This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN Radius (NPS) authentication fails (since upgrade to UTM 9)

Hi,

since the upgrade to UTM 9 (9.004-34) (HA Mode) we are experincing some problems with our WLAN authentication. 
There is a RADIUS server set up (Windows Server 2008R2, NPS Server, configured as described in the Sophos KB), which worked fine with our devices running V8.***. Since the upgrade to UTM none of the clients is able to connect to the wireless network using WPA2 Enterprise (WPA2 PSK works fine). Nothing was changed on the RADIUS server side and the configuration/shared key, etc was double checked. There are no errors in the NPS log, but the Sophos wireless log shows the authentication process.
 
The error showing up is the following:
802.1X: authentication failed - EAP type: 0 ((null))
802.1X: Supplicant used different EAP type: 1 (Identity)

The part of the logfile showing the error message is attached.


Any ideas?

Thanks.


This thread was automatically locked due to age.
Parents
  • We were on 9.005-16.1 and radius worked fine. I applied the recent up2date to 9.006-5 and now our Windows 7 clients fail authentication while our XP clients work using the same credentials.
  • I'm having a very similar issue, I have the latest version of UTM 9, a Sophos AP 50 setup to use radius authentication to a Windows 2008 R2 server with NPS running. I get a connection to the wireless network, but I am not getting an IP address, looking at the DHCP log it appears the DHCP offer is being made but the wireless computer never gets the address assigned.
Reply
  • I'm having a very similar issue, I have the latest version of UTM 9, a Sophos AP 50 setup to use radius authentication to a Windows 2008 R2 server with NPS running. I get a connection to the wireless network, but I am not getting an IP address, looking at the DHCP log it appears the DHCP offer is being made but the wireless computer never gets the address assigned.
Children
  • 2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Received 175 bytes from RADIUS server
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: using EAP timeout of 60 seconds (from RADIUS)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=1 id=9 len=91) from RADIUS server: EAP-Request-(null) (25)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 9)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=9 len=43) from STA: EAP Response-(null) (25)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Received 191 bytes from RADIUS server
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: using EAP timeout of 30 seconds (from RADIUS)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=1 id=11 len=107) from RADIUS server: EAP-Request-(null) (25)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 11)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=11 len=107) from STA: EAP Response-(null) (25)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Received 329 bytes from RADIUS server
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.01 sec
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=3 id=11 len=4) from RADIUS server: EAP Success
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 11)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: authorizing port
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: starting accounting session 525563AD-0000006A
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: authenticated - EAP type: 25 ((null))
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: Added PMKSA cache entry (IEEE 802.1X)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 1/4 msg of 4-Way Handshake
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: received EAPOL-Key frame (2/4 Pairwise)
    2013:10:11-16:36:56 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: invalid MIC in msg 2/4 of 4-Way Handshake
    2013:10:11-16:36:57 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: EAPOL-Key timeout
    2013:10:11-16:36:57 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 1/4 msg of 4-Way Handshake
    2013:10:11-16:36:57 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: received EAPOL-Key frame (2/4 Pairwise)
    2013:10:11-16:36:57 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 3/4 msg of 4-Way Handshake
    2013:10:11-16:36:57 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: EAPOL-Key timeout
    2013:10:11-16:36:57 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 3/4 msg of 4-Way Handshake
    2013:10:11-16:36:58 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: EAPOL-Key timeout
    2013:10:11-16:36:58 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 3/4 msg of 4-Way Handshake
    2013:10:11-16:36:59 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: EAPOL-Key timeout
    2013:10:11-16:36:59 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 3/4 msg of 4-Way Handshake
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: EAPOL-Key timeout
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: PTKINITNEGOTIATING: Retry limit 4 reached
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: event 3 notification
    2013:10:11-16:37:00 ap-50 awelogger[2842]: id="4105" severity="info" sys="System" sub="WiFi" name="STA WPA failure" ssid="House" ssid_id="WLAN3.1" bssid="00:1a:8c:3b:24:e8" sta="c8:bc:c8:f4:83:1c" reason_code="2"
    2013:10:11-16:37:00 ap-50 awelogger[2842]: id="4102" severity="info" sys="System" sub="WiFi" name="STA disconnected" ssid="House" ssid_id="WLAN3.1" bssid="00:1a:8c:3b:24:e8" sta="c8:bc:c8:f4:83:1c"
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-DEAUTHENTICATE.indication(c8:bc:c8:f4:83:1c, 2)
