Radius Zertifikatsfehler/Anmeldung Radius-Server

[schoeli]

Hallo!

Ich nutze auf meiner DS den Radius-Server. Die Anmeldung der Clients erfolgt über Unifi-APs, bislang klappte das auch problemlos. Seit zwei Tagen bekomme ich jedoch - nachdem ich das LetsCrypt Zertifikat auf der DS erneuert hatte - bei der Anmeldung der Clients eine Zertifikatswarnung. Das Zertifikat ist jedoch ok, im Übrigen erhalte ich keine Warnung. Sicher könnte ich das einfach ignorieren und die Anmeldung klappt ja dann auch, gleichwohl würde ich den Fehler gern beheben. Ein Erneuern oder die Löschung und Neuerstellung des Zertifikats half nicht weiter. Der Controller läuft auf der DS.

Wenn ihr also einen Ansatz habt: nur zu!

Beste Grüße
schoeli

 

[sub2010]

Hallo schoeli,

du meinst dieses Problem?


Auf dem Client konnte ich das nur so Umgehen:


Vorher hatte ich die Einstellungen mit der Domäne Authentifiziert:


Mein CA Zertifikat ist das:
Ich habe auch mit einem Domänen Zertifikat probiert, ohne Erfolg. Oder mit einem Wildcard Zertifikat, was aber unter Windows Probleme macht.


Hat jemand eine Idee? Wieso dort ein falsches TLS Zertifikat angezeigt wird?

 

[chle]

Habe das gleiche Problem mit einem Pixel 4a.
Hier kommt dazu, dass sich bei den neueren Android-Versionen die Zertifikatsprüfung nicht ausschalten lässt, d. h. ich kann WPA2-Enterprise derzeit gar nicht nutzen.
Ich habe das LE-Zertifikat für den https-Webserver und den Radius-Server verwendet. Nachdem https nach wie vor richtig validiert werden kann und beim WLAN das Zertifikat abgelaufen ist, nehme ich an, dass das WLAN mit der alten X3-Kette validieren möchte, die abgelaufen ist.
Wird wohl erst wieder funktioneren, wenn entweder Android im WLAN richtig validert oder Synology bei der LE-Zertifikatserstellung in der fullchain nicht mehr X3 + X1 angibt, sondern nur mehr X1.

 

[sub2010]

Hier die offizielle Antwort von Synology.


Sehr geehrter Kunde,

vielen Dank dass sie den Technischen Support von Synology kontaktieren.

Das Zertifikat zu hostname.ibinary.de wurde noch mit dem DST Root CA X3 Zertifikat gegengezeichnet.

Let's Encrypt hat ein eigenes Root Zertifikat, trotzdem wurden aus Kompatiblitätsgründen alle Let's Encrypt Zertifikate mit dem DST Zertifikat gegen gezeichnet.

In den letzten Jahren hat man nun angefangen das DST Zertifikat vermehrt weg zu lassen und am 30.September is das DST Zertifikat nun abgelaufen.

Die Fehlermeldung wird sich darauf beziehen. Bitte erstellen sie ein neues Zertifikat mit Let's Encrypt für die Domain und ersetzen sie das bestehende Zertifikat damit.

Starten sie die RADIUS Server Anwendung anschließend bitte neu.

 

[chle]

Ich habe das LE-Zertifikat erneuert und die SYNO neu gestartet:

2021-10-05 19:40:22​	Auth​	(76) Login incorrect (eap_peap: TLS Alert read:fatal:certificate expired): [WLAN.Christian] (from client ROUTER port 29 cli a83e0efd7302)​
2021-10-05 19:40:22​	ERROR​	(76) eap_peap: ERROR: TLS Alert read:fatal:certificate expired​

 

[sub2010]

Prüf doch mal das CA Zertifikat. Ist das so DST Zertifikat?
Ich glaube du musst eins neu erstellen.

 

[chle]

Im Browser wird mir die Kette "Mein Zertifikat" - R3 - ISRG Root X1 angezeigt. Alle sind gültig.
Ich nehme an, dass im fullchain.pem auch die abgelaufene Kette Richtung X3 drinsteht und diese vom Radius verifiziert wird.
Ich weiß aber nicht einmal sicher, wo die fullchain.pem liegt und wie dich editieren soll, dass nur mehr X1 drin ist.

