Forum Clubic

802.1X PEAP-TLS - Ben...ca marche pas xD

Bonjour!

Dans le cadre de ma formation j’essai de mettre en place une strategie d’acces distant pour des clients wifi au travers d’un AP.
J’ai donc monté un serveur de test w2k3 avec (dans l’odre d’installation) un AD, un DC, un IIS, une CA, un RRAS et pour finir un IAS. (Le tout sur la meme machine -limité par les moyens :stuck_out_tongue: -)

Mon but : permettre un certain groupe d’utilisateurs d’AD d’etre authentifiés par le serveur radius sur un AP.
La securité est de mise puisque j’élabore ce projet avec 802.1X + WPA2 et le tout sécurisé par une methode PEAP EAP-TLS.

Bon, pour cibler mon probleme :
En faisant une capture de trame directement sur le serveur, et ben je ne vois pas d’ access-accept ni access-reject sortir de mon serveur.

La seule chose que l’on peut y voir est un echange composé d’ :
-1- Un access-request (Paire 1)
-2- Un access-challenge (Paire 1)
-3- Un access-request (Paire 2)
-4- Un access-challenge (Paire 2)

L’echange client-serveur radius se fait donc bien, puisqu’a chaque paire, la taille des trames augmente. Sauf qu’il n’y a pas de validation/refus de la part d’IAS.

Coté logs, c’est le neant. J’ai aucune erreur, ni sur le serveur, ni sur le client.

Ma methode PEAP est bien configurée, mon groupe existe bel et bien, j’ai un certificat pour IAS, j’ai connecté en filaire et installé la ChainCA sans soucis, enregistré IAS dans AD, obtenu un certificat utilisateur pour mon client, enfin bref je seche :ane:

Une idée d’où cela pourrait venir messieurs les experts ? :stuck_out_tongue:
Ca doit etre une erreur de debuttant j’imagine mais je la vois pas :ane:

J’ai fait du 802.1x mais sur du câble donc je suis pas sûr que ça t’aide.

Où est tu allé voir les logs? parceuqu’au début je regardais les logs directement dans les fichiers mais les plus explicites sont dans l’observateur d’évènement.

Sinon dans les pistes de vérification qui me viennent :

  • Les conditions sont elles bonnes?
  • L’onglet authentication est il bien configuré?
  • L’onglet Encryption est il bien configuré (si possible une seule méthode sinon essaye sans ça peut poser problème à certains commut)
  • L’onglet Advanced: Ton point d’accès a t’il des paramètres spécifiques? sinon essaye de ne laisser que le Service-Type et de mettre la valeur à Authenticate only

Tiens nous au courant :wink:

Salut! Et merci deja d’avoir repondu :wink:
Faut dire que mon probleme ne touche pas grand monde alors pour avoir de l’aide :stuck_out_tongue:

Enfin voilà :whistle:
Quand je parle des logs, je parle des journaux d’evenements où la seule chose qui apparait est un log systeme ayant pour source IAS (evenID 5050) et pour message :
“A LDAP connection with domain controller mon-server.mon.domaine for domain DOMAIN is established.”
Dans securité je vois rien relatif au client wifi, dans applications non plus. :riva:

Et maintenant quand je regarde dans %SYSTEMROOT%\system32\LogFiles\IAS\, ben ya des choses…mais ca doit etre dû a mes tests. Et puis faut dire que c’est incomprehensible :pt1cable:

Du coté des pistes que tu me soumet :

  • Les conditions ? Je vois pas trop ce que tu veux dire mais si c’est authoriser mon groupe wifi a s’authentifier sur IAS alors oui ca c’est fait :wink:
  • Onglet authentification : j’ai bien mis PEAP avec un bon certif, et dans PEAP au lieu de prendre MS-CHAP2 par defaut j’ai mis EAP-TLS avec un bon certif là aussi (le meme que pour PEAP)
  • Onglet encryption, j’ai tout selectionné histoire de ne pas avoir de problemes pour le moment avec ca :stuck_out_tongue:
  • Onglet Advanced : J’ai laissé par defaut a savoir : “Service-Type Radius-Standard Framed” (j’avoue que là je sais pas quoi mettre d’autre :ane:

Sinon j’ai posté sur pcinpact aussi pour toucher un peu plus de monde par mon probleme :ane: et j’ai donné des infos supplementaires que voici :

:ane:

as tu déclaré ton ap comme client radius? avec le sccret?

