Radius Radius und Win 8.1/Win10; Anmeldung klappt nicht

[mrieglhofer]

Ich betreibe seit längerem ein WLAN mit Draytek AP800 Access Points, Draytek 2860 Router und dahinter die Synology DS713+ als Radius Server.
Mit Win 7, iOS und Android kein Problem. Mit Win 8,1 und Win 10 Clients habe ich es nicht geschafft, mich daran richtig zu atuhentifzieren..

Leider habe ich derzeit meinen Läppi auf Win 7, sodass ich das nicht selbst testen kann sondern auf den fremden Geräten nur eingeschränkt ausprobieren kann.
Hat jemand eine Idee, an welcher Ecke ich suchen könnte? Interessant wäre auch, ob jemand so einen Radius mit Win 8.1 oder 10 erfolgreich betreibt. Nicht dass ich im Kreis laufe und es ganz woanders liegt.

 

[mrieglhofer]

Ich habe jetzt das Szenario bei mir nachgestellt. Mit Vorauthentifizierung des Netzwerkes angehackt (beim Win10 Pro Client) funktioniert es reporduzierbar. Ob es dann auch mit Access Points zusätzlich klappt, muss ich mir noch anschauen.

 

[julianlampert]

Ich habe eine DS215j und ebenfalls einen RADIUS Server laufen. Diesen nutze ich auf meinen Access Points mit WPA2 Enterprise. Bei allen unseren Clients (Mac's, Android, iOS, etc.) hat der Login ins WLAN geklappt. Nur bei unseren Windows 10 - Laptops war der Login nicht erfolgreich. Windows 10 meldet: "Keine Verbindung mit diesem Netzwerk möglich".

Kann also deinen Bericht bestätigen.

Im Log des RADIUS Servers habe ich folgendes gefunden:

Auth      2016-01-29 20:39:39      Login incorrect (TLS Alert read:fatal:access denied): [julian/<via Auth-Type = EAP>] (from client ROUTERNAME port 0 cli 11-11-11-11-11-11)
Error     2016-01-29 20:39:39      TLS Alert read:fatal:access denied

Ist das ein Bug im RADIUS Server?

 

[mrieglhofer]

Hast du probiert, am Client "Netzwerk verwendet Vorauthentifizierung" anzukreuzen. Das war bei mir die entscheidende Änderung.
Damit war es mit Win10 Pro und Home in beiden Fällen erfolgreich.

Noch ergänzend: es geht bei mir mit Win8 und Win 8.1 nicht. Bei Win8 konnte ich das Gerät dadurch ins Netz bringen, dass ich es auf WPA/TKIP einstellte und natürlich die APs auf Dualbetrieb WPA2/AES und WPA/TKIP. Bei Win 8.1 habe ich das noch mangels Client nicht probiert. Aber das unterstützt WPA nur mehr über die Kommandozeile.

 

[julianlampert]

Wow! Tatsächlich, man muss die Zugangsdaten zwar direkt beim Anlegen der Verbindung eingeben aber es geht! Vielen Dank für den Hinweis!

 

[dougi]

Ich betreibe seit längerem ein WLAN mit Draytek AP800 Access Points, Draytek 2860 Router und dahinter die Synology DS713+ als Radius Server.

Das ist ziemlich genau mein Szenario. Die Authentifizierung am Radius per ldap Benutzer funktioniert, aber mein iPhone bekommt keine iP Adresse.
Im dhcp log des externen dhcp fand ich permanent Anfragen nach einer Ip von der Mac Adresse der synology.
Ist dazu eine umkonfiguration nötig bzw. ist das Problem bekannt?

Gruß dougi

 

[mrieglhofer]

KAnn ich nicht helfen, da ich DHCP am 2860 verwalte. Ich würde in deinem Fall den DHCP für dieses Netz daher testweise vom Router verwalten lassen und schauen, ob es dann geht. Wenn Nein, liegt der Fehler woanders. Ich sehe auch den Zusammenhang nicht. Ich kann man eine Radius Testtool die Authentifizierung ausprobieren und bekommen ein Accept oder Reject zurück. Auf dieser Basis erfolgt der Zugriff. Die DHCP Geschichte läuft bei mir unabhängig davon.

 

[dougi]

DHCP macht bei mir auch der Router

 

[mrieglhofer]

Trifft das nur das IPhone? Du kannst natürlich testweise WPA Ent ausschalten und unverschlüsselt probieren. Schauen, ob er dann eine IP bekommt.

 

[iLion]

Habe das Problem jetzt auch mit Windows 10 (Pro) Rechnern. Neueste RADIUS-Server (von heute) ist installiert. Auch hier klappt es mit iOS, Android und macOS ohne Probleme. Betroffene Anwender können sich über das Webinterface anmelden. Somit sind die Kontodaten richtig. Zertifikat ist gekauft von Global Sign, es liegt also unter Windows direkt ein Root-Zertifikat bei. "Netzwerk verwendet Vorauthentifizierung" auch getestet. Es kommt immer die TLS-Fehlermeldung. Ich habe sogar nach dieser Anleitung die Regedit am Rechner geändert. Aber ich komme nicht in das WLAN.

