Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Динамические VLAN — поддержка Gen1 UAP?, UniFi Network
 
#1
21.09.2016 20:47:00
У меня динамические VLANы отлично работают на устройствах AC-lite (Gen2). Один из точек доступа в сети — старый UAP, все прошивки стоят 3.7.17.5220. Но клиенты не могут подключиться к Gen1:  
Sep 21 21:38:03 AAP user.warn kernel: [715690.554000] ieee80211_ioctl_setparam: VLANID32 = 0
Sep 21 21:38:03 AAP user.warn kernel: [715690.555000] 40:b8:37:b0:79:da: node vid=0 rsn_authmode=0x00000040, ni_authmode=0x00
Sep 21 21:38:03 AAP user.info syslog: wevent.ubnt_custom_event(): EVENT_STA_LEAVE ath1: 40:b8:37:b0:79:da / 0  

Пользователям конкретно не приходит VLAN ID от RADIUS сервера (они подключаются к нетегированному VLAN).  

Поддержка динамических VLAN одинаковая в устройствах Gen1 и Gen2?
 
 
 
#2
17.01.2017 10:43:00
Рад, что всё уладилось.
 
 
 
#3
17.01.2017 10:21:00
Запустил всё! Похоже, что фильтр Calling Station ID по SSID блокировал это и заставлял использовать неправильную политику. Думаю, можно будет убрать эти политики по умолчанию. Также исправил фильтр calling station ID — у меня была ошибка в регулярном выражении, я забыл поставить $ в конце! Огромное спасибо за помощь.

@J1mbo
 
 
 
#4
17.01.2017 10:06:00
Похоже, используется политика «Подключения к другим серверам доступа»!?
 
 
 
#5
17.01.2017 09:41:00
Похоже, у вас чего-то не хватает, возможно, учетная запись пользователя совпадает с другой политикой NPS? Проверьте журнал на сервере NPS по пути c:\windows\system32\logfiles, вот пример строки:

"[nps-server-name]","IAS",01/16/2017,14:00:00,2,,"[username]",,,,,,,,0,"[NPS-Client-IP-address]","[NPS-RADIUS-Client-Friendly-Name]",,,,,1,2,11,"[NPS-Network-Policy-Name]",0,"311 1 [nps-server-IP-address] 12/12/2016 12:00:00 123456",[session-timeout-in-seconds],,1,"Microsoft: Secured password (EAP-MSCHAP v2)",,,,,,,,,,,,,,,13,6,,,, "[VLAN-ID-here]",,,,,,,, "0x01AC41FF",,,"[NPS-Connection-Request-Policy-Name]",1,,,,

Особое внимание обратите именно на сетевую политику NPS и так далее.
 
 
 
#6
16.01.2017 13:56:00
Вот что я получаю...
 
 
 
#7
16.01.2017 13:52:00
Отлично, можешь попробовать tcpdump -s 65535, чтобы захватить полные пакеты.
 
 
 
#8
16.01.2017 13:27:00
Мой сервер отправляет ответы Access-Accept2, я зафиксировал это через tcp dump на UAP. Я сбросил все shared secrets на что-то простое, чтобы точно убедиться, что они все правильные — просто скопировал и вставил.
 
 
 
#9
16.01.2017 10:03:00
Похоже, ваш RADIUS-сервер всё ещё не работает нормально. Проверьте логи сервера и общие секреты по пути: C:\Windows\System32\LogFiles
 
 
 
#10
16.01.2017 08:35:00
Я вижу только пакеты Access-Request и Access-Challenge, но не вижу пакет RADIUS-Accept. Я мониторил с NPS через Wireshark, возможно, нужно провести захват с конца UAP с помощью tcpdump.
 
 
 
#11
13.01.2017 16:25:00
Ищи последний кадр в последовательности, RADIUS-Accept(2). Выдели этот кадр, тогда в средней панели Wireshark появится древовидный вид с основными заголовками Ethernet, IPv4, User Datagram, а теперь ещё и RADIUS. Раскрой этот раздел, затем перейди к Attribute Value Pairs, открой его — там будут видны все возвращаемые значения. Так можно проверить правильный ответ с VLAN.
 
