Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Аутентификация RADIUS, прерывающая DHCP-запросы, UniFi Network
 
#1
04.03.2013 18:01:00
Недавно я добавил аутентификацию RADIUS на наши UniFi. Наш RADIUS-сервер работает на Windows 2012 (роль NAP), а учетные данные пользователей проверяются через контроллер домена Active Directory. Мы развернули новый SSID с аутентификацией через RADIUS с помощью групповой политики, и пользователи начали подключаться. Почти сразу начали поступать жалобы, что пользователи не могут выходить в интернет через беспроводную сеть.

Просмотрев все логи (RADIUS, UniFi, SonicWall, DHCP и прочие), складывается впечатление, что клиенты успешно проходят аутентификацию, но не получают IP-адрес от DHCP-сервера, при этом сам DHCP-сервер так и не видит запросы на обновление IP. Перезагрузка UniFi решает проблему.

Мы подключали ноутбуки через Ethernet и пытались обновить IP для беспроводного подключения, но запросы просто таймятся. После сброса IP его обратно получить не получается.

До введения аутентификации через RADIUS проблем с беспроводным доступом не было, UniFi работали без сбоев. Все неполадки начались именно после внедрения RADIUS. Отключить RADIUS мы не можем, так как обязаны отслеживать пользователей для соответствия требованиям и аудита.

Все пользователи работают на Windows 7 с ноутбуками и планшетами, все устройства присоединены к домену.

Похоже, что RADIUS как-то мешает UniFi корректно обрабатывать DHCP-запросы. Есть идеи или предложения?

Прикладываю схему сети, где показаны только участвующие элементы.
 
 
 
#2
20.09.2013 06:07:00
Ты пробовал обновить прошивку до последней версии 2.4.5? У нас практически одинаковая настройка, и проблем нет. Единственное, что хотелось бы поправить — это аутентификацию через RADIUS, некоторых атрибутов не хватает. В остальном же связь стабильная, а аутентификация проходит достаточно быстро (3 Unifi AP, по 25-30 клиентов на каждом).
 
 
 
#3
23.09.2013 12:20:00
@dyzophoria — думаю, можно использовать radius accounting, чтобы получить IP клиента, но поскольку этот способ не всегда срабатывает на 100%, мы сейчас сопоставляем MAC-адрес клиента с нашими DHCP-записями. Это, конечно, кривой обходной путь, но на практике работает отлично.
 
 
 
#4
23.09.2013 03:21:00
Хотел бы также уточнить по поводу использования как аутентификации хоста, так и пользователя — это особенно проблематично на системах Windows XP, на Windows 8 по умолчанию используется аутентификация пользователя. @nicktc Хотя это и не сильно связано с темой, хотелось узнать: в вашей настройке freeradius в логах правильно отображаются IP-адреса вызывающей станции? (IP-адреса клиента). Спасибо.
 
 
 
#5
23.09.2013 00:02:00
У нас работает версия 2.4.5 + freeradius + NPS, и никаких проблем вообще нет. Но раз вы сказали: «Мы развернули новый SSID с аутентификацией через RADIUS с помощью групповой политики, и пользователи начали подключаться», возможно, стоит проверить, используют ли ноутбуки(?) учётные данные хоста или пользователя, и принудительно задать один из вариантов. У меня было несколько проблем, когда сначала использовались учётные данные хоста для входа, а потом переключались на учётные данные пользователя (это не специфично для unifi, такие же проблемы возникают и на других точках доступа). Использование только учётных данных хоста не позволит отслеживать пользователя, но у нас это решается с помощью системы «выдачи ноутбуков», и мы сопоставляем эти данные вместе.
 
 
 
#6
22.09.2013 23:35:00
Да, AP работает на версии 2.4.5.2077. Я тестировал в лаборатории, но через пару дней отнесу WAP клиенту и попробую в их среде, так как они уже используют RADIUS для других продуктов. Уверен, дело как-то связано с NPS или чем-то в этом роде... Спасибо, Барри.
 
 
 
#7
20.09.2013 05:08:00
Вот что записано в журнале событий безопасности... Сервер сетевой политики предоставил пользователю доступ.  
Пользователь:  
Security ID: domain\user  
Имя учетной записи: user  
Домен учетной записи: domain  
Полное имя учетной записи: domain\user  

Клиентская машина:  
Security ID: NULL SID  
Имя учетной записи: -  
Полное имя учетной записи: -  
Версия ОС: -  
Идентификатор вызывающей станции: DC-9F-DB-1C-F1-9A😰  
SID  
Идентификатор станции вызова: 00-21-6B-29-10-FE  

NAS:  
IPv4-адрес NAS: -  
IPv6-адрес NAS: -  
Идентификатор NAS: -  
Тип порта NAS: Wireless - IEEE 802.11  
Порт NAS: 0  

RADIUS-клиент:  
Дружественное имя клиента: WAP  
IP-адрес клиента: 192.168.3.142  

Данные аутентификации:  
Имя политики запроса подключения: me  
Имя сетевой политики: me4  
Поставщик аутентификации: Windows  
Сервер аутентификации: server.FQDN  
Тип аутентификации: PEAP  
Тип EAP: Microsoft: Защищённый пароль (EAP-MSCHAP v2)  
Идентификатор сессии учётной записи: -  
Результаты регистрации: Информация учёта была записана в локальный файл журнала.  

Информация о карантине:  
Результат: Полный доступ  
Идентификатор сессии: -
 
 
 
#8
20.09.2013 04:45:00
После дополнительных тестов, если я назначаю фиксированный IP-адрес сетевому адаптеру, я могу пинговать IP-адрес WAP, но ничего больше в сети, и это заставляет меня думать, что проблема где-то в Network Policy Server. Однако я не вижу ничего неправильного в политике запросов на подключение или сети, что могло бы полностью блокировать доступ к сети. Это объясняет, почему клиент не получает адрес по DHCP. Кто-нибудь может подсказать, на что ещё обратить внимание?
 
 
 
#9
20.09.2013 03:16:00
Привет. Похоже, у меня такая же проблема. Я только что настроил новый UniFi PRO AP с контроллером UniFi версии 2.4.5. Использую WPA-Enterprise с аутентификацией RADIUS на сервере Windows 2008. Один пользователь (ноутбук с Windows 7) может подключиться к Wi-Fi, но примерно через две минуты его IP меняется с нормального на 169.254.x.x, и он теряет доступ к сети, хотя Wi-Fi остаётся подключённым. Потом я заметил, что AP так и не обновился с версии "2.4.1.2004" до "2.4.5.2077", сделал обновление — и теперь вроде стабильнее.

Теперь iPhone подключается к WLAN, но никогда не получает нормальный IP — всегда 169.254.x.x. Он подключается, но с таким адресом. Я использую самоподписанный сертификат, и iPhone запросил его принять, выбрал "всегда", так что казалось бы, должно нормально работать.

Есть мысли по этому поводу? И прямо перед тем, как отправить это сообщение, Windows-ноутбук отключился от WLAN, пришлось подключать заново... и через две минуты снова IP 169.254.x.x. Помогите!
 
 
 
Страницы: 1
Читают тему (гостей: 1)