Radius and cisco WAP121

waaalex66 · ‎06-27-2013

Hello,

I've got a problem to set up wireless network with radius authentication.

I've set up a CA and made a certificate for a user.

I've set up IAS to accept connections.

when i try to connect to my WIFI, it's refused :

logs :

Jan 3 2000 06:17:35

info

hostapd[2296]

wlan0vap1: IEEE 802.11 STA e0:2a:82:59:4d:ae deauthed from BSSID 2c:54:2d:38:f2:85 reason 3: STA is leaving IBSS or ESS

Jan 3 2000 06:17:35

info

hostapd[2296]

wlan0vap1: IEEE 802.11 STA e0:2a:82:59:4d:ae disassociated from BSSID 2c:54:2d:38:f2:85 reason 8: Sending STA is leaving BSS

Jan 3 2000 06:17:34

info

hostapd[2296]

wlan0vap1: IEEE 802.11 STA e0:2a:82:59:4d:ae associated with BSSID 2c:54:2d:38:f2:85

Jan 3 2000 06:17:34

info

hostapd[2296]

wlan0vap1: IEEE 802.11 Assoc request from e0:2a:82:59:4d:ae BSSID 2c:54:2d:38:f2:85 SSID KSIOP_GUEST

in wireless, network :

But in 802.1X supplicant, i can't upload certificate and i don't know what kind of certificate i could use :

Supplicant Configuration

detailled information from my network card :

Détails sur le diagnostic de connectivité sans fil : 

Les informations de connexion sont actuellement diagnostiquées.
 GUID de l’interface : 100e26ab-ebd1-4442-8316-8587d8a31bfe
 Nom de l’interface  : Ralink RT3090 802.11b/g/n WiFi Adapter
 Type d’interface    : Native WiFi
 Profil : KSIOP_GUEST
 SSID : (Réseau sans nom)
 Longueur du SSID : 0
 Mode de connexion : Infra
 Sécurité : Oui
 Me connecter même si le réseau ne diffuse pas son nom : Non

Incident de connexion diagnostiqué
 ID de configuration automatique : 25
 ID de connexion : 25

Synthèse de l’état de la connexion
 La connexion a démarré à : 2013-06-27 12:14:42-987
 Correspondance de profil : Opération réussie
 Pré-association : Opération réussie
 Association : Opération réussie
 Sécurité et authentification : Échec

Historique de connexion

 Informations pour la configuration automatique (ID 26)

  Liste des réseaux favoris : 2 élément(s)
   Profil : KSIOP_GUEST
    SSID : KSIOP_GUEST
    Longueur du SSID : 11
    Mode de connexion : Infra
    Sécurité : Oui
    Défini par la stratégie de groupe : Non
    Me connecter même si le réseau ne diffuse pas son nom : Non
    Connectable : Non
     Raison : 0x00028001

Détails sur le diagnostic de connectivité sans fil : 

Pour des informations complètes sur cette session, voir l’événement d’informations de connectivité sans fil.

Classe d’assistance : Configuration automatique
 Résultat de l’initialisation : Opération réussie

Les informations de connexion sont actuellement diagnostiquées.
 GUID de l’interface : 100e26ab-ebd1-4442-8316-8587d8a31bfe
 Nom de l’interface  : Ralink RT3090 802.11b/g/n WiFi Adapter
 Type d’interface    : Native WiFi
 Profil : KSIOP_GUEST
 SSID : (Réseau sans nom)
 Longueur du SSID : 0
 Mode de connexion : Infra
 Sécurité : Oui
 Me connecter même si le réseau ne diffuse pas son nom : Non

Résultat du diagnostic : Problème détecté
 Le problème faisait référence à : L2Sec Helper Class
Cause d’origine : 
Windows n’a pas pu se connecter à « KSIOP_GUEST » 
Vous pouvez essayer de vous reconnecter.

Option de réparation :
Réinitialisez la carte réseau sans fil
Cela permet de désactiver, puis d’activer la carte réseau « Connexion réseau sans fil » sur cet ordinateur.

