius Testtool die Authentifizierung ausprobieren und bekommen ein Accept oder Reject zurück. Auf dieser Basis erfolgt der Zugriff. Die DHCP Geschichte läuft bei mir unabhängig davon.

dougi
03.11.2016, 22:39
DHCP macht bei mir auch der Router :confused:

mrieglhofer
03.11.2016, 23:04
Trifft das nur das IPhone? Du kannst natürlich testweise WPA Ent ausschalten und unverschlüsselt probieren. Schauen, ob er dann eine IP bekommt.

iLion
11.01.2017, 11:45
Habe das Problem jetzt auch mit Windows 10 (Pro) Rechnern. Neueste RADIUS-Server (von heute) ist installiert. Auch hier klappt es mit iOS, Android und macOS ohne Probleme. Betroffene Anwender können sich über das Webinterface anmelden. Somit sind die Kontodaten richtig. Zertifikat ist gekauft von Global Sign, es liegt also unter Windows direkt ein Root-Zertifikat bei. "Netzwerk verwendet Vorauthentifizierung" auch getestet. Es kommt immer die TLS-Fehlermeldung. Ich habe sogar nach dieser (https://support.microsoft.com/en-us/kb/2977292) Anleitung die Regedit am Rechner geändert. Aber ich komme nicht in das WLAN.

mrieglhofer
11.01.2017, 19:15
Ich verwende keine Zertifikate.
Ich habe noch keine Beschwerde erhalten, dass es nicht geht. Sagt aber nicht unbedingt was aus..
Der Radius hat sich halt beim Update erlegt und stürzte immer ab. Musste deinstallieren, installieren und manuell die Clients neu eintragen. Aber das hat mit dir nichts zu tun.
Du wirst dir wohl mal durch die Logs kämpfen müssen.

NSFH
28.06.2018, 07:53
@mrieglhofer: Hallo! Habe gelesen, dass du einen Daytrek 2860 nutzt. Wie zufrieden bist du damit hinsichtlich Anbindung an Radius und VPN?
Ich gedenke mir den 2960 zuzulegen. Bekommt das Gerät deine Empfehlung oder würdest du mit deinem jetzigen Erfahrungsstand zu etwas anderem greifen?

mrieglhofer
28.06.2018, 10:52
Ich kann dazu nur sagen, dass es mit dem Radius problemlos klappt, wenn nicht irgendein Radius Update Probleme bereitet, allerdings habe ich mir jetzt die wichtigsten User im Radius eines AP900 angelegt, sodass ich in einem solchen Fall schnell einen Notbetrieb habe.
Hinsichtlich VPN ist PPTP, L2TP kein Problem, beim IPSec durchaus manchmal etwas tricky. Aber wenn es läuft, dann absolut stabil. Wenig begeistert mich die proprietäre SSL Lösung statt OpenVPN. Die IOS und Android Clients laufen problemlos, unter Win10 habe ich derzeit damit Probleme. Der Cliebt startet manchmal nur mit Tricks, ist aber umgehbar. Fein, dass die alle einen OTP Generator eingebaut haben und man sich somit mit User und Pin anmeldet, aber dahinter ein One Time Passwort verwendet.
Ich bin privat vom 2860weggekommen, da in Österreich mittlerweile jeder Anbieter seine Modems verpflichtend einsetzt und A1 Telekom mit dem Hybrid eigene praktisch ausschließt. Da verwende ich in gleicher Konstellation den 2925 mit einmal Hybrid Modem und einmal LTE.
In Summe haben die Drayteks durchaus ihre Macken, auch die Konfiguration ist nicht immer intuitiv, aber wenn sie mal laufen, dann laufen sie monatelang bis jahrelang ohne einen Eingriff. Und nicht zu vergessen, der Service ist bemüht und meist auch gut.

NSFH
28.06.2018, 13:06
Danke für die schnelle Info!
Gerade das SSL-VPN war für mich interessant, da ich ca.60 freiberufliche VPN Nutzer mit eigener Hardware in einem Netz habe. Die greifen in der Masse via WebDav auf den Server zu und VPN wäre da meine bevorzugte Lösung. SSL-VPN hätte die Sache dann sehr einfach gemacht.
Hat der VPN Client die Möglichkeit nach dem Verbindungsaufbau die Freigaben des Syno im lokalen Netz aufzurufen, also eine Batchdatei mit zB netuse nach dem Login zu starten?

mrieglhofer
28.06.2018, 14:36
Der VPN Client stellt nur die Verbindung her, danach ist der Client ja quasi im lokalen Netz, wobei man dafür auch eigene Firewall Regeln machen kann. Danach sieht man die Shares im Netzwerk (ich trage die in der Hosts ein, weil es sonst lange dauern kann, bis der die Namen kennt), kann das aber auch mit net use machen. Nur nicht aus dem Client direkt.

