web-dev-qa-db-ja.com

APからWiFiクライアントへの半径フィードバック

当社では、CentOS(gw)を搭載し、Radiusといくつかのトラフィックフィルタリングプログラムを実行するゲートウェイPCをセットアップしています。すべての従業員はワイヤレスで接続し、WPA2Enterprise暗号化を導入しています。ユーザーはgw上のMySQLデータベースにあり、そこでユーザーロールが定義されています。つまり、どのユーザーがどのSSIDにアクセスできるかを決定します。 4つのSSID(つまり、4つのVLAN)があるため、現時点では4つのユーザーグループがあります。それぞれに、QoS、帯域幅制限などに関する独自のルールがあります。

ネットワークはうまく機能しますが、1つの問題を除けば、ユーザーが誤認証した場合、フィードバックは得られません。 WiFiクライアント(誰もがiMacとMacbookを使用しており、ITにはWindows/Linuxボックスが2つしかない)は、接続していると言っているが、有効なIPがないため、インターネットにアクセスできないという問題が発生します。 MacOSはデフォルトでパスワードを記憶しているので、彼は正常に接続され、二度とパスワードを要求しないと結論付けました。つまり、無効なログインを行った人は、記憶されているパスワードをアーカイブから消去するまで、ログインに固執します。ご想像のとおり、これは80人以上の急成長中の企業にとって非常に面倒です。

私たちのAPは、ファームウェアとしてDD-WRTがインストールされたWRT54GLです。

APのradiusクライアントが従業員のコンピューターのWiFiクライアントに適切なフィードバックを送信していないようです。誰かがこの種のセットアップの経験がありますか?このフィードバックなしの問題をどのように修正しますか?より良いAPが答えになるでしょうか?私はCiscoのWAP2000を見てきました。コストは問題ではありません。

これは、eap.confファイルのmschapv2の上のコメントです。

  #
                #  This takes no configuration.
                #
                #  Note that it is the EAP MS-CHAPv2 sub-module, not
                #  the main 'mschap' module.
                #
                #  Note also that in order for this sub-module to work,
                #  the main 'mschap' module MUST ALSO be configured.
                #
                #  This module is the *Microsoft* implementation of MS-CHAPv2
                #  in EAP.  There is another (incompatible) implementation
                #  of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
                #  currently support.
                #
5
Swader
  1. 「Monitoring」または「rfmon」モードをサポートするワイヤレスカードを取得し、Wiresharkと組み合わせて使用​​して、ネットワークトラフィックの802.11ヘッダーを表示します。これはチップセット、オペレーティングシステム、およびドライバーに大きく依存しますが、Wiresharkには正しい方向を示すためのNice ドキュメント がいくつかあります。求めているのは、実際の802.11管理ヘッダーであり、「変換された」イーサネットレイヤー2情報だけではありません(ここでも、Wiresharkのドキュメントを参照してください)。ネットワークは主に802.11を超えているようですので、これを理解するために費やした時間は後で価値があるでしょう-トラブルシューティングのために実際の802.11ヘッダーを最終的に見る必要があります目的。

  2. これが実際にアクセスポイントの問題であることを確認してください(おそらく問題です)。リンク層タイプとして「802.11」を使用してWiresharkを起動し、アクセスポイントに対して認証して、意図的にパスワードを誤って入力します。何が起こるか見てください。また、Radiusサーバーとアクセスポイント側の間で何が起こるかを確認する必要がある場合もあります。結果のデータの解釈に問題がある場合は、いつでもpcapとして保存して、ここに入力できます。アクセスポイントに多額の費用をかける前に、それがradiusクライアントの問題であることを確認したいだけかもしれません。

  3. アクセスポイントに問題があることを確認したら、素敵な「エンタープライズ」のものを購入してください。アクセスポイントが行く限り、道路アクセスポイントのかなり中間にあるD-LinkDWL3200を使用します。私の唯一の本当の不満は、彼らのコマンドラインインターフェースsucksですが、一方で、それらはそれぞれ約300ドルしかないので、あまり期待することはできません。

結論:問題にお金を投げ始める前に(投げるお金がたくさんある場合でも)、最初に実際に何が間違っているかを理解します。

3
user62491

使用している認証プロトコルについては言及していません。 「WPA2エンタープライズ」は総称です。 EAP-TLSを使用していますか?またはPEAP-MSCHAPv2?クライアント証明書がありますか、それともCA証明書+ユーザー名/パスワードだけですか?実際のプロトコルに応じて、認証エラーは異なるプロトコルスタックレベルで発生します。

PEAP-MSCHAPv2を使用している場合(ほとんどの場合、パスワードのヒントが与えられます)、RadiusサーバーがMS-CHAP-Errorメッセージをクライアントに送り返すように構成されていることを確認してください。一部のバージョンのfreeradiusではデフォルトで無効になっていると思います。 eap.confでこれを探してください:

           mschapv2 {
                    #  Prior to version 2.1.11, the module never
                    #  sent the MS-CHAP-Error message to the
                    #  client.  This worked, but it had issues
                    #  when the cached password was wrong.  The
                    #  server *should* send "E=691 R=0" to the
                    #  client, which tells it to Prompt the user
                    #  for a new password.
                    #
                    #  The default is to behave as in 2.1.10 and
                    #  earlier, which is known to work.  If you
                    #  set "send_error = yes", then the error
                    #  message will be sent back to the client.
                    #  This *may* help some clients work better,
                    #  but *may* also cause other clients to stop
                    #  working.
                    #
                    #send_error = no
            }

はいに変更します。

2
Giovanni Bajo

コストが問題にならないことが確実な場合は、実際のCiscoアクセスポイント(Cisco aironetなど)を入手して、可能であればlinksysを避けてください。

http://www.Cisco.com/en/US/products/hw/wireless/index.html

Linksysは、ホームオフィスや小規模オフィスに適しています。ただし、これより大きいものにはお勧めしません。

WLC(無線LANコントローラー)を入手することもできます。それはより大きな投資ですが、それだけの価値があります。中央の場所からapsを管理できます。また、ワイヤレスクライアントは、チャネル設定、アンテナ電力レベル、およびクライアントローミングを管理するのでメリットがあります。

Update(コメントへの返信):私は自宅でwrt54glを使用していますが、一般的にはうまく機能しますが、高速でダウンロードするとワイヤレス部分が停止する可能性があります(再起動で修正可能です)。スイッチ機能はCPUに実装されています。大きなファイルをあるマシンから別のマシンにコピーすると、CPU使用率が大幅に上昇します。 CPU使用率が高いと、それほど安定しません

update2:WLCは厳密には必要ありません。仕事もしていませんが、楽になるだけなのでやりたいです。 APが問題の原因であるかどうかをテストするには、Cisco(スタンドアロン)Aironet AP(1つのみ)を入手し、同じセットアップでテストして、問題が解決するかどうかを確認します。まともなベンダーから試乗できると確信しています。

1
cstamas

同様の問題があるので、MacOSXに問題があると思いますが、radiusまたはLinksysギアを使用していません。

それをテストするための別のOSを持っていますか?それがiPhoneまたはWindowsPCでそれを行うかどうかを確認してください。

0
Matt