iT邦幫忙

0

Fortigate加FortiAP對微軟AD與Radius認證問題

環境:

  1. Win Server 2008 R2的AD
  2. Win Server 2008 R2的NPS
  3. Fortigate 40C (os 5)
  4. FortiAP,有開一個SID與Fortigate用Local bridge連接,另一個SID用Tunnel

問題在於,我想要讓WiFi其中一個SID與LAN使用同網段,因此使用Local Bridge連接,設定Security Mode時,因為要跟AD做認證所以使用WPA/WPA2-Enterprise

但Radius認證的地方一直過不去,我查NPS主機上的Log,出現【無法驗證用戶端,因為伺服器無法處理可延伸的驗證通訊協定eap類型】,錯誤代碼為6273與6274

NPS主機上我是使用【802.1X無線或有線連線的RADIUS】設定
RADIUS客戶端使設定為FortiAP的IP位置,廠商為RADIUS Stardand
其餘都是按照預設值

因為Tunnel那個SID使用LDAP跟AD做認證沒問題,所以AD設定應該ok
現在不確定問題出在哪邊

請問是我哪邊設定有錯嗎? 有需要額外資訊請說明,我再提供
感謝~

2 個回答

0
門神JanusLin
iT邦超人 1 級 ‧ 2014-07-30 08:18:21
最佳解答
看更多先前的回應...收起先前的回應...
darkhsu iT邦新手 5 級 ‧ 2014-08-07 16:31:33 檢舉

Hello januslin,

抱歉,最近忙到翻掉,沒時間玩Fortigate

感謝~ 我的確沒裝Root CA
我抽空照著做了一下,但還是有問題,後來只用一台server:AD+CA+NPS,想說會不會過,但還是失敗
此文章是使用FortiWifi,但我是Fortigate+FortiAP,我不確定這樣會不會有問題
但Radious認證還是過不去

最近沒時間,回應慢請包涵

Client也要匯入CA

darkhsu iT邦新手 5 級 ‧ 2014-08-11 16:16:07 檢舉

Hello januslin,

您說的Client是指我的無線用戶端嗎?
那如果是用手機或是非加入網域的電腦呢? 也是要另外匯? @@

darkhsu提到:
您說的Client是指我的無線用戶端嗎?
那如果是用手機或是非加入網域的電腦呢? 也是要另外匯? @@

Yes
因為你的是PEAP或是EAP-TLS
不是captive portal

darkhsu iT邦新手 5 級 ‧ 2014-08-18 13:55:29 檢舉

Hello januslin,

那請教一下,若我希望WiFi一個SID要跟LAN使用同一個IP網段,我是否還有別的方式?
我現在Local Brigade+Radius會卡關,我想說有沒有別的方式可以嘗試

不太懂你的意思
"一個SID要跟LAN使用同一個IP網段"
我看的意思像是同一區段
AP 模式接上去不就好了嗎 ?

darkhsu iT邦新手 5 級 ‧ 2014-09-16 09:22:46 檢舉

抱歉,之前在實際環境實作後發現
先不考慮RADIUS的話,若要達成WPA2-Enterprise + Local Group,Win電腦需要調整WiFI Profile設定
之後一直沒時間玩WPA2-Enterprise + RADIUS
先這樣吧,感謝各位的幫助,但我目前認同應該是CA的問題,只是實在沒時間測了.... >"<

0
mytiny
iT邦大師 2 級 ‧ 2014-07-29 21:45:57

在Forti的無線網路裡
建議您採用無線歸無線,認證歸認證的處理方式
意即:無線通訊的安全可採用WEP到WAP2的加密方式
然後在防火牆的政策裡設定與AD,LDAP認證
你會比較好處理,一樣也很安全
未必非用WPA/WPA2-Enterprise加密認證

另外,Forti無線的最大好處不僅僅是ThinAP無線網路而已
最優是可以結合原本UTM等多功能性的資安
包括無線網路的應用程式管控,網頁過濾,流量管理及**"訪客管理系統"**
這些A,C,H,J,R等等國外廠牌可所費不貲呢
FG-40C很多功能不具備或沒有GUI可以操作
建議下次評估時可以購買型號大一點
會有比較好的效能表現

darkhsu iT邦新手 5 級 ‧ 2014-08-07 16:26:29 檢舉

Hello mytiny,

我希望是可以在連線前先做驗證,不然這樣很容易造成多餘的連線(即使哪邊都去不了),反而不安全
而且我這個SID與LAN是做Local bridge,所以WiFi取得的IP = Lan所取得的IP,您這招就不work啦~ XD

另外,
我是建議用FG-80的,but.....you know...

mytiny iT邦大師 2 級 ‧ 2014-08-10 10:51:53 檢舉

如果要安全,在Fortinet無線網路的環境下
記得一定要用Tunnel模式
如果想要較好的傳輸效率,則改用Local Bridge

在企業環境中,兩者搭配使用,妙用無窮
甚至分公司的無線網路也會因此而有絕佳的使用經驗
這點使它有別於A,C,J,R等等國外廠牌

話說回來,如果AD真是不能支援
解決IP發放的問題只好用DHCP Server中IP的時間限制解決
擔心訪客安全問題,建議採用Tunnel模式及訪客系統
訪客系統是完全免費的,且實作效果不錯
有機會試試看嘍!

darkhsu iT邦新手 5 級 ‧ 2014-08-11 16:14:54 檢舉

Hello mytiny,

我是要用Radius做無線認證喔~所以應該不是您說的狀況
另外,
之所以一定要用Local Bridge是因為要跟LAN IP同一網段

訪客系統有使用,不過是在另一個無線SID上

我要發表回答

立即登入回答