Denkbar wäre je nach Client auch VPN on demand, bei iOS geht das auf alle Fälle, beim PC habe ich nichts gefunden.

Sonst gäbe es auch die Möglichkeit, mit SSL Proxys auf Web Applikations im LAN direkt zuzugreifen oder über SSL Application direkt im Browser auf freigegebene Shares. Aber dazu bitte die Draytek Docs dazu lesen. Ich habe es zwar mal ausprobiert, aber für mich war dann ein voller SSL Zugriff aufs LAN sinnvoller.
Achtung: die iPhone Clients prüfen das Routerzertifikat. Wenn man also mehrere DDNS Adressen verwenden will, geht das nicht,weil der Router nur ein Zertifikat präsentiert. Zu beachten bei DNS Ausfällen. Ich habe für diesen Zweck L2TP zusätzlich mit einer anderen DDNS Adresse installiert. Beim PC Client und Android kann man die Prüfung ausschalten.

NSFH
28.06.2018, 19:13
Die Probleme im Mischbetrieb Apple/Windows kenne ich zur genüge.
Das alles wäre für mich einfacher, wenn ich es mit Firmen-PCs zu tun hätte. So muss ich aber alles remote bei den VPN/WebDav Usern erledigen, dazu noch auf deren eigenen PCs.
Von daher bin ich eben auf der Suche nach einer stabilen Konfiguration Radius auf der Syno und VPN-Router, der mit eigenen, wirklich laufenden VPN-Clients stabil funktioniert und beim Anwender auch möglichst trivial einzurichten ist.
Deswegen mein Interesse an VPN-SSL.
Welche Probleme hast du da mit Win10 und den Clients?

mrieglhofer
28.06.2018, 20:00
Bei einem Win10 Client startet selbiger beim anklicken nicht, aber manchmal ganz normal. Wenn er nicht startet, muss ich mit einem Batch den Service starten und dann zweimal den Client starten. Dass einige Win10 Clients Probleme haben, steht auch in den Release Notes.

Das von dir geschilderte Problem ist natürlich konzeptionell was spezielles. So arbeitet IT normal nicht. Das ist nicht wartbar und zugleich hochriskant. Denke nur, wenn sich da einer einen Verschlüsselungsvirus einfängt und den Fileshare verbunden hat. Du weißt ja nicht, in welchem Zustand das Gerät ist.
Da geht es ja nicht nur um VPN, sondern auch, wie welche Daten mit was bearbeitet werden. Wenn die ext. Clients auf Fileshares rumfuhrwerken sollen, würde ich mir etwas in Richtung einer standardisierten virtuellen Maschine mit allen notwendigen Tools überlegen. Dann brauchen die nur Virtualbox oder VMPlayer. Die VM ginge sogar auf einem USB Stick. Oder Win2Go bzw. Win2USB. Oder Remote Desktop auf einen Server?

Hinsichtlich VPN wäre anzudenken, eine HW zur Verfügung zu stellen. Idee: gl.inet USB 150 (ist ein USB Stick Hotspot mit OpenVPN) und damit direkt auf die Synology, oder einen AR-300M. Mit dem kann man sich mit LAN/WLAN/Tethering verbinden und braucht für das VPN nur einen Schalter schieben. Kostet auch nur 20-40€. Das wäre einfach und sicher.

NSFH
29.06.2018, 08:26
Ja ist kein einfaches Scenario. Was ich nicht dazu geschrieben habe, die VPN User nutzen auch mobile Geräte, Notebooks, Smartphones und Tablets und das unter Win, IOS bzw Android und IOS. Das ist wie ein Sack Flöhe hüten.
Deinen worst case Verschlüsselungsvirus fange ich über spezielle Datensicherungen ab. Keine Verbindung=kein Virus. Ausserdem hat jeder VPN Nutzer nur sehr begrenzten Zugriff auf den Datenbestand. Max Datenverlust 1 Tag und damit kann die Fa gut leben.
Die 2960 mit ihren Win und Mac Clients plus Smartphone Unterstützung via VPN-SSL reizt mich daher schon. Da ich annehme, dass die Clients auch optisch ziemlich gleich aussehen und dann auch funktionieren wäre das ein Plus im Sinne der Vereinheitlichung.
Alternativ zur 2960 habe ich die Fortinet30 oder Watchguard T30 ins Auge gefasst. Mal sehen.