 
 
#12
13.01.2017 14:59:00
Понял, это нововведение из обновления контроллера. Ладно, подключил Ethernet дополнительно к беспроводной сети, но результата нет. Захватил пакеты через Wireshark между точкой доступа и сервером NPS. Не совсем понимаю всю суть, вижу разные Access-Request и Access-Challenge пакеты, а также сертификат, который передаётся, но остальное для меня неясно.
 
 
 
#13
13.01.2017 10:26:00
Нет, в настройках профиля RADIUS для Unifi есть два поля — одно для проводного подключения, другое для беспроводного. Я просто отметил оба, но, возможно, там есть какая-то ошибка. Поле RADIUS в настройках SSID можно не отмечать (по крайней мере, у меня так настроено).
 
 
 
#14
13.01.2017 10:14:00
Вы имеете в виду тип порта NAS (Wireless - Other ИЛИ Wireless - IEEE 802.11)?
 
 
 
#15
13.01.2017 10:05:00
У тебя в профиле RADIUS обе галочки стоят? И что показывает ответ в Wireshark?
 
 
 
#16
13.01.2017 09:59:00
UAP-Pro - 3.7.35.6029  
Controller - 5.4.9 (Build: atag_5.4.9_9150)  
13 янв 09:57:24 TESTAP daemon.info hostapd: ath0: STA ac:cf:85:ca:9f:23 IEEE 802.11: подключился  
13 янв 09:57:24 TESTAP user.info syslog: wevent.ubnt_custom_event(): СОБЫТИЕ_STA_ПОДКЛЮЧЕНИЕ ath0: ac:cf:85:ca:9f:23 / 1  
13 янв 09:57:24 TESTAP daemon.info hostapd: ath0: STA ac:cf:85:ca:9f:23 WPA: завершено рукопожатие парного ключа (RSN)  
13 янв 09:57:24 TESTAP user.warn kernel: [ 445.906000] ieee80211_ioctl_setparam: VLANID32 = 0
13 янв 09:57:24 TESTAP user.warn kernel: [ 445.906000] ac:cf:85:ca:9f:23: узел vid=0 rsn_authmode=0x00000040, ni_authmode=0x00
13 янв 09:57:24 TESTAP daemon.info hostapd: ath0: STA ac:cf:85:ca:9f:23 RADIUS: запуск сессии учёта 5878A2F7-00000001  
13 янв 09:57:24 TESTAP daemon.info hostapd: ath0: STA ac:cf:85:ca:9f:23 IEEE 802.1X: аутентифицирован - тип EAP: 25 (PEAP) (кэш PMKSA)
 
 
 
#17
13.01.2017 09:35:00
RADIUS ACCEPT2 sta 7c:7a:91:ff:12:bb неверный vlan_id, принудительно установлен в 0. Я бы переключился на тестовую точку доступа с потоком 5.4 и попробовал ещё раз. Но если это важное продакшн-оборудование, то советую всё же собрать новый контроллер.
 
 
 
#18
13.01.2017 09:19:00
Версия контроллера – 5.3.8 (Build: atag_5.3.8_8920)  
UAP-Pro – 3.7.18.5368  

Как думаешь, стоит ли попробовать прошивку 3.7.32 на точке доступа?  
Сейчас у меня настроен тестовый сайт с одной точкой доступа и только одним SSID, с VLAN, назначенным через RADIUS. На основном сайте у меня есть контроллер с другими точками, использующими этот же VLAN тег, может, стоит протестировать совсем другой VLAN тег, чтобы быть увереным?  

Точка доступа внесена в список radius-клиентов, я пробовал и IP-адрес, и DNS-имя. Также несколько раз проверил, что общий секрет задан правильно. Если честно, аутентификация проходит нормально.  

Для фильтрации запросов использую Calling Station ID в политике сети, так что запросы идут только от моего тестового SSID. Это вроде работает.  

Планирую настроить Wireshark, чтобы получить больше информации.  

