none
WPA2 Enterprise EAP-TLS Wifi Verbindung funktioniert nach Update auf Win10 Version 2004 nicht mehr RRS feed

  • Frage

  • Hallo zusammen,

    nach dem Update am Fr auf Windows 10 Version 2004 funktioniert meine WPA2 Enterprise EAP-TLS Wifi Verbindung nicht mehr - vorher funktionierte alles einwandfrei.

    Mein Setup ist:
    1. Windows 10 Desktop mit Qualcomm PCIe Wifi Karte
    -> 2. OpenWRT Access Point (19.07.x Version)
    -> 3. Freeradius3 Server (neuere nicht neuste 3er Version)

    Ich denke, ich habe mittlerweile alle erdenklichen EAP-TLS Konfigurationen auf Windows-Seite ausprobiert. Andere Clients haben kein Problem. Laut Freeradius Server Logs ist die Authentifizierung erfolgreich (Login OK), OpenWRT meldet jedoch:

    ... Could not extract EAP-Message from Radius Message
    ... CTRL-EVENT-EAP-FAILURE2
    ... authentication failed - EAP type: 0 (unknown)
    ... Supplicant used different EAP type: 1 (Identity)
    ... deauthenticated due to local deauth request

    Und Windows ist nicht in der Lage, die Verbindung aufzubauen.

    Ich habe auch schon verschiedene TLS versionen auf Basis von https://support.microsoft.com/de-de/help/3121002/windows-10-devices-can-t-connect-to-an-802-1x-environment ausprobiert.

    Hat jemand dieses Problem schon gelöst und kann mir helfen? Oder hat jemand zumindest einen Tipp, wie ich der Lösung näher kommen kann - bspw. wo ich die entsprechenden Windows logs finde?

    Vielen Dank im Voraus
    Steffen

    Samstag, 22. August 2020 06:59

Alle Antworten

  • Hallo Steffen,

    Wenn Du einen Controller einsetzt, schau mal, ob Auto-Optimize Network in den Einstellungen des Controllers (Settings -> Site) gewählt ist und versuche es zu deaktivieren.

    Welche EventIDs tauchen in den Protokollen des Radius Servers auf?

    Gruß,
    Dimitar


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 24. August 2020 12:26
    Moderator
  • Hallo zusammen,

    ich habe es wieder hinbekommen, die Verbindung über EAP-TLS ans Laufen zu bekommen.

    Mein Access Point (OpenWRT 19.07.x neuste Version) erlaubt 802.11w Management Frame Protection. Das war per default auf Optional eingestellt. Vor dem Windows Update schien Windows die Einstellung egal zu sein - denn am Access Point habe ich keine Einstellungen verändert. Wenn ich das nun nach dem Windows Update auf Disabled einstelle, kann ich die Verbindung mit meinen Windows Clients wieder herstellen. Apple und Ubuntu Clients hatten mit dieser Einstellung nie Probleme.

    Allerdings habe ich auch keine Ahnung, was der Nachteil beim Disablen von 802.11w Management Frame Protection ist. Es funktioniert allerdings wieder.

    Viele Grüße
    Steffen

    • Bearbeitet Steffen_134 Sonntag, 30. August 2020 07:38
    Sonntag, 30. August 2020 07:31
  • Hi Dimitar,

    Der Login auf dem Radius Server hat immer geklappt. Der gab immer "Auth: (234) Login OK: [<USERNAME>] (from client <NAS_ID> port 1 cli <NAS_MAC>)" aus.

    Es funktioniert nun. Siehe vorherige Antwort von mir.

    Vielen Dank für Deine Tipps
    Steffen

    Sonntag, 30. August 2020 07:41

  • Allerdings habe ich auch keine Ahnung, was der Nachteil beim Disablen von 802.11w Management Frame Protection ist. 

    Das wohl gravierendste in der realen Welt (hier im Gegensatz zu einem Hacker-Labor): Wenn Du deine SSID ausblendest, kann sie aus unverschlüsselten MF wieder rekonstruiert werden, aus verschlüsselten nicht.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Sonntag, 30. August 2020 08:55