Wi-Fi 802.1X + WPA-TKIP + EAP-TLS : problème d?association et authentification clients

Réseaux & telecom
1

Bonjour,

Dans un projet de déploiement d’un réseau Wifi centralisé, j’ai mit en place un contrôleur sans-fil Cisco 2106 et deux points d’accès légers Cisco 1131AG. Pour une question de sécurité, un serveur Radius (service Microsoft sur le DC 2003 du site) a été déployé de façon a assurer une connexion par 802.1X, avec un chiffrement WPA-TKIP et une gestion de l’authentification par EAP-TLS.
De ce fait, des certificats ont été générés et déployés sur les 8 clients Wifi (qui tourne sous Windows XP) qui nécessitent cette connexion.
Le contrôleur sans-fil Cisco 2106 est correctement configuré et les points d’accès diffusent correctement le WLAN.

Cependant, les clients ont régulièrement des problèmes de connectivité :

  • côté contrôleur Wifi, leur statut est en “probing”, ils n’arrivent pas à s’associer à un des deux points d’accès et effectuent cette action en boucle
  • côté client Windows XP, l’icône de notification de connexion affiche toujours “connecté” quoiqu’il se passe

Il arrive aussi parfois qu’un client s’associe, mais ne valide pas la phase d’authentification (statut associated, Auth=No).

Le problème est réglé lorsque l’on redémarre le client XP. Il se reconnecte alors correctement et automatiquement sur le WLAN, s’associe sans difficultés et est également correctement authentifié.

Bien évidemment, ces clients nécessitent d’être allumés et connectés H24 et il n’est pas possible de les câbler en RJ45 sur le LAN. De plus, ils se trouvent dans un service difficilement accessible au quotidien, nous ne pouvons donc pas les redémarrer aisément. Nous aimerions donc trouver une solution pour pallier à ce problème.

Précisions supplémentaires :

  • clients : clé USB Wi-Fi Hercules; gestionnaire de réseaux sans-fil intégré à Windows XP pour effectuer la connexion; configuration IP dynamique;
  • serveur DNS & DHCP OK : plage d’adresse réservée pour les clients, adressage IP par baux illimités selon les adresses MAC des clients
  • service RADIUS OK : autorisations pour les points d’accès légers et le contrôleur OK, certificats clients OK.
  • contrôleur sans-fil OK : interfaces correctement configurées, serveur DHCP OK, secret RADIUS OK, …

Donc le problème doit venir des clients très certainement, car je ne vois pas de raison à ce que les points d’accès ou le contrôleur ne retransmettent pas, par moment, les trames liées à l’authentification. D’autant plus que la phase d’association, avant l’authentification, a beaucoup de ratés.

Merci pour votre aide et vos lumières!

P.S : si je modifie le WLAN en WLAN open sans cryptage ni authentification les clients ont toujorus le même comportement et ne s’associent pas à moins d’un redémarrage.
Edité le 30/03/2011 à 11:16

2

sans avoir eu le matos entre les main difficile de t’aider,

tu as l’air convaincu que le probleme viens des postes clients,

tu as essayé de rentrer manuellement le ssid sur un client windows et spécifier les parametres 802.1x,le certificat à utiliser spécifier que tu authentifie le serveur etc… ?

ou tu te contente de détecter les réseau et double cliquer?

c’est juste un test, mais franchement n’ayant pas ce matos je pourrai pas t’aider plus que ca, tente plutot sur les forum cisco :wink:

tiens nous au jus quand meme :stuck_out_tongue:

3

Bonjour,

Et bien, le réseau WLAN est configuré sur les clients XP, de façon à ce qu’il se connectent automatiquement lorsqu’ils sont à portée. Donc ils sont paramétrés en WPA-TKIP + 802.1X - certificats / carte à puce, et le certificat est spécifié également.
Hier après-midi, je suis allée redémarrer les machines clientes et j’ai configurer leur carte réseau pour un adressage manuel. De cette manière, plus de DHCP Request/Reply.
Lorsque j’ai fait cette manipulation, les clients se sont automatiquement connectés à mon WLAN avant même que je ne les redémarre.

Donc j’attend de voir si ça reste stable ou non, mais ça ne m’explique pas d’où provient le problème puisqu’il n’est pas systématique et que le WLC et mes AP fonctionnent bien… :confused:

Aussi, j’ai coupé le second AP donc un seul rayonne sur la zone couverte par le WLAN. Je pense attendre 48H pour tester la stabilité des clients sur un AP, puis je ré-activerais l’interface 802.11b/g du second. Qui sait, peut-être que les clients ne s’y retrouvent plus :stuck_out_tongue:

4

Bonjour,

Très bonne stabilité des clients depuis que leurs adresses ont été configurées manuellement.
Cependant, je n’ai pas trouvé de réponse au problème initial, ce qui m’ennuie. En effet, le fait que les machines soient configurées manuellement, et non plus gérées par le DHCP implique que nous devrons faire des modifications sur les machines en cas de besoin. La centralisation était un plus non négligeable…

Aussi, cette nuit nous avons relevé quelques erreurs liées au RADIUS sans savoir pourquoi elles étaient apparues :

