Телеграмм чат группы EvilWirelessChat страница 5291

посмотри что бегает в EAPOL - там видно, кто в TLS-handshake присылает NAK

13:25пожаловаться #1

в логе ISE при попытке подключиться такому клиенту

12520 EAP-TLS failed SSL/TLS handshake because the client rejected the ISE local-certificate
12507 EAP-TLS authentication failed
61025 Open secure connection with TLS peer
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
5434 Endpoint conducted several failed authentications of the same scenario

13:28пожаловаться #2

Failure Reason 12520 EAP-TLS failed SSL/TLS handshake because the client rejected the ISE local-certificate

13:28пожаловаться #3

цифры - это что?

13:29пожаловаться #4

но это если я СА от серта сервера установлю на клиент

13:29пожаловаться #5

эмм наверное просто фраза присвоена к этому число

13:30пожаловаться #6

для анализа лога или не знаю

13:30пожаловаться #7

понятно, а то уж больно на

uniq -c

похоже

13:31пожаловаться #8

это вывод в веб морде ISE

13:32пожаловаться #9

с одной стороны по логике если корневые серты установлены в доверенные с обоих сторон то почему бы не проверить сертификаты друг друга и не подключиться, но с другой может сам клиент заподозрит неладное что сервер херпойми какой

13:34пожаловаться #10

сними дамп аутентификации, будет видно, что творится

13:34пожаловаться #11

можно EAPOL, можно RADIUS

13:34пожаловаться #12

да там технически так понастроено на том объекте что ничего снять не могу

13:34пожаловаться #13

просто хочу понять изначально такое дожно работать и имеет ли смысл дальше копать

13:35пожаловаться #14

должно. но не работает. нужны дампы, чтобы понять, что не так. мой опыт говорит о том, что по логам гадать можно бесконечно долго

13:36пожаловаться #15

возможно, ISE посылает не цепочку, а только свой церт, возможно, что-то не так настроено на андроиде, возможно они не могут договориться о шифрах - там 1001 причина может быть и из "AP-TLS failed SSL/TLS handshake because the client rejected the ISE local-certificate" этого всего не вытащить

13:41пожаловаться #16

понятно

13:43пожаловаться #17

в ISE этот дамп где можно посмотреть?

13:47пожаловаться #18