 

[mrieglhofer]

Ich verwende keine Zertifikate.
Ich habe noch keine Beschwerde erhalten, dass es nicht geht. Sagt aber nicht unbedingt was aus..
Der Radius hat sich halt beim Update erlegt und stürzte immer ab. Musste deinstallieren, installieren und manuell die Clients neu eintragen. Aber das hat mit dir nichts zu tun.
Du wirst dir wohl mal durch die Logs kämpfen müssen.

 

[NSFH]

@mrieglhofer: Hallo! Habe gelesen, dass du einen Daytrek 2860 nutzt. Wie zufrieden bist du damit hinsichtlich Anbindung an Radius und VPN?
Ich gedenke mir den 2960 zuzulegen. Bekommt das Gerät deine Empfehlung oder würdest du mit deinem jetzigen Erfahrungsstand zu etwas anderem greifen?

 

[mrieglhofer]

Ich kann dazu nur sagen, dass es mit dem Radius problemlos klappt, wenn nicht irgendein Radius Update Probleme bereitet, allerdings habe ich mir jetzt die wichtigsten User im Radius eines AP900 angelegt, sodass ich in einem solchen Fall schnell einen Notbetrieb habe.
Hinsichtlich VPN ist PPTP, L2TP kein Problem, beim IPSec durchaus manchmal etwas tricky. Aber wenn es läuft, dann absolut stabil. Wenig begeistert mich die proprietäre SSL Lösung statt OpenVPN. Die IOS und Android Clients laufen problemlos, unter Win10 habe ich derzeit damit Probleme. Der Cliebt startet manchmal nur mit Tricks, ist aber umgehbar. Fein, dass die alle einen OTP Generator eingebaut haben und man sich somit mit User und Pin anmeldet, aber dahinter ein One Time Passwort verwendet.
Ich bin privat vom 2860weggekommen, da in Österreich mittlerweile jeder Anbieter seine Modems verpflichtend einsetzt und A1 Telekom mit dem Hybrid eigene praktisch ausschließt. Da verwende ich in gleicher Konstellation den 2925 mit einmal Hybrid Modem und einmal LTE.
In Summe haben die Drayteks durchaus ihre Macken, auch die Konfiguration ist nicht immer intuitiv, aber wenn sie mal laufen, dann laufen sie monatelang bis jahrelang ohne einen Eingriff. Und nicht zu vergessen, der Service ist bemüht und meist auch gut.

 

[NSFH]

Danke für die schnelle Info!
Gerade das SSL-VPN war für mich interessant, da ich ca.60 freiberufliche VPN Nutzer mit eigener Hardware in einem Netz habe. Die greifen in der Masse via WebDav auf den Server zu und VPN wäre da meine bevorzugte Lösung. SSL-VPN hätte die Sache dann sehr einfach gemacht.
Hat der VPN Client die Möglichkeit nach dem Verbindungsaufbau die Freigaben des Syno im lokalen Netz aufzurufen, also eine Batchdatei mit zB netuse nach dem Login zu starten?

 

[mrieglhofer]

Der VPN Client stellt nur die Verbindung her, danach ist der Client ja quasi im lokalen Netz, wobei man dafür auch eigene Firewall Regeln machen kann. Danach sieht man die Shares im Netzwerk (ich trage die in der Hosts ein, weil es sonst lange dauern kann, bis der die Namen kennt), kann das aber auch mit net use machen. Nur nicht aus dem Client direkt.

Denkbar wäre je nach Client auch VPN on demand, bei iOS geht das auf alle Fälle, beim PC habe ich nichts gefunden.

Sonst gäbe es auch die Möglichkeit, mit SSL Proxys auf Web Applikations im LAN direkt zuzugreifen oder über SSL Application direkt im Browser auf freigegebene Shares. Aber dazu bitte die Draytek Docs dazu lesen. Ich habe es zwar mal ausprobiert, aber für mich war dann ein voller SSL Zugriff aufs LAN sinnvoller.
Achtung: die iPhone Clients prüfen das Routerzertifikat. Wenn man also mehrere DDNS Adressen verwenden will, geht das nicht,weil der Router nur ein Zertifikat präsentiert. Zu beachten bei DNS Ausfällen. Ich habe für diesen Zweck L2TP zusätzlich mit einer anderen DDNS Adresse installiert. Beim PC Client und Android kann man die Prüfung ausschalten.