Je suis pas sur que toutes les ap gerent le 802.1x.

L’ap est branché sur le serveur ou sur un switch?

“as tu déclaré ton ap comme client radius?” ->
Oui! il est correctement declaré, ya juste une option où j’ai un doute sur cette declaration c’est : “Request must contain the Message Authenticator attribute”. Je l’ai coché et ca semble “mieux” marcher avec ca que si je le met pas :slight_smile:

“avec le sccret?” ->
Oui sinon l’echange radius ne se ferai pas :stuck_out_tongue:

“Je suis pas sur que toutes les ap gerent le 802.1x” ->
J’ai un Netgear DG834G v3 flashé avec le dernier firmware qui supporte le 802.1x pour mes tests, il est d’ailleurs utilisé par SupInfo dans son tuto EAP-TLS disponible ici : http://www.laboratoire-microsoft.org/articles/network/wpa/4/
Donc j’ai pas l’impression que ca viens de l’AP :frowning:

“L’ap est branché sur le serveur ou sur un switch?” ->
Sur un switch :slight_smile:

C’est un switch administrable ou pas?

Nonon! un vulgaire switch :neutre: Tout ce qu’il y a de plus banal :ange:

Ca fait quelques temps que je suis sur ce probleme, j’ai eu beau tout essayer rien a faire, alors oui avec des methodes plus simples que EAP-TLS (exemple MS-CHAP2) ca passe, mais des que j’utilise des certificat en passant par PEAP, ou EAP-TLS ca bloque :riva:

Comme je l’ai dit dans la citation de mon deuxieme post, j’ai l’impression que ca viens de la validation du certificat serveur du coté du client. Ya peut-etre un probleme lors du deploiement de la ChainCA…

Je viens de re-regarder les logs clients, et je note quelque chose qui m’avait echappé jusque là :
J’ai 2 notification dans l’eventlog application pour EAPOL, eventID 2002 & 2003, aucune description disponible (il me dit de taper /AUXSOURCE pour plus d’informations mais je ne sait ni sur quoi ni où, dans l’invite ca me provoque une erreur)

Sur le site de m$, ces events correspondent a un arret du service EAPOL. C’est pour ca que c’est une notification d’ailleurs… :

Product: Windows Operating System Version: 5.2 Source: eapol ID: 2002
EAPOL service was stopped successfully

Je sais plus quoi faire ca m’enerve :ane:

Pour générer le certif, tu tes conecté en direct sur le serveur et tu la cree grace a

http://serveur/certserv/ ?

Exactement! Avec l’interface d’IIS pour etre plus precis :slight_smile:
Merci pour tes idées en tout cas ca fait plaisir! :jap:

J’avoue que je ne sais plus vraiment où chercher le probleme…
L’analyse de trame est formelle, l’echange radius en PEAP EAP-TLS se fait sans soucis, mais arrivé a la fin du 2eme aller-retour de cet echange ca bloque.
Ya rien qui reviens du client vers le serveur.
Et comme c’est le client le dernier a recevoir ces trames (en l’occurence le paquet contenant le certificat du serveur si j’ai bien compris l’echange), je me demande si c’est pas un probleme de certificat serveur (lié donc a la ChainCA installée) qui n’est pas validé par le client. :??:

Dois-je continuer mes recherches en ce sens ?
Ou plutot du coté du serveur qui se serait vu attribué un mauvais certificat par la CA lors de l’install ?

Merci de votre aide! Je suis pas loin de la crise de nerfs :ane:

je suppose que tu l’as fait mais as tu bien configuré ta carte wifi sur ton client?

tu as essayé avec carte a puce ou autre certificat et avec EAP ( PEAP )?

