This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WPA2 Enterprize - Radius

Hello,

I have been trying to set up a radius server for the AP10. I have read many docs on radius, but it hasn't clicked yet.

Since I do know what normal looks like, I'm not unsure of my error or errors.
I'm not sure if I'm setting up the windows side correctly I'm using EAP-MS-CHAP-v2 in the radius.
I'm not sure how the client info is used.
I'm not sure how the user info is used.
I'm not sure which attributes to use to make my first connection.
I'm not sure if I need accounting.
I'm not sure how the handshake works...I thought I did?
I'm not sure if I can use a cert created in the UTM to authenticate.

I'm using tekradius with SQL express.
Wireless clients are win7 and vista.

I thought this would be easy, but I'm stuck. 

I humbly ask for any assistance in learning about radius authentication.


This thread was automatically locked due to age.
  • Looking forward to the responses here.  I made one work easily. Now I have two that I'm doing that didn't immediately work. [:S]

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I have it working but I don't recall exactly how I set it up. Will check the config and post here.
    What I do remember is, it worked immediately, without any hassle.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • We're using PEAP-MS-CHAP-v2 (So not EAP, but PEAP)
    Also MPPE 128 bits is configured in Radius server.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • Remember to add the correct nas identifier, you can find all identifiers UTM uses in the SOPHOS knowledgebase.
  • From Live Log: Wireless Protection:
    bssid="is not the mac address of the AP" ... it's close but it's NOT the AP's MAC???

    Wireshark shows:
    AVP: l=24  t=Called-Station-Id(30): bssid mac: password
                Called-Station-Id: bssid mac: password

    So what mac is the bssid?

    Could this be the cause of my problem?

    Must the bssid mac address be listed as an attribute to check?
  • Remember to add the correct nas identifier, you can find all identifiers UTM uses in the SOPHOS knowledgebase.


    Must I set up an UTM internal authentication server and use a wireless identifier? Doesn't the UTM cover that in the Wireless Protection/Global Settings/Advanced tab.

    If I try to set up a server on the backend, when I get to "NAS identifier: Select the appropriate NASNetwork Access Server identifier from the list. For more information see the Note and the table below"

    Wireless Access Points NAS ID is the wireless network name. 

    The wireless network name is not found it the drop down menu.
  • The wireless network name is not found it the drop down menu. 

    What server are you trying to configure, Jim?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • The nas identifier must be added at the Radius server (not somewhere on UTM). UTM uses that when talking to the Radius server and it may also be used for accounting purposes.

    The bssid ist derived from the APs MAC address, but it's not the same. Each ssid on an AP has a different bssid.
  • Hi Bob,

    TekRadius. It's a windows based Radius server. I'm currently using the free version.

    Hi Troll,

    Wireshark indicates the radius and the UTM are conversing fine.

    I'm trying to get TekRadius to auto-detect the 1024 cert created with TekCERT. The auto-detected cert is used for the "value" in the attribute Check "TLS-Server_Cetificate". So far I have been unsuccessful with this attribute. The developer is looking into the problem.

    still working on it...
  • After a few days of effort, and a couple of new releases of the free version of TekRadius (4.8 is working great), the radius server is authenticating.

    I am trying various attributes of the radius server to lock down the wireless authentication process even more. 

    I will also try to use a certificate created with the UTM instead of the certificate created by TekCERT. TekCERT is a program created by the author of TekRadius in order to create certificates that TekRadius will see as an attribute "value" of TLS-Server-Certificate. It does has an import ability, but it has not been verify as fully functional yet.

    Later...