Hallo zusammen,
ich habe eine komische Situation. Meine Kollegen meinen, dass unser WLAN für BYOD mit WPA2 Enterprise bis vor ca. 10 Tagen noch funktioniert hat und es jetzt nicht mehr geht. Also, dass jetzt keine Verbindung mehr zustande kommt, kann ich bestätigen. Die einzige bewusste Änderung meinerseits war in den letzten Wochen ein update des Unificontrollers auf die Version 8.0.28.
Unser Aufbau:
LMN 7.2
WLAN intern in grün (10.16.1.1/12)
WLAN BYOD in blau (172.16.65.1/24)
WLAN GAST in blau (172.16.65.1/24)
Auf der OPNsense habe ich dazu DHCP im blauen Netz aktiviert und funktioniert auch grundsätzlich.
Auf dem Unificontroller hatte ich DHCP Guarding mit der IP der OPNsense in diesem Netz (172.16.65.1) an und aus, es hat nichts geändert.
Freeradius (3.0.26) läuft auf dem lmn-server im grünen Netz.
Als Fehlermeldung sehe ich dort:
ERROR: (1059) eap_peap: ERROR: (TLS) Alert read:fatal:unknown CA
Daraufhin habe ich das CACert (cacert.pem) exportiert und auf meinem Endgerät installiert. So weit ich nun beobachten konnte, taucht zwar der Fehler nicht mehr auf, aber es kommt auch keine Verbindung zustande. Mit „freeradius -X“ (leider habe ich die Infos nicht kopiert) hat sinngemäß die Anmeldung akzeptiert. Am Endgerät wird entweder der Verbindungsaufbau abgebrochen oder auf eine IP-Adresse gewartet. Es kann auch vorkommen, dass mein Gerät die IP-Adresse aus dem grünen Netz bekommt und dann mit dem WLAN verbunden ist. Das ist aber nicht zielführend, da ja auch Endgeräte, die nicht im grünen Netz registriert sind, mit den erlaubten Zugangsdaten im blauen Netz surfen dürfen.
Jetzt noch meine letzte Beobachtung: wenn ich mit Gast-Portal in Unifi unter Authentifizierung noch den Radius-Server angebe, kann ich mich dort mit den Zugangsdaten anmelden und bekomme eine IP-Adresse im blauen Netz.
Hat mir jemand einen Tipp, wie ich von hier aus strukturiert die Fehlersuche weiterbetreiben kann? Ich eiere gerade etwas ziellos herum.
Viele Grüße
Christian
P.S.: Ich habe eine Einstellung gefunden, die ich möglicherweise falsch gesetzt habe. Und zwar hatte ich im Unificontroller für das Radius Profil die Unterstützung von Radius zugewiesenen VLANs für LANs und WLANs aktiviert. Das habe ich jetzt rausgenommen und schaue gleich mal in der Schule nach.
Ich vermute, dass mein Problem, das gleiche ist, wie in diesem ungelösten Thread: Anleitung/Tipp: Radius Peap-Mschapv2 mit ntlm_auth für WPA2-Enterprise - #77 von Laura