Несколько дней назад смотрел логи точки доступа:  
Jan 10 11:59:44 UBNT user.info syslog: wevent.ubnt_custom_event(): EVENT_STA_JOIN ath1: 7c:7a:91:ff:12:bb / 1  
Jan 10 11:59:44 UBNT daemon.info hostapd: ath1: STA 7c:7a:91:ff:12:bb IEEE 802.11: associated  
Jan 10 11:59:44 UBNT daemon.notice hostapd: CTRL-EVENT-EAP-STARTED 7c:7a:91:ff:12:bb  
Jan 10 11:59:44 UBNT user.warn kernel: [ 505.272000] ieee80211_ioctl_setparam: VLANID32 = 0
Jan 10 11:59:44 UBNT user.warn kernel: [ 505.272000] 7c:7a:91:ff:12:bb: node vid=0 rsn_authmode=0x00000040, ni_authmode=0x00
Jan 10 11:59:44 UBNT daemon.notice hostapd: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1  
Jan 10 11:59:44 UBNT daemon.notice hostapd: CTRL-EVENT-EAP-STARTED 7c:7a:91:ff:12:bb  
Jan 10 11:59:44 UBNT daemon.notice hostapd: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1  
Jan 10 11:59:44 UBNT daemon.info hostapd: ath1: RADIUS Send failed - maybe interface status changed - try to connect again  
Jan 10 11:59:44 UBNT daemon.info hostapd: ath1: RADIUS Authentication server 192.168.0.35:1812  
Jan 10 11:59:47 UBNT daemon.warn hostapd: RADIUS ACCEPT2 sta 7c:7a:91:ff:12:bb invalid vlan_id, forced to 0  
Jan 10 11:59:47 UBNT daemon.info hostapd: ath1: STA 7c:7a:91:ff:12:bb WPA: pairwise key handshake completed (RSN)  
Jan 10 11:59:47 UBNT daemon.notice hostapd: AP-STA-CONNECTED 7c:7a:91:ff:12:bb  
Jan 10 11:59:47 UBNT daemon.info hostapd: ath1: STA 7c:7a:91:ff:12:bb RADIUS: starting accounting session 00000013-00000000  
Jan 10 11:59:47 UBNT user.warn kernel: [ 508.472000] ieee80211_ioctl_setparam: VLANID32 = 0
Jan 10 11:59:47 UBNT user.warn kernel: [ 508.472000] 7c:7a:91:ff:12:bb: node vid=0 rsn_authmode=0x00000040, ni_authmode=0x00
Jan 10 11:59:47 UBNT daemon.info hostapd: ath1: STA 7c:7a:91:ff:12:bb IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
 
 
 
#19
13.01.2017 08:25:00
У вас настроены RADIUS-клиенты в NPS (по одному на каждую точку доступа), и у всех правильный общий секрет? RADIUS вообще не шифруется, по крайней мере в ответах, поэтому если запустить Wireshark на сервере NPS, вы сможете увидеть ответы при попытках подключения и проверить все настройки. Затем обратите внимание на логи UAP, где будет показан настроенный VLAN при ассоциации, например:  
Jan 13 08:04:50 AP1 daemon.info hostapd: ath0: STA f0:27:2d:b6:a2:24 WPA: завершён рукопожатие pairwise key handshake (RSN)  
Jan 13 08:04:50 AP1 daemon.info hostapd: ath0: STA f0:27:2d:b6:a2:24 RADIUS: начало сессии учёта 0000000D-00000263  
Jan 13 08:04:50 AP1 daemon.info hostapd: ath0: STA f0:27:2d:b6:a2:24 IEEE 802.1X: аутентификация прошла — тип EAP: 25 (PEAP) (PMKSA cache)  
Jan 13 08:04:50 AP1 kern.warn kernel: [937827.790000] ieee80211_ioctl_setparam: VLANID32 = 4

Какой контроллер/прошивку вы используете? В некоторых недавних dev-сборках есть проблемы с 802.1X; у меня нормально работает версия 5.4.7 с ядром 3.7.32.
 
 
 
#20
13.01.2017 08:09:00
Спасибо, @J1mbo, похоже, что мои настройки правильные, но всё равно не работает. Очень нужно это починить, потому что у нас серьёзные проблемы с текущим radius-сервером на нашем фаерволе для организации BYOD для сотрудников и студентов (Smoothwall). Кто-нибудь из UBNT может помочь, пожалуйста???
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)