Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???
-
@JeGr Hallo, es sieht so aus, als ob der Radius Traffic plötzlich nicht mehr über das LAN sondern das WAN läuft, und darüber scheitert die Connection! Habe ähnliche Probleme auch schon im Forum gefunden. Nicht speziell mit 23.05. Überlege gerade wir ich direkt an der pfsense den Connect zu unserem Radius server testen kann. Das müsste ja dann bei 23.01 funktionieren und bei 23.05 eben nicht mehr!
-
Sind die mit FQDN oder IP eingetragen?
Wie sieht die Routing Tabelle aus?
Wenn FQDN, wie wird das aufgelöst? Private oder Public IP? -
@NOCling Statische Public IP - Routing Table ist ein gutes Thema, alles wird durch das WAN geroutet, Habe jetzt mal ein LAN GW gesetzt und für den Radius Server eine statische Route gesetzt, Bin am testen.....
-
Warum haben deine Radius Server eine Public IP?
Dann wundert es mich nicht, wenn es Default direkt durch das WAN raus geht.
-
@NOCling Na ja, nicht ganz, denn bis dato hat es ja auch funktioniert und über das WAN läuft ja auch der IPSEC Tunnel, andere Dienste, außer dem RADIUS Zugriff haben bis zu dem Versionswechsel funktioniert, die Konfig ist mehere Jahre so in Betrieb....wie dem auch sei, ich schaue jetzt mal ob es mit dem Routineintrag funktioniert. Danke für Deine Hilfe!
-
@NSuttner said in Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???:
@JeGr Hallo, es sieht so aus, als ob der Radius Traffic plötzlich nicht mehr über das LAN sondern das WAN läuft, und darüber scheitert die Connection! Habe ähnliche Probleme auch schon im Forum gefunden. Nicht speziell mit 23.05. Überlege gerade wir ich direkt an der pfsense den Connect zu unserem Radius server testen kann. Das müsste ja dann bei 23.01 funktionieren und bei 23.05 eben nicht mehr!
Dann müsstest du konkreter werden, was dein Setup angeht bzgl. der Public IP, wo die Radius Kisten genau stehen, wie die IPs haben, welche wo anliegen etc.
Es kann auch gut sein, dass ihr all die Jahre ne Fehlkonfiguration hattet, die jetzt eben mal sauber gefixt wurde im Zuge des Refactoring für 23.01 und 23.05 und das daher dann jetzt aufgefallen ist, dass da was (automagisch) geroutet wurde, wo es laut System eigentlich gar nicht hin soll. Aber dazu müsste man mehr sehen, um da was konkreter zu machen. Oder wenns kritische Daten sind, dass man sich das im Rahmen von Support mal zusammen anschaut, aber das liest sich jetzt eher nicht nach ner einfachen Kiste, die man so zwischen Tür und Angel - oder zwischen zwei Zeilen ;) - beantworten kann. Wir haben das bei Kunden auch schon gesehen, dass da mit 23.01 und 23.05 manche kleinen Sachen wie gesagt nicht mehr geklappt haben, was aber wirklich dann Punkte waren, die im Original so hätten gar nicht gehen sollen und nur nicht auffielen, weil sie einfach geklappt haben (und man sich erst hinterher jetzt fragt warum eigentlich) :)
Wenn dus ansonsten ggf. genauer beschrieben und bezeichnen kannst, wäre das interessant festzustellen, was bei dir zutrifft oder ob man sich da ggf. um nen Bug bemühen sollte.
Cheers
-
@JeGr Hi, danke für Deine ausfühliche Antwort, ich werde mich sicher nochmals melden, wenn ich genaueres weiß, hatte bis jetzt leider keine Zeit mir das genauer anzusehen!
-
@NSuttner Hallo, also ich habe heute einiges am Routing getestet und verändert, hat alles nichts gebracht, ich werde mal die 23.01 noch weiterlaufen lassen und auf das neue Release warten und mein Problem nochmals ansehen. Bin mir ziemlich sicher, das sich das so löse wird! Danke trotzdem für die Hilfe.
-
@NSuttner said in Upgrade von 23.01 zu 23.05 - danach über IPSEC keine RADIUS Verbindung mehr möglich???:
Bin mir ziemlich sicher, das sich das so löse wird!
Da bin ich gespannt, halte uns auf dem laufenden.
-
@slu Also, die 23.05.1 war nicht die Lösung! Ich habe an meinem Unify AP einen TCPDUMP durchgeführt und festgestellt, das fragmentierte Paket die Verbindung des AP zum Windows NPS Server verhindern. Habe dann etwas mit den FRAME MTU Raten am NPS rumgespielt, einerlei Erfolg! Erfolg brachte das setzen des nachfolgenden Punktes
- Reassemble IP Fragments until they form a complete packet
in den System\Advanced\Firewall & NAT Einstellungen unter VPN Paket processing
Nach setzen dieses Hakens ging mein WLAN (mit Zertifikat) über IPSEC sofort wieder. Das hat mich einiges an
Debug Aufwand gekostet......
- Reassemble IP Fragments until they form a complete packet