	Fri Apr 1 05:46:37 2011	RADIUS server 192.168.10.10:1645 activated on WLAN 1
147	Fri Apr 1 05:46:37 2011	RADIUS server 192.168.10.9:1647 deactivated on WLAN 1
148	Fri Apr 1 05:46:37 2011	RADIUS server 192.168.10.9:1647 failed to respond to request (ID 0) for client e0:91:f5:xx:xx:xx / user 'unknown'
149	Fri Apr 1 05:46:25 2011	RADIUS server 192.168.10.9:1647 activated on WLAN 1
150	Fri Apr 1 05:46:25 2011	RADIUS server 192.168.10.10:1645 deactivated on WLAN 1
151	Fri Apr 1 05:46:25 2011	RADIUS server 192.168.10.10:1645 failed to respond to request (ID 102) for client e0:91:f5:xx:xx:xx / user 'unknown

Ces erreurs sont apparus en boucle pendant 5 minutes et concernaient surtout un client, mais les 7 autres ont également eu le même message d’erreur (une seule fois cependant). Dans notre architecture réseau, notre service RADIUS est fonctionnel sur les deux Controleur de Domaine du site de façon a ce que l’on ait un relais en cas de défaillance. Le WLC a donc fait le changement tout seul à la détection d’une erreur.
Impossible de trouver la cause de ce dysfonctionnement, je pensais que cela était dû au changement d’AP pour les clients (selon le signal délivré). Donc les clients auraient renvoyés leurs informations d’identification au serveur RADIUS, mais ce dernier n’aurait pas répondu car le login n’est pas valable (‘unknown’ ne renvoie à rien chez nous, et ne correspond pas au login paramétré sur les clients !!!).
Je n’ai pas de logs plus détaillés donc je ne peux pas vérifier ce processus aux heures indiquées… Mystère…

J’aimerais passer ce WLAN en production la semaine prochaine, donc si tout pouvait fonctionner sans surprise, ce serait bien … :frowning:
Edité le 01/04/2011 à 11:53

5

Bonjour,

Je relance mon sujet ayant de nouveaux besoins, dans la continuité de cette mise en place.
Pour l’instant, les clients wifi utilisent un profil utilisateur local du fait que la connexion sans-fil se fasse après l’ouverture de session… Je souhaite que l’association au point d’accès ainsi que l’authentification se fasse AVANT l’ouverture de session (qui se doit d’être automatique). Je peux déployer cela par GPO sans soucis, mais j’aimerais éviter d’aller effectuer des manipulations sur les machines, donc je dois faire mes modifications à distance.

De ce fait, j’aimerais savoir comment procéder à partir du compte utilisateur local (le même pour les 8 clients) pour déployer cette configuration ? Les clients doivent démarrer et ouvrir une session automatiquement à l’aide d’un compte de l’AD (le même pour les 8 clients) et non plus un compte local.
Le challenge étant que je n’ai pas les machines sous la main, donc il faut effectuer toute la configuration depuis un compte utilisateur local sur chacune des machines, puisqu’il s’agit du seul où il y a une configuration wifi fonctionnelle ^^’

Merci pour vos pistes!

6

Bonjour,

Après avoir voulu supprimer d’anciens certificats sur le Radius et les clients, de manière à faire le ménage et n’utiliser que des certificats valides, nous nous retrouvons avec l’impossibilité de connecter les clients, nous avons toujours un “user ‘unknown’” sans savoir d’où cela vient…
La session utilisateur est la bonne et le login/mdp n’a pas été modifié. Les certificats d’autorité sont toujours les mêmes, et les certificats utilisateurs sont bien distribués pour le bon compte utilisateur… :frowning:

Les deux serveurs RADIUS rejettent automatiquement les demandes d’authentification à cause du compte utilisateur ‘unknown’ qui a l’air d’être transmit à la place du compte usuel… Si quelqu’un a une idée de la provenance du problème … ?

Merci.

7

Bonjour,

Le problème n’est toujours pas réglé. Pour le moment j’ai pu reconnecter mes clients en décochant “valider le certificat du serveur” dans les options de la connexion sans-fil. Cependant, ce n’est pas du tout ce que je souhaitais faire…
Des pistes… ?

8

Bonjour,

Ce que je vois c’est que vous avez plusieurs pb sur cette configuration. Vous avez eu raison de faire le ménage dans vos certificats car à un momment on ne sait plus qui fait quoi et cela devient difficile. Pour votre configuration vous avez 2 niveaux d’athentification. Niveau 1 authentification du poste et niveau 2 authentification de l’utilisateur. A moins que cela soit demandé ce n’est peut-être pas utile, un seul suffit (voir mot clé netsh lan export sur Google). A votre place je commencerai au plus simple niveau d’EAP TLS, c’est à dire par une connexion filaire sur un pc de test. Cela vous permet de valider la distribution de vos certificats (si vous gardez les 2 niveaux d’authentification), de valider le fonctionnement de votre stratégie de connexion depuis votre serveur Radius et enfin de valider la configuration de votre commutateur Cisco. C’est d’ailleurs sur ce dernier que vous allez pouvoir configurer la distribution automatique des adresses IP celui-ci doit pouvoir faire du DHCP relay. Vérifiez vos log Radius sur le serveur et sur le commutateur Cisco.
MP