В нашей компании есть следующая установка: шлюз с CentOS (gw), работающий Radius и некоторые программы фильтрации трафика. Все наши сотрудники подключаются по беспроводной сети, и у нас есть шифрование WPA2 Enterprise. Пользователи находятся в базе данных MySQL на gw, и их роли пользователей определены там - решая, какой пользователь имеет доступ к какому SSID. У нас есть 4 SSID (таким образом, 4 VLAN) и, следовательно, 4 группы пользователей на данный момент - каждая имеет свои собственные правила о QoS, ограничениях полосы пропускания и т. Д.
Сеть работает отлично, за исключением одной проблемы - когда пользователь неправильно аутентифицируется, он не получает обратной связи. Клиент Wi-Fi (все используют iMac и Macbook, здесь в ИТ только пара Windows / Linux) застревает в каком-то подвешенном состоянии, где, по его словам, он подключен, но у него нет действующего IP-адреса и, следовательно, нет доступа в Интернет. Поскольку MacOS по умолчанию запоминает пароли, он пришел к выводу, что соединение успешно установлено, и больше никогда не запрашивает пароль. Это означает, что любой, кто ввел неверный логин, застревает в нем, пока не сотрет запомненный пароль из архива. Как вы понимаете, это невероятно утомительно для быстрорастущей компании из 80+ человек.
Наши точки доступа - WRT54GL с установленной прошивкой DD-WRT.
Похоже, что радиус-клиент на AP не отправляет должной обратной связи клиенту WiFi на компьютерах сотрудников. У кого-нибудь есть опыт работы с такого рода настройками? Как бы исправить эту проблему отсутствия обратной связи? Лучше бы AP были ответом? Я смотрел Cisco WAP2000. Стоимость не проблема.
Это комментарий над mschapv2 в нашем файле eap.conf:
#
# This takes no configuration.
#
# Note that it is the EAP MS-CHAPv2 sub-module, not
# the main 'mschap' module.
#
# Note also that in order for this sub-module to work,
# the main 'mschap' module MUST ALSO be configured.
#
# This module is the *Microsoft* implementation of MS-CHAPv2
# in EAP. There is another (incompatible) implementation
# of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
# currently support.
#
Приобретите беспроводную карту, поддерживающую режим «Мониторинг» или «rfmon», и используйте ее вместе с Wireshark для просмотра заголовков 802.11 в вашем сетевом трафике. Это сильно зависит от набора микросхем, операционной системы и драйверов, но у Wireshark есть несколько хороших документация чтобы указать вам в правильном направлении. То, что вам нужно, - это фактические заголовки управления 802.11, а не просто «переведенная» информация Ethernet уровня 2 (опять же, см. Документацию Wireshark). Похоже, ваша сеть в первую очередь работает над 802.11, поэтому время, потраченное на выяснение этого, вероятно, окупится позже - вам нужно будет посмотреть на фактические заголовки 802.11 в конце концов для устранения неполадок.
Подтвердите, что это действительно проблема с вашими точками доступа (возможно, так оно и есть). Запустите Wireshark, используя «802.11» в качестве типа канального уровня, а затем выполните аутентификацию для точки доступа и намеренно введите пароль неправильно. Посмотри, что получится. Возможно, вам также потребуется увидеть, что происходит между сервером Radius и точкой доступа. Если у вас возникли проблемы с интерпретацией полученных данных, вы всегда можете сохранить их как pcap и предоставить здесь. Вы, вероятно, просто хотите подтвердить, что это проблема с клиентом radius, прежде чем тратить кучу денег на точки доступа.
Убедившись, что проблема связана с точками доступа, купите хорошие «корпоративные». Мы используем D-Link DWL3200, которые являются довольно средней точкой доступа к дорогам с точки зрения точек доступа. Моя единственная реальная жалоба заключается в том, что их интерфейс командной строки отстой но с другой стороны, они стоят всего около 300 долларов каждая, так что я не могу ожидать слишком многого.
Итог: прежде чем вы начнете тратить деньги на решение проблемы (даже если у вас есть много денег, которые нужно бросить), выясните, что фактически сначала неправильно.
Вы не упомянули, какой протокол аутентификации используете. «WPA2 Enterprise» - это общий термин. Вы используете EAP-TLS? Или PEAP-MSCHAPv2? У вас есть сертификаты клиентов или только сертификат CA + имя пользователя / пароль? В зависимости от фактического протокола ошибка аутентификации возникает на другом уровне стека протоколов.
Если вы используете PEAP-MSCHAPv2 (скорее всего, учитывая ваш намек на пароли), убедитесь, что сервер Radius настроен на отправку сообщения MS-CHAP-Error обратно клиенту. Думаю, в некоторых версиях freeradius он отключен по умолчанию. Найдите это в eap.conf:
mschapv2 { # Prior to version 2.1.11, the module never # sent the MS-CHAP-Error message to the # client. This worked, but it had issues # when the cached password was wrong. The # server *should* send "E=691 R=0" to the # client, which tells it to prompt the user # for a new password. # # The default is to behave as in 2.1.10 and # earlier, which is known to work. If you # set "send_error = yes", then the error # message will be sent back to the client. # This *may* help some clients work better, # but *may* also cause other clients to stop # working. # #send_error = no }
и измените его на "да".
Если вы уверены, что стоимость не является проблемой, приобретите настоящую точку доступа Cisco (например, cisco aironet), по возможности избегайте линков.
http://www.cisco.com/en/US/products/hw/wireless/index.html
Linksys подходит для дома и небольшого офиса. Однако это не рекомендуется для чего-то большего.
Вы даже можете получить WLC (контроллер беспроводной сети). Это большие вложения, но они того стоят. Вы можете управлять своими AP из центрального места, и беспроводные клиенты также могут получить выгоду, поскольку он управляет настройками вашего канала, уровнями мощности антенны и роумингом клиентов.
Обновить (ответ на комментарий): Я использую wrt54gl дома, в целом он отлично работает, но если я загружу на высокой скорости, беспроводная часть может умереть (что можно исправить с помощью перезагрузки). Функция переключателя реализована в CPU. Если вы копируете большой файл с одного компьютера на другой, использование процессора значительно возрастает. При высокой загрузке процессора это не так стабильно.
update2: Нет, WLC строго не нужен. У меня даже нет такого на работе, но я бы хотел, потому что это упрощает жизнь. Чтобы проверить, не вызывает ли проблема ваша точка доступа, возьмите точку доступа Cisco (автономную) Aironet (только одну) и проверьте ее с той же настройкой, чтобы увидеть, решит ли она вашу проблему. Я уверен, что вы можете получить тест-драйв у достойного продавца.
Я думаю, может быть проблема с MacOSX, так как у меня есть аналогичная проблема, но она не использует радиус или шестерню Linksys.
У вас есть другая ОС для тестирования? посмотрите, делает ли он это с iphone или ПК с Windows.