Feedback do raio do AP ao cliente WiFi

Question

Feedback do raio do AP ao cliente WiFi

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)

5

Temos a seguinte configuração em nossa empresa: um PC de gateway com o CentOS (gw), rodando o Radius e alguns programas de filtragem de tráfego. Todos os nossos funcionários se conectam sem fio e temos uma criptografia WPA2 Enterprise em vigor. Os usuários estão em um banco de dados MySQL no gw, e eles têm suas funções de usuário definidas lá - decidindo qual usuário tem acesso a qual SSID. Temos 4 SSIDs (portanto, 4 VLANs) e, portanto, 4 grupos de usuários por enquanto - cada um tem suas próprias regras sobre QoS, limites de largura de banda, etc.

A rede funciona muito bem, exceto por um problema - quando o usuário faz uma má autenticação, ele não recebe feedback. O cliente WiFi (todo mundo está usando iMacs e Macbooks, há apenas algumas caixas Windows / Linux aqui em TI) fica preso em algum tipo de limbo onde ele diz que está conectado, mas não tem um IP válido e, portanto, não tem acesso à internet. Como o MacOS se lembra de senhas por padrão, ele concluiu que foi conectado com sucesso e nunca pede uma senha novamente. O que significa que qualquer pessoa que fez um login inválido fica preso até que apague a senha lembrada do arquivo. Isso, como você pode imaginar, é incrivelmente tedioso para uma empresa em rápido crescimento com mais de 80 pessoas.

Nossos APs são WRT54GL com DD-WRT instalado como firmware.

Parece que o cliente radius no AP não envia nenhum feedback adequado para o cliente WiFi nos computadores dos funcionários. Alguém tem alguma experiência com esse tipo de configuração? Como alguém poderia corrigir esse problema sem feedback? Melhor seria APs a resposta? Eu estive olhando para o WAP2000 da Cisco. O custo não é um problema.

Este é o comentário acima de mschapv2 em nosso arquivo eap.conf:

  #
                #  This takes no configuration.
                #
                #  Note that it is the EAP MS-CHAPv2 sub-module, not
                #  the main 'mschap' module.
                #
                #  Note also that in order for this sub-module to work,
                #  the main 'mschap' module MUST ALSO be configured.
                #
                #  This module is the *Microsoft* implementation of MS-CHAPv2
                #  in EAP.  There is another (incompatible) implementation
                #  of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
                #  currently support.
                #

authentication router radius centos vlan

por Swader 05.09.2011 / 08:53

4 respostas

Tags authentication router radius centos vlan

Como descubro quais sites estão usando muita RAM na minha caixa de hospedagem na Web do linux? Gerenciando chaves SSH entre instâncias do EC2

score 3 · Answer 1

Adquira uma placa sem fio que suporte o modo "Monitoramento" ou "rfmon" e use-a em conjunto com o Wireshark para visualizar os cabeçalhos 802.11 em seu tráfego de rede. Isso é descontroladamente chipset, sistema operacional e driver dependente, mas o Wireshark tem uma boa documentação para apontar você na direção certa. O que você procura são os cabeçalhos de gerenciamento 802.11 reais e não apenas as informações de camada 2 de Ethernet "traduzidas" (novamente, consulte a documentação do Wireshark). Parece que sua rede é basicamente de 802.11, então o tempo gasto para descobrir isso provavelmente valerá a pena mais tarde - você precisará examinar os cabeçalhos 802.11 reais eventualmente para fins de solução de problemas.
Confirme se isso realmente é um problema com seus pontos de acesso (provavelmente é). Inicie o Wireshark usando '802.11' como seu tipo de camada de link e, em seguida, autentique-se em um ponto de acesso e especifique erroneamente a senha. Veja o que acontece. Talvez seja necessário também ver o que acontece entre o servidor Radius e o lado do ponto de acesso das coisas também. Se você está tendo problemas para interpretar os dados resultantes, você sempre pode salvá-lo como um pcap e fornecê-lo aqui. Você provavelmente só quer confirmar que é um problema com o cliente radius antes de gastar um monte de dinheiro em pontos de acesso.
Uma vez que você confirmou que é um problema com os pontos de acesso, adquira alguns bons "enterprise-y". Usamos D-Link DWL3200s, que são um belo meio do ponto de acesso rodoviário no que diz respeito a pontos de acesso. Minha única queixa real é que a interface de linha de comando deles / delas suga mas por outro lado eles são só aproximadamente $ 300 cada assim eu realmente não posso esperar muito.

Resumindo: Antes de começar a jogar dinheiro no problema (mesmo que você tenha muito dinheiro para jogar), descubra o que é realmente errado primeiro.

score 2 · Answer 2

Você não mencionou qual protocolo de autenticação está usando. "WPA2 Enterprise" é um termo genérico. Você está usando o EAP-TLS? Ou PEAP-MSCHAPv2? Você tem certificados de clientes em vigor ou apenas o certificado de CA + nome de usuário / senha? Dependendo do protocolo real, o erro de autenticação acontece em um nível de pilha de protocolo diferente.

Se você estiver usando o PEAP-MSCHAPv2 (provavelmente com sua sugestão de senhas), verifique se o servidor Radius está configurado para enviar a mensagem MS-CHAP-Error de volta ao cliente. Eu acho que está desabilitado por padrão em algumas versões do freeradius. Procure por isso em eap.conf:

           mschapv2 {
                    #  Prior to version 2.1.11, the module never
                    #  sent the MS-CHAP-Error message to the
                    #  client.  This worked, but it had issues
                    #  when the cached password was wrong.  The
                    #  server *should* send "E=691 R=0" to the
                    #  client, which tells it to prompt the user
                    #  for a new password.
                    #
                    #  The default is to behave as in 2.1.10 and
                    #  earlier, which is known to work.  If you
                    #  set "send_error = yes", then the error
                    #  message will be sent back to the client.
                    #  This *may* help some clients work better,
                    #  but *may* also cause other clients to stop
                    #  working.
                    #
                    #send_error = no
            }

e mude para sim.

score 1 · Answer 3

Se você tiver certeza sobre esse custo não é um problema, então pegue um ponto de acesso real da Cisco (como cisco aironet) evite linksys se puder.

link

A Linksys é adequada para escritórios domésticos e pequenos. Não é recomendado para nada maior no entanto.

Você pode até obter um WLC (controlador lan sem fio). É um investimento maior, mas vale a pena. Você pode gerenciar seus aps a partir de um local central e os clientes sem fio também podem se beneficiar, pois gerencia as configurações do canal, os níveis de energia da antena e o roaming do cliente.

Atualizar (responder ao comentário): Eu uso wrt54gl em casa funciona muito bem em geral, mas se eu baixar com alta velocidade a parte wireless pode morrer (o que é consertável com uma reinicialização). A função de comutação é implementada na CPU. Se você copiar um arquivo grande de uma máquina para outra, o uso da CPU aumentará significativamente. Com alto uso de cpu, não é estável .

update2 : Nenhuma WLC não é estritamente necessária. Eu nem sequer tenho uma no trabalho, mas eu gostaria, porque isso torna as coisas mais fáceis. Para testar se o seu AP está causando o problema, pegue um AP Aironet da Cisco (autônomo) (apenas um) e teste-o com a mesma configuração para ver se ele resolve o problema. Tenho certeza que você pode obter um test drive de um fornecedor decente.

score 0 · Answer 4

Eu acho que pode ser um problema com MacOSX como eu tenho um problema semelhante, mas não está usando radius ou equipamentos Linksys.

Você tem outro sistema operacional para testá-lo? veja se faz isso com um iphone ou windows pc.