Radius Zertifikat, wie, was woher?

[chle]

Was steht denn im Radius-Server-Log?
Ich weiß jetzt nicht 100%ig ob es eine Auswirkung auf den Radius hat: Kann es sein, dass deine IP in der Systemsteuerung/Schutz-Blockierungsliste gelandet ist?

 

[SoniX]

Normalerweise sind in einem Unternnehmen alle Devices Mitglied im Domänennetzwerk und Zertifikate werden mittels GPO ausgerollt.
Mal davon ausgehend, das Microsoft tatsächlich etwas bei der EAP Anmeldung geändert hätte (was ich nicht glaube), dann würde in einem Unternehmen so etwas ja schon bei Clients in der Integrationsumgebung auffallen. Updates werden hier über WSUS ausgeliefert, nachdem sie geprüft wurden.

Ich habe mein Leben lang nur in kleineren Firmen gearbeitet mit 2-20 Mitarbeitern. Da gab es nirgendwo WPA Enterprise, geschweige denn WSUS.
Es wäre kein Problem für einen ehemaligen Angestellten in diese Netzwerke reinzukommen. Muss sich ja nur vors Gebäude stellen.

Das ist nur die Meldung für den Anwender. Als Admin kann man über die Ereignisanzeige sehr viel mehr sehen. Ich kann Dir aber die korrekte Event-ID lleider nicht auswendig sagen, da musst Du mal googeln.

Da muss ich mich noch tiefer einlesen.

Dein Befehl "netsh wlan show wlanreport" hat leider nichts sinnvolles geliefert, außer auch "Konnte keine Verbindung aufbauen".

Was steht denn im Radius-Server-Log?
Ich weiß jetzt nicht 100%ig ob es eine Auswirkung auf den Radius hat: Kann es sein, dass deine IP in der Systemsteuerung/Schutz-Blockierungsliste gelandet ist?

Wenn du mir sagst wo ich das im Syno NAS findest... das wird seitens Syno ja umgebogen.

Aber.... es dürfte tatsächlich ein Hardwaredefekt gewesen sein. Mit dem externen WLAN USB Dongle hat die Verbindung auf Anhieb geklappt.
Aber auch nur mit deaktivierter Zertifikatsprüfung. Es scheint Windows vollkommen egal zu sein ob Wildcard oder nicht oder ob gültig oder nicht oder ob hinterlegt oder nicht. Irgendwie habe ich es noch nicht kapiert wie man das in Windows korrekt implementiert. Und da kann ich auch nirgendwo eine Domain angeben wie unter Android.

Ich schätze unter Windows muss man bei WPA Enterprise zwingend Profile erstellen und diese dann importieren. Aber das ist dann doch wieder ein eigenes großes Kapitel wo man sich einlesen müsste.

 

[chle]

Versuche mal, im Radius-Server das Protokoll anzuklicken, vielleicht komm dann so etwas ähnliches mit Fehlern:



Ich bin mir nicht sicher, ob du bei den Radius-Zertifikaten einen "Richtungs-Misch-Masch" hast:

Das was Android verlangt, ist ein Serverzertifikat: Der Client (das Handy) überprüft, ob der Radius-Server "echt" ist und nicht ein falscher AP den Traffic abfängt.

Das, was du in Windows nicht zusammenbringst sind Client-Zertifikate. Hier wird statt dem Benutzernamen/Kennwort ein Clientzertifikat ausgestellt und entweder direkt oder GPO auf die Clients ausgerollt. D. h. der Server lässt nur Clients zu, die ein gültiges Zertifikat haben.
Wenn du die Funktion Serverzertifikat in Windows umsetzen möchtest, dann brauchst du WPA3, bei WPA2 funktioniert das noch nicht.

 

[SoniX]

Hallo chle,

also ich hatte von Anfang an nur auf WPA2 gesetzt, mit User/Passwort. So ist der Server eingestellt und das kann ich unter Windows auch auswählen. Unter Windows 10 (22H2) habe ich auch garkeine Auswahlmöglichkeit für WPA3. Womöglich unterstützt es der (Intel) Treiber nicht?

Aber WPA2 nutzt auch Zertifikate. Wie und wo da genau der Unterschied zu WPA3 ist, weiß ich aber nicht. Angeblich soll WPA3 abwärtskompatibel sein. Müsste ich mal testen wie es sich verhält wenn ich auf WPA3 umstelle.

Nein, sorry das log aus der Syno GUI im Radius Paket gibt keine sinnvollen Infos aus. Das müsste ich über eine SSH Verbindung machen, aber ich weiß nicht wo ich da suchen müsste.

 

[chle]

Hallo SoniX,
leider geht aus deinen Posts nicht hervor, was dein Ziel und deine Umgebung (privat, kleines/großes Unternehmen) ist.

Bei Android musst du (vom BS Android >~ 13 vorgegeben) ein Systemzertifikat hinterlegen und konfigurieren.

Bei Windows WPA2 kannst du ein Clientzertifkikat hinterlegen.
Bei Windows WPA3 kannst du ein Server- und/oder Clientzertifikat hinterlegen.
Funktionell ist ein Clientzertifikat nicht viel sicherer als Benutzername/Kennwort, also warum tust du dir das an?

 

[SoniX]

Mein Ziel ist ganz einfach WLAN mittels WPA Enterprise zu nutzen. Für mich Zuhause. Es geht dabei, abseits von höherer Sicherheit, ums Lernen.

In Android (15) selbst muss ich kein Zertifikat hinterlegen. Das liefert der Server, wird von Android geprüft und akzeptiert.

Windows allerdings akzeptiert das Zertifikat nicht, auch nicht wenn hinterlegt.
Da klappt es nur wenn ich die Prüfung komplett deaktiviere. Das kann aber nicht Sinn der Sache sein.

Ich spreche hier nur von WPA2. Meine Intel WLAN Karte unterstützt kein WPA3. Clientzertifikate habe ich nicht und nutze ich nicht.
Erstmal das eine verstehen und können, dann kann man den nächsten Schritt machen :-D

Edit:
Radius liefert folgendes (nicht Wildcard) Zertifikat meiner Domain aus:
https://shop.certum.eu/commercial-ssl-certificate.html
In Android gebe ich die Domain an, die Prüfung klappt und fertig.
Windows frägt nach keiner Domain, man kann nirgendwo eine hinterlegen, es klappt nicht.

 

[chle]

Lies #Beitrag 23 letzte Zeile

 

[SoniX]

Also irgendwie kapiere ich garnichtsmehr. Unter Android funktioniert es wie erwartet, unter Linux funktioniert es wie erwartet. Nur unter Windows nicht.

Okay, nochmal nachgelesen. Mit WPA2 und WPA3 Emterprise ist ein Serverzertifikat verpflichtend. Clientzertifikate nur mit EAP-TLS. Mit PEAP braucht man keines. Ich nutze PEAP....