configuration radius win2003 et AP cisco 1200 Résolu/Fermé

Question

Bonjour,

Dans le cadre d'un projet, je cherche à mettre en place une infrastructure sans fil (serveur 2003 dhcp+radius avec 2 points d'accès cisco 1200 et 1 client xp) dans le but de configurer WDS et fast secure roaming.

Pour l'instant je voudrai juste configurer un point d'accès avec authentification 802.1X sans WEP ou WPA et le serveur radius.
Mon problème est que l'authentification échoue à chaque fois.

voici le serveur
[img]http://imageshack.com/f/4zsanstitrepj5j[/img]

et la configuration du point d'accès :

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MobileIP_1
!
enable secret 5 $1$B4fT$glBSCTd4t.FUqAi2VVK91.
!
username Cisco password 7 072C285F4D06
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid MobileIP
   authentication open eap eap_methods
   guest-mode
!
!
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 shutdown
 short-slot-time
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
 no dot11 extension aironet
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 ssid MobileIP
 !
 speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
 power local -1
 power client 2
 station-role root
 mobile station period 10 threshold 70
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address dhcp client-id FastEthernet0
 no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
logging snmp-trap emergencies
logging snmp-trap alerts
logging snmp-trap critical
logging snmp-trap errors
logging snmp-trap warnings
snmp-server community private RW
snmp-server enable traps tty
radius-server local
  no authentication eapfast
  no authentication leap
  no authentication mac
!
radius-server attribute 32 include-in-access-req format %h
radius-server host 10.0.0.100 auth-port 1645 acct-port 1646 key 7 02040B5501091A33
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip


s'agit-il d'un problème de configuration du point d'accès? ou d'un problème de certificats entre le radius et le client?

merci de votre aide.

brupala · Answer

salut,
déjà:
nterface Dot11Radio0
no ip address
no ip route-cache
shutdown

c'est normal ?
sinon, à ce que je vois, tu utilises MS-CHAPV2 pour l'authentification, donc à priori juste un certificat serveur, pas de certificat client.
voir: https://2003.jres.org/actes/paper.143.pdf

sys_ · Answer

L'interface  Dot11Radio0  est en "shutdown" parce qu'on n'utilise pas 802.11g pour éviter toute interférence avec le réseau existant.

Pour ce qui est de ton lien, merci bien : je vais consulter ça et voir ce que je peux en tirer. 

Quelqu'un d'autre à une idée ??

seb-pcman · Answer

Si tu veux utilisé EAP-TLS comme protocole d'authentification ya un bon tuto sur http://www.wifiradis.net/doc/eap/eap-tls.htm .

Ca fonctionne tres bien

vulpol · Answer

Salut sys_,

Si ton interface Dot11Radio0 est down, c'est que tu dois utiliser radius pour gérer tes connexions filaires?
Si c'est le cas, il ne faut pas restreindre ton serveur 2003 à n'autoriser que les clients sans fil & 802.11i, et vérifier que les utilisateurs de cette connexion sont paramétrer correctement au niveau de leur profil dans l'AD (onglet "Appel entrant"/"Autorisation d'accès distant").

Lolita · Answer

Bonjour, 
Je suis actuellement en stage dans le cadre d'un bts ig ARLE à TAHITI et on me demande de mettre en place une plateforme WIFI 802.11b/g/i pour le bâtiment de mon entreprise ayant une authentification distante de type « entreprise » (serveur d’authentification RADIUS).
J'ai suivis le tuto pour la configuration du eap-TLS mais mon problème vient plutot de la configuration du routeur. En effet celui-ci est un Cisco Aironet 1240 series et je viens à peine de toucher à se langage là!!
Voila le peu que j'ai réussi à faire(à l'aveugléte lol):

! 
enable password 7 021201481F545F711B                                    
! 
clock timezone HST -10                      
ip subnet-zero              
! 
! 
aaa new-model             
! 
! 
aaa authentication banner ^C Bienvenue veuillez vous identifier !! ^C                                                                     
aaa authentication fail-message ^C failed login !!! ^C                                                      
aaa authentication password-prompt MotDePasse:                                              
aaa authentication username-prompt Utilisateur                                             
aaa authentication login default group radius local                                                   
aaa authentication dot1x default group radius local                                                   
aaa authentication eou default group radius local                                                 
aaa authorization network default group radius local                                                    
aaa accounting network default start-stop group radius                                                      
aaa session-id common                     
! 
dot11 ssid Tahiti Nui Travel                            
   authentication open                      
   authentication key-management wpa                                    
   wpa-psk ascii 7 1110185C12532E1E11                                     
! 
power inline negotiation prestandard source                                           
! 
! 
username cisco password 7 1403171818567A7B73                                            
! 
bridge irb          
! 
! 
interface Dot11Radio0                     
 no ip address              
 no ip route-cache                  
 !  
 encryption mode ciphers aes-ccm                                
 !  
 ssid Tahiti Nui Travel                       
 !  
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0                                                                                
 54.0     
 station-role root access-point                               
 infrastructure-client                      
 bridge-group 1               
 bridge-group 1 subscriber-loop-control                                       
 bridge-group 1 block-unknown-source                                    
 no bridge-group 1 source-learning                                  
 no bridge-group 1 unicast-flooding                                   
 bridge-group 1 spanning-disabled                                 
! 
interface FastEthernet0                       
 no ip address              
 no ip route-cach               
 duplex auto            
 speed auto           
 bridge-group 1               
 no bridge-group 1 source-learning                                  
 bridge-group 1 spanning-disabled                                 
 hold-queue 160 in                  
! 
interface BVI1              
 ip address 172.16.1.41 255.255.0.0                                   
 no ip route-cache                  
! 
ip default-gateway 172.16.1.1                             
no ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag

!
radius-server host 172.17.10.23 auth-port 1812 acct-port 1813
radius-server key 7 095E4F0D0A0014000E1844
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
 password 7 120D000406
line vty 0 4
 password 7 051F031C351E1E594E
!
sntp server 172.16.10.21
sntp server 172.16.10.22
end


Si vous pouviez me donner des explications et des changements à faire cela serait très gentil!!!
Merci

louloux112 · Answer

Bonjour à tous,

Je suis actuellement en train de configurer un réseau WIFI qui sera rattachée pour la sécurité à un serveur RADIUS.

Mon problème est que lorsque je me connècte sur le WIFI avec un PC, le serveur RADIUS me donne un certificat mais après seulement quelques secondes de connection sa se déconnecte et je ne comprends pas pourquoi cela se déconnecte ?

Si vous avez déjà eu le cas merci de me faire part de vos impressions sur le pb

Merci

jeremmmm · Answer

J'ai le meme probleme que toi louloux112, as tu trouvé une solution?

ichouci · Answer

Bonjour a tous,
Je recherche des documents en français sur CISCO: switching & routing, wireless and security. Je prépare des certificats mais j’ai seulement des documents en anglais qui me rendre la compréhension un peu difficile.
Merci de m’aide bien a vous

Configuration radius win2003 et AP cisco 1200

8 réponses

Discussions similaires