 

[NSFH]

Die Probleme im Mischbetrieb Apple/Windows kenne ich zur genüge.
Das alles wäre für mich einfacher, wenn ich es mit Firmen-PCs zu tun hätte. So muss ich aber alles remote bei den VPN/WebDav Usern erledigen, dazu noch auf deren eigenen PCs.
Von daher bin ich eben auf der Suche nach einer stabilen Konfiguration Radius auf der Syno und VPN-Router, der mit eigenen, wirklich laufenden VPN-Clients stabil funktioniert und beim Anwender auch möglichst trivial einzurichten ist.
Deswegen mein Interesse an VPN-SSL.
Welche Probleme hast du da mit Win10 und den Clients?

 

[mrieglhofer]

Bei einem Win10 Client startet selbiger beim anklicken nicht, aber manchmal ganz normal. Wenn er nicht startet, muss ich mit einem Batch den Service starten und dann zweimal den Client starten. Dass einige Win10 Clients Probleme haben, steht auch in den Release Notes.

Das von dir geschilderte Problem ist natürlich konzeptionell was spezielles. So arbeitet IT normal nicht. Das ist nicht wartbar und zugleich hochriskant. Denke nur, wenn sich da einer einen Verschlüsselungsvirus einfängt und den Fileshare verbunden hat. Du weißt ja nicht, in welchem Zustand das Gerät ist.
Da geht es ja nicht nur um VPN, sondern auch, wie welche Daten mit was bearbeitet werden. Wenn die ext. Clients auf Fileshares rumfuhrwerken sollen, würde ich mir etwas in Richtung einer standardisierten virtuellen Maschine mit allen notwendigen Tools überlegen. Dann brauchen die nur Virtualbox oder VMPlayer. Die VM ginge sogar auf einem USB Stick. Oder Win2Go bzw. Win2USB. Oder Remote Desktop auf einen Server?

Hinsichtlich VPN wäre anzudenken, eine HW zur Verfügung zu stellen. Idee: gl.inet USB 150 (ist ein USB Stick Hotspot mit OpenVPN) und damit direkt auf die Synology, oder einen AR-300M. Mit dem kann man sich mit LAN/WLAN/Tethering verbinden und braucht für das VPN nur einen Schalter schieben. Kostet auch nur 20-40€. Das wäre einfach und sicher.

 

[NSFH]

Ja ist kein einfaches Scenario. Was ich nicht dazu geschrieben habe, die VPN User nutzen auch mobile Geräte, Notebooks, Smartphones und Tablets und das unter Win, IOS bzw Android und IOS. Das ist wie ein Sack Flöhe hüten.
Deinen worst case Verschlüsselungsvirus fange ich über spezielle Datensicherungen ab. Keine Verbindung=kein Virus. Ausserdem hat jeder VPN Nutzer nur sehr begrenzten Zugriff auf den Datenbestand. Max Datenverlust 1 Tag und damit kann die Fa gut leben.
Die 2960 mit ihren Win und Mac Clients plus Smartphone Unterstützung via VPN-SSL reizt mich daher schon. Da ich annehme, dass die Clients auch optisch ziemlich gleich aussehen und dann auch funktionieren wäre das ein Plus im Sinne der Vereinheitlichung.
Alternativ zur 2960 habe ich die Fortinet30 oder Watchguard T30 ins Auge gefasst. Mal sehen.

 

[mrieglhofer]

DIe Android Und IOS Clients sind in der Bedienung gleich, in der Konfiguration etwas unterschiedlich. Der Win Client schaut optisch anders aus, ist aber im Bedienablauf wiederum gleich ;-)
Was sie alle auszeichnet ist, dass sie ein mobile One Time Passwort aus dem User und dem Pin sowie einem bei der Konfiguration eingespeicherten Secret selbständig generieren und sich damit anmelden. Daher für den User kein Mehraufwand, im Gegenteil, er muss sich nur den PIN merken.
Die Prüfung auf den richtigen Server ist wieder unterschiedlich. Android kann nur Zertifikat oder nichts, IOS kann Nichts, Servername oder Zertifikat und der PC wiederum prüft nicht. Wichtig nur, wenn man mit mehreren DDNS arbeitet, falls einer ausfällt. Dass jemand sich irrtümlich mit einem falschen Server verbindet, ist eher ein kleines Risiko.
Sonst arbeiten alle drei Clients problemlos und sicher. Mittlerweile auch der PC Client bei mir. Dauert nur nach dem hochfahren etwas.

Alternative wäre natürlich auch, SSL zur Synology weiterzuleiten und dort einen OpenVPN Server einzurichten. Aber die Grundproblrme bleiben die gleichen.

 

[NSFH]

Danke für deine Infos und Erfahrungen.
Die Syno möchte ich als VPN Server aussen vor lassen.
Werde den Markt noch ein wenig sondieren, scheine aber mit der 2960 ganz gut bedient zu sein. Preis-/Leistungsverhältnis stimmt.
Also Danke nochmal!