C’est bizard, tu devrais au moins recevoir une trame reject ou accept, mais la il envoie pas de reponse O_o

Aucun probleme de ce coté, le client est bien configuré en PEAP EAP-TLS, et pour n’avoir aucun soucis avec la validation des Certified Root CA j’ai parametré le client pour qu’il accepte toutes les CAs presentes dans son magasin :miam:

J’avoue que c’est tres fourbe comme probleme, j’y comprend plus rien et j’ai peur de pas pouvoir tenir mes delais pour le projet si ca continue comme ca :pt1cable: :ane:

Bon, j’avance petit a petit, j’ai fait des recherches sur le net mais les infos sur ce type d’authentification sont au compte-goutte :riva:

Bref, au detour d’un forum dont je me rappelle plus l’url, j’ai trouvé quelque chose d’interressant :
C’est que si j’ai un echange radius composé de access-request / access-challenge, mais rien au bout (ni access-reject, ni access-accept), c’est que l’echange EAP n’aboutit pas.

Or, qui dit echange EAP, dit certificats. Donc mon probleme se situe bien au niveau des certificats echangés.

Alors du coup, j’ai changé une chose : au lieu d’utiliser des certificats utilisateurs, j’ai installé un certificat ordinateur par l’intermediaire de ma CA sur mon client.
Mais ca marche toujours pas!! :grrr:

Y aurait-il quelque chose que j’aurai oublié de faire en ce qui concerne les certificats utilisés par le server ? Car contrairement a ce que je tendais a croire, il semble bien que le probleme se situe au niveau du serveur et non du client, qui lui a bien tous les certificats qu’il faut, car délivrés par la CA ? :??:

S’il y a un probleme sur les certificats du serveur je pense que c’est dû au fait que ma AD, mon IAS et ma CA sont sur le meme serveur :riva:

Des idées ? :whistle:

Hey dudeweb, jviens de lire ton post et je suis au regret de te dire que je suis mais alors exactement dans le meme cas que toi !!

Je dois dévelloper une authentification EAP-TLS et c la galère jme demande si je vais pas passer en PEAP tellement ça me soule.

Bref sinon, je soupçonne fortement aussi les certificats !!

Je taffe dessus, je recherche sur des forum et on se tiens au courant…

topette

Mah!!! Comme quoi c’est vraiment au compte goutte que les infos sur ce sujet se comptent :ane:

En tous cas matoo7254, que j’utilise PEAP-EAP-TLS ou EAP-TLS tout court ca reviens au meme, j’ai toujours cette succession (double) d’access-request/access-chalenge puis plus rien! :riva:

Sur pcinpact j’ai eu de l’aide de la part d’un membre qui as fait un rapport de stage sur le sujet, mais j’ai beau lire, relire, changer mes params ca reviens toujours au meme :pfff:

A croire qu’il faille TOUT reinstaller pour la n-ieme fois :sweet:

Actuellement je suis passé au SP2, mais ca n’a rien changé :neutre:
Je cherche toujours et te dirai si je trouve le probleme :pt1cable:
En tout cas ca me semble aussi etre un probleme de certificats, mais lequel ? Client ou serveur d’apres toi ? :ane:

A bientot j’espere pour de bonnes nouvelles :whistle:

Oh moins on est deux a travailler là dessus en ce moment !!

Toi c ds quel cadre (stage, projet étude), il te faut réaliser ça pour quand ??

Le tuto du net de supinfo est un peu foireux il manque un truc, après à savoir quoi ??

En ce qui me concerne, ds “l’observateur d’événement” ds la rubrique “système” j’ai en erreur:

“Un message de requête d’accès a été reçu à partir du client RADIUS netgearwag302 avec un attribut de l’authentificateur de message qui n’est pas valide.”

Toi tu as quoi??

Sinon quelques point a regarder:

ton controleur de domaine a bien un seul certificat ??

tu as bien installé le certificat utilisateur et l’autorité de certificat chez le client d’accès ??

dans “service d’authentification internet” tu as bien “inscris le serveur dans active directory” ??

les utilisateurs ont bien l’autorisation d’accès a distance ??

Sinon pourrait tu me faire partager le rappot de stage, histoire que j’y jete un oeil ?

allé bon courage a toi !!