mrieglhofer
29.06.2018, 13:26
DIe Android Und IOS Clients sind in der Bedienung gleich, in der Konfiguration etwas unterschiedlich. Der Win Client schaut optisch anders aus, ist aber im Bedienablauf wiederum gleich ;-)
Was sie alle auszeichnet ist, dass sie ein mobile One Time Passwort aus dem User und dem Pin sowie einem bei der Konfiguration eingespeicherten Secret selbständig generieren und sich damit anmelden. Daher für den User kein Mehraufwand, im Gegenteil, er muss sich nur den PIN merken.
Die Prüfung auf den richtigen Server ist wieder unterschiedlich. Android kann nur Zertifikat oder nichts, IOS kann Nichts, Servername oder Zertifikat und der PC wiederum prüft nicht. Wichtig nur, wenn man mit mehreren DDNS arbeitet, falls einer ausfällt. Dass jemand sich irrtümlich mit einem falschen Server verbindet, ist eher ein kleines Risiko.
Sonst arbeiten alle drei Clients problemlos und sicher. Mittlerweile auch der PC Client bei mir. Dauert nur nach dem hochfahren etwas.

Alternative wäre natürlich auch, SSL zur Synology weiterzuleiten und dort einen OpenVPN Server einzurichten. Aber die Grundproblrme bleiben die gleichen.

NSFH
29.06.2018, 13:46
Danke für deine Infos und Erfahrungen.
Die Syno möchte ich als VPN Server aussen vor lassen.
Werde den Markt noch ein wenig sondieren, scheine aber mit der 2960 ganz gut bedient zu sein. Preis-/Leistungsverhältnis stimmt.
Also Danke nochmal!

blurrrr
29.06.2018, 14:20
Also beim Draytek findet sich im Datenblatt folgendes:

bis zu 200 VPN-Tunnel
bis zu 50 SSL-Tunnel

Wären bei 60 gleichzeitig eingewählten Mitarbeitern via SSL-VPN schon eher kritisch. Da ich es nicht gefunden habe auf der Draytek-Seite - weiss einer von euch zufällig, wie es mit den Bandbreiten via SSL-VPN bei dem Draytek aussieht? Das wäre wirklich mal eine brauchbare Info :) Kenne es nur von Sophos, dass es "offen" kommuniziert wird, dass z.B. eine SG125 "nur" ~500MBit via SSL-VPN bringt (reiner Firewalldurchsatz liegt allerdings bei 3GBit, vgl. hier (https://www.sophos.com/de-de/medialibrary/pdfs/factsheets/sophos-sg-series-appliances-brna.pdf) (Seite 3)).

NSFH
29.06.2018, 16:47
Was meinen Anwendungsfall betrifft, ich habe noch nie mehr als die Hälfte der Nutzer gleichzeitig online gesehen. Zudem sind die Zugriffszeiten immer relativ kurz und die Dateien klein, also kein Problem.
Der Durchsatz SSL wäre auch für mich interessant. Da bei mir nur 40MBit im Uplink zur Verfügung stehen hätte bei 30 Usern jeder nur 1,3MBit zur Verfügung. Das dürfte für die Vigor gar kein Problem sein, sie müsste ja mehr als das 10-fache leisten können.
Die Sophos SG115 habe ich mir mal angesehen. Blicke da nicht durch. Keinerlei Infos über Protokolle, unterstützte Verfahren. Sachen wie Radius, DHCP usw. nirgendwo zu finden. Muss man da eine spezielle Sw zukaufen? Bei Zyxel muss man zB die VPN Clients zukaufen. Viel zu teuer, da bietet Draytek eine günstige Alternative.

blurrrr
29.06.2018, 17:16
Das da nix steht, liegt wohl eher daran, dass es selbstverständlich ist :o Wir reden hier von "Enterprise"-Systemen (easy bis Konzern/ISP-Größe hoch, alternativ z.B. auch Juniper) und sind damit weit weg vom SOHO-Thema (oder wenns um den KMU-Bereich geht, auch weit weg von z.B. Draytek). Die grösseren Kisten können auch locker 20.000€ kosten, Subscriptions (alle) für 1 Jahr dann z.B. 40.000€. Mit der SG1xx-Serie ist man da im alleruntersten Bereich.

