Allan Stark Posted October 19, 2015 (edited) · Report post Добрый день. Уже неделю пытаюсь побороть проблему сопряжения програмного WiFi контроллера Ubiquiti (Unifi 4.7.5) с RADIUS сервером под Windows. В общем виде топология такова: https://community.ubnt.com/t5/image/serverpage/image-id/62109i33C4E4A36806AF8B/image-size/original?v=mpbl-1&px=-1 Хотел получить полностью изолированную VLAN-ами беспроводную сеть с точкой сопряжения в виде маршрутизатора (на схеме отмечен как gate). Доступ к некоторым внутренним ресурсам, живущим на серверах в офисной LAN сети - также посредством роутинга через маршрутизатор. Контроллер висит на отдельной физической машике под Debian-ом. Контроллер накатывался с официального мануала из репозитория производителя. DNS для вайфая - на гейте, DHCP - на самом контроллере. Контроллер админится через ssh. Все работает замечательно: и беспроводные сети (основная и гостевая), и гостевой портал (ubiquiti прекрасно его умеет), и доступ к внутренним ресурсам сети (интранет-порталу), и админинг контроллера через вебморду и ssh из офисной сети. Напоследок решил прикрутить WPA-ENT и тут начались грабли. Делал по официальным мануалам (правда они до сих пор для третьей версии контроллера). Внутренний доменный центр сертификатов у меня уже был, для нового NAP сервера под Windows 2008R2 для EAP он прекрасно выдался автоматом. Сперва пробовал оставить в Network Policies для политики доступа только EAP-MSCHAP-V2 - ругается. Добавил EAP с сертификатом (хотя напряжно было бы их выдавать каждому BYOD девайсу) - задумывается и потом ругается. Клиенты (точки доступа Ubiquiti) в NAP прописаны (на шаред-кее), в логах гейта запросы от них к RADIUS серверу прекрасно видны. Проблема одинаковая на любой клиентской платформе - виндах, андроиде, iOS, вне зависимости от того что на клиенте можно потвикать. В логах NAP-а: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: DOMAIN\test_user Account Name: test_user Account Domain: DOMAIN Fully Qualified Account Name: DOMAIN\test_user Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: MAC:finaltest Calling Station Identifier: MAC NAS: NAS IPv4 Address: 192.168.2.3 NAS IPv6 Address: - NAS Identifier: 44d9e722fadb NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 0 RADIUS Client: Client Friendly Name: 192.168.2.3 Client IP Address: 192.168.2.3 Authentication Details: Connection Request Policy Name: Secure Wireless Connections Network Policy Name: Secure Wireless Connections Authentication Provider: Windows Authentication Server: radius-server.domain.local Authentication Type: EAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 22 Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server. Тип RADIUS-а в настройках клиентов (точек доступа) в NAP ставил как RADIUS Standart (бо в списке вендоров ессно Ubiquiti нету). Под конец психанул и завел тестовый сервер под Windows 2012 R2, поднял там NAP, перенастроил точки на него - абсолютно аналогичный результат... Чую что что-то неправильно шаманят сами точки при авторизации по EAP-у, но доказать не могу :) Затиранил саппорт Ubiquiti: https://community.ubnt.com/t5/UniFi-Wireless/Trouble…ght/false#M125951 У кого получилось подружить Ubiquiti с Windows RADIUS - поделитесь шаманством... Edited October 19, 2015 by Allan Stark Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 19, 2015 · Report post Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали? У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок. RADIUS EAP поддерживает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LOH Posted October 20, 2015 (edited) · Report post Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали? У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок. RADIUS EAP поддерживает? Сами точки у Ubiquiti весьма зарезаны по функционалу их админинга, там окромя инфы по точке, перепрошивке, ребуту и возврата к заводским - мало что можно сделать. Все настройки, в т.ч. системное время они берут со своего контроллера Unifi. Там системное время тянется с доменного ntp, т.е. корректное. Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать. http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf Edited October 20, 2015 by LOH Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Allan Stark Posted October 20, 2015 · Report post Да, время там доменное, во всяком случае на контроллере. В логах радиуса - что данный тип EAP не поддерживается. Сертификат - валидный, свежевыданный доменным CA. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 20, 2015 · Report post Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать. Я не про точки, я про радиус-сервер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimonix Posted October 20, 2015 · Report post unifi 3.2.10 c freeradius3 работает - все виды авторизации (eap, peap ...), клиенты под виндой, андроидом и ios. даже dhcp из mysql тоже работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 20, 2015 · Report post даже dhcp из mysql тоже работает. а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimonix Posted October 20, 2015 · Report post даже dhcp из mysql тоже работает. а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать.... в конфигах ip-pool есть, но сам не пробовал. у нас fr3 берет ip-шники из базы биллинга и раздает unifi клиентам :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Allan Stark Posted October 21, 2015 · Report post Я не про точки, я про радиус-сервер Майкрософт заявляет что не только поддерживает, а и является основным. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 21, 2015 · Report post Майкрософт заявляет что не только поддерживает, а и является основным. Настройте сначала на FreeRADIUS, убедитесь, что всё работает корректно, а затем, переделывайте на МС, ну и гугл по ошибкам в логах сервера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Allan Stark Posted October 22, 2015 · Report post В итоге таки поборол. По факту точки доступа Ubiquiti не поддерживают PPP & Framed в процессе EAP аутентификации. Согласно https://technet.microsoft.com/en-us/library/cc771164(WS.10).aspx конкретно для Ubiquiti надо юзать Framed-MTU = 1344. Вендору не мешало бы освещать сей факт в документации и мануалах... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimonix Posted October 22, 2015 · Report post Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Allan Stark Posted October 22, 2015 (edited) · Report post Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев. Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые MS ставит по дефолту в политику, а Ubiquiti видимо не поддерживает. Edited October 22, 2015 by Allan Stark Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted October 22, 2015 · Report post Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые Ubiquiti видимо не поддерживает. Да, с большой долей вероятности данные аттрибуты не поддерживаются (гугл HOSTAPD RADIUS), но это никак не должно влиять на процесс авторизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...