This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RADIUS Authentifizierung für WLAN via Site2Site VPN

Hallo zusammen,

ich habe aktuell ein Problem mit der Anmeldung am WLAN mittels RADIUS.

Der RADIUS Server steht an Standort A, an diesem Standort funktioniert die Anmeldung im WLAN auch ohne Probleme. Hier haben wir zwei SG330 Firewalls mit der FW 9.5.X im Einsatz

Nun haben wir vor kurzen einen Standort B dazu bekommen. Hier haben wir zwei SG210 Firewalls, ebenfalls FW Version 9.5.X.

Angebunden ist der Standort B via Site2Site VPN (SSL). Von dem Standoirt kommt man auf alle Systeme am Standort A, also alles gut soweit.

Den RADIUS Server habe ich in der Firewall auch eingetragen. Der Test ist auch erfolgreich. Auf dem RADIUS Server habe ich einen weiteren Client hinzugefügt, analog zu dem am Standort A, nur eben mit der IP Adresse der Firewall am Standort B.

Wenn ich mich nun aber mit einem Client am Standort B versuche, mich mit dem WLAN zu verbinden (selbe SSID wie an Standort A, selbes VLAN etc.), scheitert dies.

Windows rödelt vor sich hin und zeigt nur an "Netzwerkanforderungen werden geprüft". Mehr passiert nicht.

Kann das Problem mit dem VPN Tunnel zu tun haben?

Muss ich am RADIUS Server beim Client die öffentliche IP Adresse des Standorts B eintragen?

Danke im Voraus für eure Antworten!

This thread was automatically locked due to age.

0 BAlfson over 4 years ago

Hallo Philipp,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

Is the WLAN in Standort B managed by the SG 330s in Standort A or by the SG 210s in Standort B? Please show us pictures of the Edit(s) of the Wireless Network definition(s).

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel
0 Philipp Rückert over 4 years ago in reply to BAlfson

WLAN am Standort B wird von der Firewall vor Ort gemanaged, also von den SG210.

MfG

Philipp
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 4 years ago in reply to Philipp Rückert

Did you create a SNAT rule?

Note – When your RADIUS server is connected to Sophos UTM via an IPsec tunnel, you have to configure an additional SNAT rule to ensure that the communication works correctly. On the Network Protection > NAT > NAT tab, add the following SNAT rule: For traffic from the APs' network(s), using service RADIUS, and going to the RADIUS server, replace the source address with the IP address of Sophos UTM used to reach the RADIUS server.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel
0 Philipp Rückert over 4 years ago in reply to LuCar Toni

Is it also necessary when a SSL tunnel is configured?

Do i have to use the External Interface's IP address as source address?
Cancel
Vote Up 0 Vote Down

Cancel
0 Philipp Rückert over 4 years ago

Also ich habe eine SNAT Regel angelegt, wie oben beschrieben, aber das Problem besteht leider noch immer.

Hat noch jemand vielleicht eine Idee?
Cancel
Vote Up 0 Vote Down

Cancel
0 RobinWe over 4 years ago in reply to Philipp Rückert

Moin, ich bin gerade im Sophos Support mit dem Thema.

Wir haben dasselbe Problem - für IPSec Tunnel kann man die SNAT anwenden, indem man unter Erweitert die Regel auch auf IPSec-Pakete anwendet.

Für SSL haben wir noch keine Lösung gefunden - mal sehen was der Support dazu sagt.

Ich fürchte fast, dass SNAT hier gar nicht greift und wir die Tunnel auf IPSec umstellen müssen...
Cancel
Vote Up 0 Vote Down

Cancel
0 Philipp Rückert over 4 years ago in reply to RobinWe

Oh voll gut, lass mich bitte wissen, was der Support sagt und ob es bei dir funktioniert.

Danke! :)
Cancel
Vote Up 0 Vote Down

Cancel
0 Philipp Rückert over 4 years ago in reply to RobinWe

Moin Robin,

hast du schon etwas vom Support gehört?

MfG
Cancel
Vote Up 0 Vote Down

Cancel
0 RobinWe over 4 years ago in reply to Philipp Rückert

Moin Philipp,

wir sind immernoch an der Thematik dran.

Der Support kommt leider gar nicht in die Puschen.
Cancel
Vote Up 0 Vote Down

Cancel
0 LuCar Toni over 4 years ago in reply to RobinWe

existieren eigentlich ESP Dumps und Tcpdump von dieser Verbindung?
Dort sollte man doch eigentlich alles sehen.

__________________________________________________________________________________________________________________
Cancel
Vote Up 0 Vote Down

Cancel