 

[bubblegun]

Ich bin noch nicht so tief vorgedrungen, aber auch bei mir scheint mit den Zertifikaten etwas im Argen zu liegen.
Ich benutze seit JAhren den Radius-Server auf der Syno, um einen praktikabeln WLAN-Zugang für mich und (ab und zu) Arbeitsgruppen zu haben. Das funktionierte auf allen meinen Geräten bis in den Dezember hinein. Seither gibt es zwei Geräte die sich nicht mehr im WLAN anmelden können. Beide Geräte sind von LENOVO und schon etwas ältlich.
Merkwürdigerweise funktionieren -ohne Änderung- ein Win10-Client und alle Android-Geräte von Huawei. Bei den LENOVO-Geräten werden in der GUI bei der Systemsteuerung -> Netzwerk zwei IP angezeigt, die zweite IP ist von dem virtuellen MS-Adapter aus dem 169er-Bereich und bei der Anmeldung erscheint "eine Anmeldung in diesem Netzwerk ist nicht möglich". Die Protokolle sehen so aus wie hier oben beschrieben, "Login incorrect (mschap: MS-CHAP2-Response is incorrect): [Neu_Chef] (from client golem port 0 via TLS tunnel)" Oder hab ich da am Client etwas verkonfiguriert?
Natürlich kann ich auch ein WPA2-Netzwerk (ohne Enterprise) aufmachen, das funktioniert einwandfrei, aber warum weigern sich die beiden LENOVO-Geräte das WPA2-Enterprise zu akzeptieren?

 

[bubblegun]

Bei mir ist der Punkt erledigt!
Das Syno-Zertifikat war abgelaufen, auch wenn keine Zertifikate bei der Anmeldung auf dem Rechner erforderlich waren, so wurde wohl doch das Syno-eigene Zertifikat überprüft. Inzwischen hab ich das Zertifikat erneuert und es lauft auf allen Clients wieder. Die Frage bleibt aber trotzdem im Raum, warum das nur auf den Lenovo-Geräten zum Crash geführt hat, bei allen anderen Geräten ob Win8.1 oder Win10, oder Android, lief es weiterhin ganz problemlos?
Ein kleines Problem ist noch vorhanden: Bisher waren Kennwörter der User zur Anmeldung auf der Syno und auf den einzelnen Rechnern nicht den Kennwortregeln gemäß angelegt. Bei der Installation der neu(er)en RS819 wurden dafür die Regeln eingehalten und die Kennwörter geändert. Wenn ich also den Radiusserver von der 218 weg auf die RS819 legen will, müssen alle User die neuen Kennwörter auch zum Login auf den Rechnern ändern, weil ansonsten kein WLAN-Login möglich ist? Sehe ich das so richtig?

 

[MasterJM]

Habe das gleiche Problem mit einem Pixel 4a.
Hier kommt dazu, dass sich bei den neueren Android-Versionen die Zertifikatsprüfung nicht ausschalten lässt, d. h. ich kann WPA2-Enterprise derzeit gar nicht nutzen.

Hallo,

ich habe genau das gleiche Problem. Ein WPA Enterprise Wlan mit Radius auf einer Syn Nas, läuft seit Jahren ohne Probleme und jetzt der erste Android Client, der diese Option mit nicht validieren nicht mehr hat.

Wie hast du das letztendlich gelöst? Möchte ungern 50 Clients "verlieren", nur damit der eine reinkommt.

Das ich das Handy auch nicht im Zugriff habe, fällt testen schwer. Mit meinen Android Geräten bekomme ich das auch nicht nachgestellt. Wäre schön, wenn jemand eine Anleitung hat oder sagt, was genau zu tun ist? Danke.

 

[chle]

Hi MasterJM,
soweit ich micht erinnern kann, trat das Problem mit Android 12 im Herbst 2021 auf. Die Validierung ließ sich nicht mehr ausschalten. Und Android 12 konnte das LE-Zertifikat nicht korrekt verifizieren.
Ich habe dann mehrere andere Gratis-3Monats-Zertifikate (ich glaube zeroSSL und ssl.com) auf der Syno für den Radius aktiviert.
Und mit Android 13 im Herbst 2022 wurden endlich auch die die LE-Zertifkate richtig interpretiert und akzeptiert.

