Allan Stark Posted October 19, 2015 Posted October 19, 2015 (edited) Добрый день. Уже неделю пытаюсь побороть проблему сопряжения програмного WiFi контроллера Ubiquiti (Unifi 4.7.5) с RADIUS сервером под Windows. В общем виде топология такова: https://community.ubnt.com/t5/image/serverpage/image-id/62109i33C4E4A36806AF8B/image-size/original?v=mpbl-1&px=-1 Хотел получить полностью изолированную VLAN-ами беспроводную сеть с точкой сопряжения в виде маршрутизатора (на схеме отмечен как gate). Доступ к некоторым внутренним ресурсам, живущим на серверах в офисной LAN сети - также посредством роутинга через маршрутизатор. Контроллер висит на отдельной физической машике под Debian-ом. Контроллер накатывался с официального мануала из репозитория производителя. DNS для вайфая - на гейте, DHCP - на самом контроллере. Контроллер админится через ssh. Все работает замечательно: и беспроводные сети (основная и гостевая), и гостевой портал (ubiquiti прекрасно его умеет), и доступ к внутренним ресурсам сети (интранет-порталу), и админинг контроллера через вебморду и ssh из офисной сети. Напоследок решил прикрутить WPA-ENT и тут начались грабли. Делал по официальным мануалам (правда они до сих пор для третьей версии контроллера). Внутренний доменный центр сертификатов у меня уже был, для нового NAP сервера под Windows 2008R2 для EAP он прекрасно выдался автоматом. Сперва пробовал оставить в Network Policies для политики доступа только EAP-MSCHAP-V2 - ругается. Добавил EAP с сертификатом (хотя напряжно было бы их выдавать каждому BYOD девайсу) - задумывается и потом ругается. Клиенты (точки доступа Ubiquiti) в NAP прописаны (на шаред-кее), в логах гейта запросы от них к RADIUS серверу прекрасно видны. Проблема одинаковая на любой клиентской платформе - виндах, андроиде, iOS, вне зависимости от того что на клиенте можно потвикать. В логах NAP-а: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: DOMAIN\test_user Account Name: test_user Account Domain: DOMAIN Fully Qualified Account Name: DOMAIN\test_user Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: MAC:finaltest Calling Station Identifier: MAC NAS: NAS IPv4 Address: 192.168.2.3 NAS IPv6 Address: - NAS Identifier: 44d9e722fadb NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 0 RADIUS Client: Client Friendly Name: 192.168.2.3 Client IP Address: 192.168.2.3 Authentication Details: Connection Request Policy Name: Secure Wireless Connections Network Policy Name: Secure Wireless Connections Authentication Provider: Windows Authentication Server: radius-server.domain.local Authentication Type: EAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 22 Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server. Тип RADIUS-а в настройках клиентов (точек доступа) в NAP ставил как RADIUS Standart (бо в списке вендоров ессно Ubiquiti нету). Под конец психанул и завел тестовый сервер под Windows 2012 R2, поднял там NAP, перенастроил точки на него - абсолютно аналогичный результат... Чую что что-то неправильно шаманят сами точки при авторизации по EAP-у, но доказать не могу :) Затиранил саппорт Ubiquiti: https://community.ubnt.com/t5/UniFi-Wireless/Trouble…ght/false#M125951 У кого получилось подружить Ubiquiti с Windows RADIUS - поделитесь шаманством... Edited October 19, 2015 by Allan Stark Вставить ник Quote
NewUse Posted October 19, 2015 Posted October 19, 2015 Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали? У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок. RADIUS EAP поддерживает? Вставить ник Quote
LOH Posted October 20, 2015 Posted October 20, 2015 (edited) Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали? У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок. RADIUS EAP поддерживает? Сами точки у Ubiquiti весьма зарезаны по функционалу их админинга, там окромя инфы по точке, перепрошивке, ребуту и возврата к заводским - мало что можно сделать. Все настройки, в т.ч. системное время они берут со своего контроллера Unifi. Там системное время тянется с доменного ntp, т.е. корректное. Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать. http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf Edited October 20, 2015 by LOH Вставить ник Quote
Allan Stark Posted October 20, 2015 Author Posted October 20, 2015 Да, время там доменное, во всяком случае на контроллере. В логах радиуса - что данный тип EAP не поддерживается. Сертификат - валидный, свежевыданный доменным CA. Вставить ник Quote
NewUse Posted October 20, 2015 Posted October 20, 2015 Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать. Я не про точки, я про радиус-сервер. Вставить ник Quote
dimonix Posted October 20, 2015 Posted October 20, 2015 unifi 3.2.10 c freeradius3 работает - все виды авторизации (eap, peap ...), клиенты под виндой, андроидом и ios. даже dhcp из mysql тоже работает. Вставить ник Quote
NewUse Posted October 20, 2015 Posted October 20, 2015 даже dhcp из mysql тоже работает. а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать.... Вставить ник Quote
dimonix Posted October 20, 2015 Posted October 20, 2015 даже dhcp из mysql тоже работает. а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать.... в конфигах ip-pool есть, но сам не пробовал. у нас fr3 берет ip-шники из базы биллинга и раздает unifi клиентам :) Вставить ник Quote
Allan Stark Posted October 21, 2015 Author Posted October 21, 2015 Я не про точки, я про радиус-сервер Майкрософт заявляет что не только поддерживает, а и является основным. Вставить ник Quote
NewUse Posted October 21, 2015 Posted October 21, 2015 Майкрософт заявляет что не только поддерживает, а и является основным. Настройте сначала на FreeRADIUS, убедитесь, что всё работает корректно, а затем, переделывайте на МС, ну и гугл по ошибкам в логах сервера. Вставить ник Quote
Allan Stark Posted October 22, 2015 Author Posted October 22, 2015 В итоге таки поборол. По факту точки доступа Ubiquiti не поддерживают PPP & Framed в процессе EAP аутентификации. Согласно https://technet.microsoft.com/en-us/library/cc771164(WS.10).aspx конкретно для Ubiquiti надо юзать Framed-MTU = 1344. Вендору не мешало бы освещать сей факт в документации и мануалах... Вставить ник Quote
dimonix Posted October 22, 2015 Posted October 22, 2015 Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев. Вставить ник Quote
Allan Stark Posted October 22, 2015 Author Posted October 22, 2015 (edited) Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев. Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые MS ставит по дефолту в политику, а Ubiquiti видимо не поддерживает. Edited October 22, 2015 by Allan Stark Вставить ник Quote
NewUse Posted October 22, 2015 Posted October 22, 2015 Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые Ubiquiti видимо не поддерживает. Да, с большой долей вероятности данные аттрибуты не поддерживаются (гугл HOSTAPD RADIUS), но это никак не должно влиять на процесс авторизации. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.