Informatif

Informations de diagnostics (L2sec Helper Class)

Détails sur le diagnostic de L2Sec Helper Class : 

Pour des informations complètes sur cette session, voir l’événement d’informations des diagnostics sans fil.

Classe d’application d’assistance : Sécurité de couche 2
 Initialiser l’état : Succès

Résultat du diagnostic : Problème détecté
 Problème référencé dans : Classe d’application d’assistance EAP

Cause d’origine (EAP) :
Une carte à puce valide doit être présentée pour que l’authentification continue.

Cause d’origine détaillée :
Échec EAP
     Solution de contournement pour l’hypothèse :     Contactez l’administrateur réseau pour « KSIOP_GUEST ».
     Solution de contournement EAP :     Connectez un lecteur de carte à puce à votre ordinateur et essayez à nouveau de vous connecter.


Diagnostic des informations de connexion en cours
 GUID de l’interface : {100e26ab-ebd1-4442-8316-8587d8a31bfe}
 Nom de l’interface : Ralink RT3090 802.11b/g/n WiFi Adapter
 Type d’interface : Native WiFi
 Profil : KSIOP_GUEST
 SSID : KSIOP_GUEST
 Longueur du SSID : 11
 Mode de connexion : Infra
 Sécurité activée : Oui
 ID de connexion : 25
 Paramètres de sécurité fournis par le fabricant du matériel : Non
 Profil conforme à la configuration réseau : Oui
 État de la pré-association et de l’association : Succès
 Sécurité et authentification :
  Type de sécurité configuré : Réseau sécurisé robuste (RSN / WPA2) avec 802.1x
  Type de chiffrement configuré : CCMP (AES)
  État de la connexion de sécurité : Échec 0x00050005   Nombre de paquets de sécurité reçus : 3
   Nombre de paquets de sécurité envoyés : 1
  Protocole 802.1X : Oui
   Identité d’authentification : Ordinateur ou utilisateur
   Serveur IAS engagé : Non
   Méthode EAP prise en charge par le serveur IAS : Inconnue
   Type EAP : 13
   Erreur EAP : 0x000002fc
   Nombre de redémarrages 802.1x : 0
   Nombre d’échecs 802.1x : 2
   État du protocole 802.1X : Échec 0x00050005
  Échange de clés initialisé : Non
   Clés de monodiffusion reçues : Non
   Clés multidiffusion reçues : Non

Can you help me please?

Thank you

jeffrrod · ‎07-01-2013

Dear Alex,

Thank you for reaching Small Business Support Community.

I would first suggest to upgrade to the latest firmware release v. 1.0.3.4;

http://software.cisco.com/download/release.html?mdfid=284152657&softwareid=282463166&release=1.0.2.3

And as you already know to use HTTPS services, the WAP device must have a valid SSL certificate. The WAP device can generate a certificate or you can download it from your network or from a TFTP server.

To generate the certificate with the WAP device, click “Generate SSL Certificate” from the “Administration/HTTP-HTTPS service” menu. This should be done after the WAP device has acquired an IP address to ensure that the common name for the certificate matches the IP address of the WAP device. Generating a new SSL certificate restarts the secure web server. The secure connection does not work until the new certificate is accepted on the browser.

Just in case you need detailed info in how to do the firmware upgrade please refer to chapter 3 on the admin guide and chapter 6 for the 801.x supplicant configuration;

http://www.cisco.com/en/US/docs/wireless/access_point/csbap/wap121/administration/guide/WAP121_321_AG_en.pdf

I hope you find this information useful and please let me know if there is anything I may assist you with.

Kind regards,

Jeffrey Rodriguez S. .:|:.:|:.
Cisco Customer Support Engineer

*Please rate the Post so other will know when an answer has been found.

Jeffrey Rodriguez S. .:|:.:|:. Cisco Customer Support Engineer *Please rate the Post so other will know when an answer has been found.