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-DELETEKEYS.request(c8:bc:c8:f4:83:1c)
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: event 3 notification
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.11: deauthenticated
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-DEAUTHENTICATE.indication(c8:bc:c8:f4:83:1c, 7)
    2013:10:11-16:37:00 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-DELETEKEYS.request(c8:bc:c8:f4:83:1c)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.11: authentication OK (open system)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-AUTHENTICATE.indication(c8:bc:c8:f4:83:1c, OPEN_SYSTEM)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-DELETEKEYS.request(c8:bc:c8:f4:83:1c)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.11: authenticated
    2013:10:11-16:37:03 ap-50 awelogger[2842]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="House" ssid_id="WLAN3.1" bssid="00:1a:8c:3b:24:e8" sta="c8:bc:c8:f4:83:1c" status_code="0"
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.11: association OK (aid 1)
    2013:10:11-16:37:03 ap-50 awelogger[2842]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="House" ssid_id="WLAN3.1" bssid="00:1a:8c:3b:24:e8" sta="c8:bc:c8:f4:83:1c" status_code="0"
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.11: associated (aid 1)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-REASSOCIATE.indication(c8:bc:c8:f4:83:1c)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c MLME: MLME-DELETEKEYS.request(c8:bc:c8:f4:83:1c)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: event 1 notification
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: start authentication
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: start authentication
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: unauthorizing port
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 48)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=48 len=29) from STA: EAP Response-Identity (1)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: STA identity 'host/basement-PC.dog.loc'
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received 120 bytes from RADIUS server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: using EAP timeout of 60 seconds (from RADIUS)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=1 id=49 len=36) from RADIUS server: EAP-Request-(null) (26)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 49)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=49 len=6) from STA: EAP Response-(null) (3)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received 90 bytes from RADIUS server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: using EAP timeout of 30 seconds (from RADIUS)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=1 id=50 len=6) from RADIUS server: EAP-Request-(null) (25)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 50)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=50 len=137) from STA: EAP Response-(null) (25)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received 239 bytes from RADIUS server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: using EAP timeout of 30 seconds (from RADIUS)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=1 id=51 len=155) from RADIUS server: EAP-Request-(null) (25)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 51)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=51 len=69) from STA: EAP Response-(null) (25)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received 191 bytes from RADIUS server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: using EAP timeout of 30 seconds (from RADIUS)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=1 id=54 len=107) from RADIUS server: EAP-Request-(null) (25)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 54)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: received EAP packet (code=2 id=54 len=107) from STA: EAP Response-(null) (25)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Sending RADIUS message to authentication server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Next RADIUS client retransmit in 3 seconds
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received 329 bytes from RADIUS server
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: RADIUS Received RADIUS message
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: decapsulated EAP packet (code=3 id=54 len=4) from RADIUS server: EAP Success
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: Sending EAP Packet (identifier 54)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 1/4 msg of 4-Way Handshake
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: received EAPOL-Key frame (2/4 Pairwise)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: sending 3/4 msg of 4-Way Handshake
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: received EAPOL-Key frame (4/4 Pairwise)
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: pairwise key handshake completed (RSN)
    2013:10:11-16:37:03 ap-50 awelogger[2842]: id="4101" severity="info" sys="System" sub="WiFi" name="STA connected" ssid="House" ssid_id="WLAN3.1" bssid="00:1a:8c:3b:24:e8" sta="c8:bc:c8:f4:83:1c"
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: authorizing port
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c RADIUS: starting accounting session 525563AD-0000006B
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c IEEE 802.1X: authenticated - EAP type: 25 ((null))
    2013:10:11-16:37:03 ap-50 hostapd: wlan8: STA c8:bc:c8:f4:83:1c WPA: Added PMKSA cache entry (IEEE 802.1X)