 

[MasterJM]

Hi, danke für die Rückmeldung. Das klappte dann aber so, sprich LE Zerti auf Syn für Radius hinterlegt, am Client (Handy) so weiter nichts gemacht?
Bzw was dann eingestellt am Handy, wo es eben dieses "nicht bestätigen" nicht gibt, was dort ausgewählt.
Bedeutet dann aber auch, iOS Nutzer müssen alle 3 Monate dem LE vertrauen - oder?

Hat schon mal jemand mit XCA ein eigenes Zertifikat dafür gebastelt?
Gruß

 

[chle]

Genau, auf der Syno das Zertifikat hinterlegen und am Handy "Systemzertifikat" auswählen und die Domain eintragen, gegen die geprüft werden soll.

 

[MasterJM]

Danke, teste ich mal.

 

[MasterJM]

So, konnte ich testen. Klappt leider nicht, auf zwei Androiden ausprobiert.
iOS Device läuft wie vorher auch, zeigt das LE Zerti an und sagt nicht vertrauenswürdig, man kann ihm aber manuell vertrauen und kommt rein.
Android geht es nicht, richtige Daten vom User, also Domain die Domain vom LE Zertifikat genommen, PEAP, gegen Systemzertifikate.
Im Radius Log sehe ich verschiedene Fehler, z.B.

eap_peap: ERROR: (TLS) Alert read:fatal:certificate expired

Login incorrect (eap_peap: (TLS) Alert read:fatal:certificate expired): [USER] (from client WLAN-AP port 0 cli MAC)

Stelle ich am Android Client von Systemzertifikat auf nicht validieren/bestätigen geht es sofort. Aber die Option haben ja nicht mehr alle Androiden.
Da ich auch was gelesen hatte, das LE eventuell mal komplett neuerstellt wird in so einem Fall, habe ich das komplette Zertifikat gelöscht und neu erstellt. Brauchte aber auch nichts.

Vielleicht etwas zum Aufbau:
Das genutzte LE Zertifikat läuft auf eine Subdomain x.y.realvorhandene-domain.de unter realvorhandene-domain.de hab ich im DNS einen CNAME laufen auf einer DDNS von Synology - sprich über diese Subdomain x.y.realvorhandene-domain.de komme ich sicher trotz DSL Einwahl auf die vorhandene Nas. Oder gibt es hier durch den Aufbau Probleme?

Wäre nett, wenn du mir da weiten helfen kannst oder den Fehler umkreisen kannst. Danke.

 

[chle]

Ist jetzt schwierig, eine Fehlereingrenzung zu machen, aber schaun' wir mal.
Hast du auf der Syno 1 oder mehrere Zertifikate? Wenn du mehrere hast, kannst du unter Systemsteuerung/Sicherheit/Zertifikat/Erweitert einstellen, für welchen Dienst welches Zertifikat verwendet wird. Beim Radius sollte dann das richte Zertifikat stehen.

Der Client prüft dann vor der Authentifizierung, ob der Server mit dem Zertifikat zusammenstimmt.
Ich kann meine Erfahrung nur vom nativen Android auf Pixel-Geräten schildern:
Bis Android 11 konnte man die Prüfung deaktivieren, der Client akzeptierte alles.
Dann wurde die Deaktivierung deaktiviert (entschuldige - klingt blöd ;-)) und es funktionierte die Überprüfung des LE-Zertifikats ohne Weiteres.
Dann gab es im August 2021 den Fork des Stammzertifikats von LE. Damit konnte Android nicht umgehen.

Seit Android 13 funktioniert die Validierung mit LE.

Welchen Client hast du? Welche Version? Wenn die Version kleiner 13 und nicht upgradebar ist, empfehle ich dir, ein anderes SSL-Zertifikat als LE zu verwenden. Entweder gratis, mit 3 monatiger manuellen Verlängerung oder ein kommerzielles.

 

[MasterJM]

Ist jetzt schwierig, eine Fehlereingrenzung zu machen, aber schaun' wir mal.
Hast du auf der Syno 1 oder mehrere Zertifikate? Wenn du mehrere hast, kannst du unter Systemsteuerung/Sicherheit/Zertifikat/Erweitert einstellen, für welchen Dienst welches Zertifikat verwendet wird. Beim Radius sollte dann das richte Zertifikat stehen.

