環境:
問題在於,我想要讓WiFi其中一個SID與LAN使用同網段,因此使用Local Bridge連接,設定Security Mode時,因為要跟AD做認證所以使用WPA/WPA2-Enterprise
但Radius認證的地方一直過不去,我查NPS主機上的Log,出現【無法驗證用戶端,因為伺服器無法處理可延伸的驗證通訊協定eap類型】,錯誤代碼為6273與6274
NPS主機上我是使用【802.1X無線或有線連線的RADIUS】設定
RADIUS客戶端使設定為FortiAP的IP位置,廠商為RADIUS Stardand
其餘都是按照預設值
因為Tunnel那個SID使用LDAP跟AD做認證沒問題,所以AD設定應該ok
現在不確定問題出在哪邊
請問是我哪邊設定有錯嗎? 有需要額外資訊請說明,我再提供
感謝~
已邀請的邦友 {{ invite_list.length }}/5
Hello januslin,
抱歉,最近忙到翻掉,沒時間玩Fortigate
感謝~ 我的確沒裝Root CA
我抽空照著做了一下,但還是有問題,後來只用一台server:AD+CA+NPS,想說會不會過,但還是失敗
此文章是使用FortiWifi,但我是Fortigate+FortiAP,我不確定這樣會不會有問題
但Radious認證還是過不去
最近沒時間,回應慢請包涵
Client也要匯入CA
Hello januslin,
您說的Client是指我的無線用戶端嗎?
那如果是用手機或是非加入網域的電腦呢? 也是要另外匯? @@
darkhsu提到:
您說的Client是指我的無線用戶端嗎?
那如果是用手機或是非加入網域的電腦呢? 也是要另外匯? @@
Yes
因為你的是PEAP或是EAP-TLS
不是captive portal
Hello januslin,
那請教一下,若我希望WiFi一個SID要跟LAN使用同一個IP網段,我是否還有別的方式?
我現在Local Brigade+Radius會卡關,我想說有沒有別的方式可以嘗試
不太懂你的意思
"一個SID要跟LAN使用同一個IP網段"
我看的意思像是同一區段
AP 模式接上去不就好了嗎 ?
抱歉,之前在實際環境實作後發現
先不考慮RADIUS的話,若要達成WPA2-Enterprise + Local Group,Win電腦需要調整WiFI Profile設定
之後一直沒時間玩WPA2-Enterprise + RADIUS
先這樣吧,感謝各位的幫助,但我目前認同應該是CA的問題,只是實在沒時間測了.... >"<
在Forti的無線網路裡
建議您採用無線歸無線,認證歸認證的處理方式
意即:無線通訊的安全可採用WEP到WAP2的加密方式
然後在防火牆的政策裡設定與AD,LDAP認證
你會比較好處理,一樣也很安全
未必非用WPA/WPA2-Enterprise加密認證
另外,Forti無線的最大好處不僅僅是ThinAP無線網路而已
最優是可以結合原本UTM等多功能性的資安
包括無線網路的應用程式管控,網頁過濾,流量管理及**"訪客管理系統"**
這些A,C,H,J,R等等國外廠牌可所費不貲呢
FG-40C很多功能不具備或沒有GUI可以操作
建議下次評估時可以購買型號大一點
會有比較好的效能表現
Hello mytiny,
我希望是可以在連線前先做驗證,不然這樣很容易造成多餘的連線(即使哪邊都去不了),反而不安全
而且我這個SID與LAN是做Local bridge,所以WiFi取得的IP = Lan所取得的IP,您這招就不work啦~ XD
另外,
我是建議用FG-80的,but.....you know...
如果要安全,在Fortinet無線網路的環境下
記得一定要用Tunnel模式
如果想要較好的傳輸效率,則改用Local Bridge
在企業環境中,兩者搭配使用,妙用無窮
甚至分公司的無線網路也會因此而有絕佳的使用經驗
這點使它有別於A,C,J,R等等國外廠牌
話說回來,如果AD真是不能支援
解決IP發放的問題只好用DHCP Server中IP的時間限制解決
擔心訪客安全問題,建議採用Tunnel模式及訪客系統
訪客系統是完全免費的,且實作效果不錯
有機會試試看嘍!
Hello mytiny,
我是要用Radius做無線認證喔~所以應該不是您說的狀況
另外,
之所以一定要用Local Bridge是因為要跟LAN IP同一網段
訪客系統有使用,不過是在另一個無線SID上
iThome鐵人賽
看影片追技術