Cisco AP 1131AG und EAP-TLS

[Friedemann Stoyan]

Hallo NG!

Ich habe hier einen Cisco AIR-AP1131AG-E-K9 mit IOS Version 12.4(21a)JA1,
welcher ein WLAN per EAP-TLS absichern soll. Die relevante Konfig:

!
aaa new-model
!
radius-server host 192.168.18.1 auth-port 1812 acct-port 1813 key 0 radiuspassword
!
aaa group server radius radius-eap-servers
server 192.168.18.1 auth-port 1812 acct-port 1813
!
aaa authentication login radius-eap group radius-eap-servers
!
dot11 ssid labor
authentication open eap radius-eap
authentication key-management wpa version 2
guest-mode
!

Im Prinzip funktioniert auch alles, nur gibt es einen großen Timeout wenn ich
die Verbindung beende und neu starte:

Nov 29 2009 12:52:28.343 UTC: %DOT11-6-DISASSOC: Interface Dot11Radio1, Deauthenticating Station 0016.eaef.3caa Reason: Sending station has left the BSS
Nov 29 2009 12:52:46 UTC: AAA/BIND(00000037): Bind i/f
Nov 29 2009 12:53:16.129 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:53:17 UTC: AAA/BIND(00000038): Bind i/f
Nov 29 2009 12:53:47.128 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:53:48 UTC: AAA/BIND(00000039): Bind i/f
Nov 29 2009 12:54:18.114 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:54:19 UTC: AAA/BIND(0000003A): Bind i/f
Nov 29 2009 12:54:49.112 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:54:50 UTC: AAA/BIND(0000003B): Bind i/f
Nov 29 2009 12:55:20.098 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:55:21 UTC: AAA/BIND(0000003C): Bind i/f
Nov 29 2009 12:55:51.095 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:55:52 UTC: AAA/BIND(0000003D): Bind i/f
Nov 29 2009 12:56:22.084 UTC: %DOT11-7-AUTH_FAILED: Station 0016.eaef.3caa Authentication failed
Nov 29 2009 12:56:23 UTC: AAA/BIND(0000003E): Bind i/f
Nov 29 2009 12:56:23 UTC: AAA/AUTHEN/PPP (0000003E): Pick method list 'radius-eap'
Nov 29 2009 12:56:23 UTC: RADIUS/ENCODE(0000003E):Orig. component type = DOT11
Nov 29 2009 12:56:23 UTC: RADIUS: AAA Unsupported Attr: ssid [265] 5
Nov 29 2009 12:56:23 UTC: RADIUS: 6C 61 62 [lab]
Nov 29 2009 12:56:23 UTC: RADIUS: AAA Unsupported Attr: interface [157] 3
Nov 29 2009 12:56:23 UTC: RADIUS: 33 [3]
Nov 29 2009 12:56:23 UTC: RADIUS(0000003E): Config NAS IP: 0.0.0.0
Nov 29 2009 12:56:23 UTC: RADIUS/ENCODE(0000003E): acct_session_id: 58
Nov 29 2009 12:56:23 UTC: RADIUS(0000003E): sending
Nov 29 2009 12:56:23 UTC: RADIUS/ENCODE: Best Local IP-Address 192.168.18.8 for Radius-Server 192.168.18.1
Nov 29 2009 12:56:23 UTC: RADIUS(0000003E): Send Access-Request to 192.168.18.1:1812 id 1645/81, len 170

Von ca. 12:53 bis 12:56 passiert auf dem AP einfach nichts, dann wird der
Radiusserver kontaktiert und alles 'flutscht durch'.

Ich bitte um Ideen und sachdienliche Hinweise.

mfg Friedemann

[Friedemann Stoyan]

Update:

Ein:

debug radius authentication
debug dot11 aaa authenticator process
debug dot11 aaa authenticator state-machine

bringt ans Licht, dass es wohl am Supplicant liegt. Ich werde an dieser Stelle
weitersuchen.