Ich hab zwei, das LE und das von Syn, es war das richtige eingestellt, das LE. (genauer gesagt galt das LE eben beim Test einfach für alles, Standard).

Der Client prüft dann vor der Authentifizierung, ob der Server mit dem Zertifikat zusammenstimmt.
Ich kann meine Erfahrung nur vom nativen Android auf Pixel-Geräten schildern:
Bis Android 11 konnte man die Prüfung deaktivieren, der Client akzeptierte alles.
Dann wurde die Deaktivierung deaktiviert (entschuldige - klingt blöd ;-)) und es funktionierte die Überprüfung des LE-Zertifikats ohne Weiteres.
Dann gab es im August 2021 den Fork des Stammzertifikats von LE. Damit konnte Android nicht umgehen.

Seit Android 13 funktioniert die Validierung mit LE.

Welchen Client hast du? Welche Version? Wenn die Version kleiner 13 und nicht upgradebar ist, empfehle ich dir, ein anderes SSL-Zertifikat als LE zu verwenden. Entweder gratis, mit 3 monatiger manuellen Verlängerung oder ein kommerzielles.

Okay, die Clients die ich eben hatte waren ein Samsung S10 mit Android 12 und ein China-Schrott, scheinbar mit Android 9.
Bei beiden ging es nicht - Android 13 wird natürlich kaum verbreitet sein schätze ich hier.

Das wäre ja eh besser, am liebsten würde ich ein manuelles basteln Laufzeit mehrere Jahre und die Clients (bis dato ja der eine, dem baut man das eben ein) iOS weiter wie gehabt, manuelles vertrauen, dann wechsel ich auf das Syno Zerti, was bis 2036 geht. Die anderen Android stellen auf nicht validieren - fertig. So lief es jetzt ja auch 3 Jahr, bis der eine mit seinem neuen Handy kam.

Ich habe ansonsten das SSL Zertifikat der echten Domain, also von "realvorhandene-domain.de" siehe oben, die wird bei 1und1 / ionos gehostet. Dort kann ich das Zertifikat ja exportieren - bringt mir das hier was?

Danke,
Gruß

 

[chle]

Der (Radius)-Servername muss im Namen oder in den Alternativen Namen des Zertifikats enthalten sein.

 

[MasterJM]

Der (Radius)-Servername muss im Namen oder in den Alternativen Namen des Zertifikats enthalten sein.

Was genau meinst du mit Radius-Servername?
In den Einstellungen des Radius auf der Syn sehe ich keine Möglichkeit, einen Namen zu vergeben.

Ansonsten habe ich eben mal das SSL Zertifikat der 1und1 Seite neuerzeugt, dabei den Priv Key, das Zert und das Intermediat runtergeladen und auf der Syn importiert. Dieses Zertifikat dann für den Radius verwendet.
Damit konnte ich zumindest auf meinem Android 12 nun im WPA Enterprise gegen Systemzertifikate mich anmelden.
iOS zeigte das Zertifikat an, vertraute ihm aber wie gewohnt nicht - was ja aber dann manuellem drücken dort kein Problem ist (wie vorher auch).

Ich denke, das würde jetzt auch auf dem Android 13 Gerät funktionieren, was mir diese Probleme bereitet. mal sehen.
Allerdings ist das keine wirklich brauchbare Lösung. Denn für diese eine Person müsste ich dann ja 3-4 mal im Jahr 20min lang bei 1und1 das Zertifikat erzeugen, importieren etc. (Viel Arbeit für mich....)

Daher würde ich gerne, das der User pro-aktiv selber etwas machen muss auf seinem Gerät, ich also ein Zertifkiat nutze, was ich mit ~10 Jahre Laufzeit erzeuge und er halt importieren muss... bzw alle, bei denen die Geräte nicht mehr "nicht bestätigen" anbieten.
Kann mir dazu jemand helfen / Anleitungen nennen für z.B. XCA? Danke.

 

[chle]

Auf deiner Syno laufen verschiedene Dienste/Anwendungen und diese sind von außen durch unterschiedliche Ports erreichbar. Wenn du die Standardports nicht geändert hast, ist

• die Webconsole unter <Servername>:5001
• der Radiusserver unter <Servername>:1812
• ...

erreichbar.

Frage zurück: Wie ist der Servername?