RADIUS Authentifizierung für WLAN via Site2Site VPN

Hallo zusammen,

 

ich habe aktuell ein Problem mit der Anmeldung am WLAN mittels RADIUS.

Der RADIUS Server steht an Standort A, an diesem Standort funktioniert die Anmeldung im WLAN auch ohne Probleme. Hier haben wir zwei SG330 Firewalls mit der FW 9.5.X im Einsatz

Nun haben wir vor kurzen einen Standort B dazu bekommen. Hier haben wir zwei SG210 Firewalls, ebenfalls FW Version 9.5.X.

 

Angebunden ist der Standort B via Site2Site VPN (SSL). Von dem Standoirt kommt man auf alle Systeme am Standort A, also alles gut soweit.

Den RADIUS Server habe ich in der Firewall auch eingetragen. Der Test ist auch erfolgreich. Auf dem RADIUS Server habe ich einen weiteren Client hinzugefügt, analog zu dem am Standort A, nur eben mit der IP Adresse der Firewall am Standort B.

Wenn ich mich nun aber mit einem Client am Standort B versuche, mich mit dem WLAN zu verbinden (selbe SSID wie an Standort A, selbes VLAN etc.), scheitert dies.

Windows rödelt vor sich hin und zeigt nur an "Netzwerkanforderungen werden geprüft". Mehr passiert nicht.

 

 

Kann das Problem mit dem VPN Tunnel zu tun haben? 

Muss ich am RADIUS Server beim Client die öffentliche IP Adresse des Standorts B eintragen? 

 

 

Danke im Voraus für eure Antworten! 

  • Hallo Philipp,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    Is the WLAN in Standort B managed by the SG 330s in Standort A or by the SG 210s in Standort B?  Please show us pictures of the Edit(s) of the Wireless Network definition(s).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    WLAN am Standort B wird von der Firewall vor Ort gemanaged, also von den SG210.

     

     

    MfG

    Philipp

  • In reply to Philipp Rückert:

    Did you create a SNAT rule?

    Note – When your RADIUS server is connected to Sophos UTM via an IPsec tunnel, you have to configure an additional SNAT rule to ensure that the communication works correctly. On the Network Protection > NAT > NAT tab, add the following SNAT rule: For traffic from the APs' network(s), using service RADIUS, and going to the RADIUS server, replace the source address with the IP address of Sophos UTM used to reach the RADIUS server.

  • In reply to LuCar Toni:

    Is it also necessary when a SSL tunnel is configured? 

    Do i have to use the External Interface's IP address as source address? 

  • Also ich habe eine SNAT Regel angelegt, wie oben beschrieben, aber das Problem besteht leider noch immer.

     

    Hat noch jemand vielleicht eine Idee? 

  • In reply to Philipp Rückert:

    Moin, ich bin gerade im Sophos Support mit dem Thema.

     

    Wir haben dasselbe Problem - für IPSec Tunnel kann man die SNAT anwenden, indem man unter Erweitert die Regel auch auf IPSec-Pakete anwendet.

    Für SSL haben wir noch keine Lösung gefunden - mal sehen was der Support dazu sagt.

    Ich fürchte fast, dass SNAT hier gar nicht greift und wir die Tunnel auf IPSec umstellen müssen...

  • In reply to RobinWe:

    Oh voll gut, lass mich bitte wissen, was der Support sagt und ob es bei dir funktioniert.

     

    Danke! :)