FortiGate: 802.1x Authentication mit Windows NPS

Die Verbindung zum Windows NPS Server steht und die 802.1x-Authentication ist auf dem Hardware-Switch aktiviert. Obwohl scheinbar alles richtig konfiguriert ist, schlägt die 802.1x Authentication fehl.

Fehlermeldung: 802.1x EAP authentication failed. The port [internal4] is unauthorized and under virtual switch [switch2].
RADIUS-Konfiguration auf der FortiGate
Admission Control auf dem Hardware-Switch

Ursache:
Ein Packet Capture auf der FortiGate zeigt, dass der Windows NPS zu grosse RADIUS-Antwortpakete sendet.

RADIUS Answer: Fragmented IP protocol

Lösung:
Auf dem Windows NPS wird in der Connection Request Policy bzw. Network Policy die Framed-MTU auf 1344 festlegt.

Resultat:
Die 802.1x Authentication funktioniert 🙂

802.1x EAP authentication succeeded. The port [internal4] is authorized and under virtual switch [switch2].
RADIUS Answer: Access-Accept

Configure the Framed-MTU Attribute

2 thoughts on “FortiGate: 802.1x Authentication mit Windows NPS

  1. Michael S Reply

    Diesen Effekt konnte ich bisher in Zusammenhang mit Jumbo Frames sehen. Verwendet Ihr demnach in diesem Aufbau Jumbo Frames?

    Zur Ergänzung möchte ich das Augenmerk auf EAP lenken, welches z.B. auch im WLAN bei WPA-Enterprise zum Einsatz kommt und dann auf die selbe Art fehlschlägt.

    Das Perfide; abhängig von der Anzahl Zeichen (Benutzername, Computername, Domäne etc) variiert die grösse des Pakets. Daher in einem Fall funktionierts, bei einem anderen nicht.

    • der Post authorReply

      Danke für den Hinweis. Wie korrekt erwähnt kommt bei WPA2-Enterprise ebenfalls 802.1x zum Einsatz.

      Im Labor haben wir dieses Verhalten ohne Jumbo Frames beobachtet. Gemäss den Release Notes wurden zwischenzeitlich einige RADIUS-Probleme behoben und ich muss den Test bei Gelegenheit nochmals wiederholen.

      Gruss Dario

Leave a Reply

Your email address will not be published. Required fields are marked *