Назад | Перейти на главную страницу

Радиус обратной связи от точки доступа к клиенту WiFi

В нашей компании есть следующая установка: шлюз с CentOS (gw), работающий Radius и некоторые программы фильтрации трафика. Все наши сотрудники подключаются по беспроводной сети, и у нас есть шифрование WPA2 Enterprise. Пользователи находятся в базе данных MySQL на gw, и их роли пользователей определены там - решая, какой пользователь имеет доступ к какому SSID. У нас есть 4 SSID (таким образом, 4 VLAN) и, следовательно, 4 группы пользователей на данный момент - каждая имеет свои собственные правила о QoS, ограничениях полосы пропускания и т. Д.

Сеть работает отлично, за исключением одной проблемы - когда пользователь неправильно аутентифицируется, он не получает обратной связи. Клиент Wi-Fi (все используют iMac и Macbook, здесь в ИТ только пара Windows / Linux) застревает в каком-то подвешенном состоянии, где, по его словам, он подключен, но у него нет действующего IP-адреса и, следовательно, нет доступа в Интернет. Поскольку MacOS по умолчанию запоминает пароли, он пришел к выводу, что соединение успешно установлено, и больше никогда не запрашивает пароль. Это означает, что любой, кто ввел неверный логин, застревает в нем, пока не сотрет запомненный пароль из архива. Как вы понимаете, это невероятно утомительно для быстрорастущей компании из 80+ человек.

Наши точки доступа - WRT54GL с установленной прошивкой DD-WRT.

Похоже, что радиус-клиент на AP не отправляет должной обратной связи клиенту WiFi на компьютерах сотрудников. У кого-нибудь есть опыт работы с такого рода настройками? Как бы исправить эту проблему отсутствия обратной связи? Лучше бы AP были ответом? Я смотрел Cisco WAP2000. Стоимость не проблема.

Это комментарий над mschapv2 в нашем файле eap.conf:

  #
                #  This takes no configuration.
                #
                #  Note that it is the EAP MS-CHAPv2 sub-module, not
                #  the main 'mschap' module.
                #
                #  Note also that in order for this sub-module to work,
                #  the main 'mschap' module MUST ALSO be configured.
                #
                #  This module is the *Microsoft* implementation of MS-CHAPv2
                #  in EAP.  There is another (incompatible) implementation
                #  of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
                #  currently support.
                #

  1. Приобретите беспроводную карту, поддерживающую режим «Мониторинг» или «rfmon», и используйте ее вместе с Wireshark для просмотра заголовков 802.11 в вашем сетевом трафике. Это сильно зависит от набора микросхем, операционной системы и драйверов, но у Wireshark есть несколько хороших документация чтобы указать вам в правильном направлении. То, что вам нужно, - это фактические заголовки управления 802.11, а не просто «переведенная» информация Ethernet уровня 2 (опять же, см. Документацию Wireshark). Похоже, ваша сеть в первую очередь работает над 802.11, поэтому время, потраченное на выяснение этого, вероятно, окупится позже - вам нужно будет посмотреть на фактические заголовки 802.11 в конце концов для устранения неполадок.

  2. Подтвердите, что это действительно проблема с вашими точками доступа (возможно, так оно и есть). Запустите Wireshark, используя «802.11» в качестве типа канального уровня, а затем выполните аутентификацию для точки доступа и намеренно введите пароль неправильно. Посмотри, что получится. Возможно, вам также потребуется увидеть, что происходит между сервером Radius и точкой доступа. Если у вас возникли проблемы с интерпретацией полученных данных, вы всегда можете сохранить их как pcap и предоставить здесь. Вы, вероятно, просто хотите подтвердить, что это проблема с клиентом radius, прежде чем тратить кучу денег на точки доступа.

  3. Убедившись, что проблема связана с точками доступа, купите хорошие «корпоративные». Мы используем D-Link DWL3200, которые являются довольно средней точкой доступа к дорогам с точки зрения точек доступа. Моя единственная реальная жалоба заключается в том, что их интерфейс командной строки отстой но с другой стороны, они стоят всего около 300 долларов каждая, так что я не могу ожидать слишком многого.

Итог: прежде чем вы начнете тратить деньги на решение проблемы (даже если у вас есть много денег, которые нужно бросить), выясните, что фактически сначала неправильно.

Вы не упомянули, какой протокол аутентификации используете. «WPA2 Enterprise» - это общий термин. Вы используете EAP-TLS? Или PEAP-MSCHAPv2? У вас есть сертификаты клиентов или только сертификат CA + имя пользователя / пароль? В зависимости от фактического протокола ошибка аутентификации возникает на другом уровне стека протоколов.

Если вы используете PEAP-MSCHAPv2 (скорее всего, учитывая ваш намек на пароли), убедитесь, что сервер Radius настроен на отправку сообщения MS-CHAP-Error обратно клиенту. Думаю, в некоторых версиях freeradius он отключен по умолчанию. Найдите это в eap.conf:

           mschapv2 {
                    #  Prior to version 2.1.11, the module never
                    #  sent the MS-CHAP-Error message to the
                    #  client.  This worked, but it had issues
                    #  when the cached password was wrong.  The
                    #  server *should* send "E=691 R=0" to the
                    #  client, which tells it to prompt the user
                    #  for a new password.
                    #
                    #  The default is to behave as in 2.1.10 and
                    #  earlier, which is known to work.  If you
                    #  set "send_error = yes", then the error
                    #  message will be sent back to the client.
                    #  This *may* help some clients work better,
                    #  but *may* also cause other clients to stop
                    #  working.
                    #
                    #send_error = no
            }

и измените его на "да".

Если вы уверены, что стоимость не является проблемой, приобретите настоящую точку доступа Cisco (например, cisco aironet), по возможности избегайте линков.

http://www.cisco.com/en/US/products/hw/wireless/index.html

Linksys подходит для дома и небольшого офиса. Однако это не рекомендуется для чего-то большего.

Вы даже можете получить WLC (контроллер беспроводной сети). Это большие вложения, но они того стоят. Вы можете управлять своими AP из центрального места, и беспроводные клиенты также могут получить выгоду, поскольку он управляет настройками вашего канала, уровнями мощности антенны и роумингом клиентов.

Обновить (ответ на комментарий): Я использую wrt54gl дома, в целом он отлично работает, но если я загружу на высокой скорости, беспроводная часть может умереть (что можно исправить с помощью перезагрузки). Функция переключателя реализована в CPU. Если вы копируете большой файл с одного компьютера на другой, использование процессора значительно возрастает. При высокой загрузке процессора это не так стабильно.

update2: Нет, WLC строго не нужен. У меня даже нет такого на работе, но я бы хотел, потому что это упрощает жизнь. Чтобы проверить, не вызывает ли проблема ваша точка доступа, возьмите точку доступа Cisco (автономную) Aironet (только одну) и проверьте ее с той же настройкой, чтобы увидеть, решит ли она вашу проблему. Я уверен, что вы можете получить тест-драйв у достойного продавца.

Я думаю, может быть проблема с MacOSX, так как у меня есть аналогичная проблема, но она не использует радиус или шестерню Linksys.

У вас есть другая ОС для тестирования? посмотрите, делает ли он это с iphone или ПК с Windows.