Bei Sophos ist der ganze VPN-Kram schon direkt integriert. Kostenpflichtigen VPN-Client gibt es nicht. Für SSL-VPN (Roadwarrior und S2S) wäre allerdings die Network-Subscription erforderlich, die mittlerweile irgendwo bei 150€/Jahr rumdümpelt, dafür ist die Hardware einen Tick teurer geworden (vorher war es einfach mit der Network-Subscription, es waren "genau" 365€/Jahr und somit 1€/Tag :D Erneuerung kostet übrigens für 3 Jahre dann etwas um die 340€, ist also billiger als "neu" kaufen). Wenn Du willst, können wir uns da gern ausgiebiger via PM unterhalten, da das hier eher nichts mehr für das Forum ist :)

Du bist übrigens auch nicht angewiesen auf die Hardware, sondern es gibt auch eine Software-Version, welche Du auf beliebiger Hardware installieren kannst. Für Unternehmen (auch als Software) gibt es die Business-Essentials-Version (ohne jegliche Subscriptions, also wie eine reine Hardware-Appliance ohne Extras) und für Privat eben die UTM Home Edition (auch Software, allerdings nur für privat und limitiert auf 50 IP-Adressen), welche aber "alle" Subscriptions beinhaltet (bei einer SG125 entspräche das einem Wert von knapp 1700€/Jahr). Das einzige was schmerzlicherweise nicht geht: alte Sophos Hardware bei Ebay schiessen und dann die Home-Version drauf :rolleyes: Andere Hardware oder virtualisiert - kein Thema.

EDIT: 19"-Einbau-Kit gibt es natürlich für die SG1xx-Serie, ab der Serie SG2xx ist es dann schon 19". Neuerdings auch mit Flexport-Modulen, so dass Du Dir Deine benötigten Anschlüsse (RJ45, SFP+, etc.) einfach selbst zusammenstecken kannst, was auf der anderen Seite auch die Neuanschaffung von Hardware reduziert, da Du flexibel - je nach Upgrade der Landschaft - einfach die Module wechseln kannst.

EDIT2: Ich bin auch ein Vogel... wichtigste vergessen *klick (https://www.sophos.com/en-us/medialibrary/pdfs/factsheets/sophos-utm-feature-list-dsna.ashx)* :rolleyes: Besonders beliebt ist es natürlich direkt das AD zu koppeln, sei es für die VPN-User, oder für das WLAN... macht schon Spass so... User im AD anlegen, entsprechende Gruppenzuweisung und fertig. Via VPN-Portal können sich die Mitarbeiter dann entsprechende Kompettinstallationspakete herunterladen (oder auch nur entsprechende Configs, für alle Betriebsysteme und Mobilgeräte). "Wenn" Du mit dem Gedanken spielen solltest (und die Networksubscription nicht zu teuer ist (was sie nicht sein sollte)), würde ich stark empfehlen, dass Du Dir mal sowohl die Business-Essentials-Version, als auch die Home-Version anschaust (so als Vergleich bzgl. der Subscription-Inhalte und -Funktionalitäten).

EDIT3: Wenn es Dir um das WLAN-Thema geht, wäre es übrigens auch eine Überlegung wert, sich die Wireless-Subscription mal anzuschauen mit den Blanko-Accesspoints... Einfach die APs ins Netz hängen, die melden sich automatisch bei der Firewall und von dort aus dann gemütlich sämtliche Accesspoints (auch standortübergreifend via z.B. RED-Device) durchkonfigurieren mit multiplen SSIDs, VLANs, etc.

NSFH
29.06.2018, 17:31
Hier kommen wir wieder in den Bereich, was ich als IT-ler empfehle und was der Kunde nicht will, zu teuer, zu kompliziert, Support kostet...... Hier klafft die Schere des Haben-Wollens mit der des Investierens aber auch Verstehens weit auseinander.
Auch wieder kein Thema für diesen Thread.
Ich lasse das alles erst mal sacken und gehe jetzt 8 Tage aufs Rad ;)

blurrrr
29.06.2018, 17:37
Najo, nach einmaligem Hardwarekauf läge der Preis für die Erneuerung (bei 3 Jahren) grade mal bei 113€... finde jetzt nicht, dass das sonderlich teuer ist...dafür bekommt man ja auch einiges geboten, aber wie schon erwähnt: probieren geht über studieren und falls Dir das zu blöde ist, können wir auch gern mal zusammen drüberschauen. :) Viel Spass bei der Tour und gutes Wetter! ;)