Jump to content
Калькуляторы

Ubiquiti и RADIUS на Windows - помогите подружить...

Добрый день.

 

Уже неделю пытаюсь побороть проблему сопряжения програмного WiFi контроллера Ubiquiti (Unifi 4.7.5) с RADIUS сервером под Windows.

 

В общем виде топология такова:

https://community.ubnt.com/t5/image/serverpage/image-id/62109i33C4E4A36806AF8B/image-size/original?v=mpbl-1&px=-1

 

Хотел получить полностью изолированную VLAN-ами беспроводную сеть с точкой сопряжения в виде маршрутизатора (на схеме отмечен как gate).

Доступ к некоторым внутренним ресурсам, живущим на серверах в офисной LAN сети - также посредством роутинга через маршрутизатор.

Контроллер висит на отдельной физической машике под Debian-ом. Контроллер накатывался с официального мануала из репозитория производителя.

DNS для вайфая - на гейте, DHCP - на самом контроллере. Контроллер админится через ssh.

 

Все работает замечательно: и беспроводные сети (основная и гостевая), и гостевой портал (ubiquiti прекрасно его умеет), и доступ к внутренним ресурсам сети (интранет-порталу), и админинг контроллера через вебморду и ssh из офисной сети.

 

Напоследок решил прикрутить WPA-ENT и тут начались грабли. Делал по официальным мануалам (правда они до сих пор для третьей версии контроллера). Внутренний доменный центр сертификатов у меня уже был, для нового NAP сервера под Windows 2008R2 для EAP он прекрасно выдался автоматом.

Сперва пробовал оставить в Network Policies для политики доступа только EAP-MSCHAP-V2 - ругается.

Добавил EAP с сертификатом (хотя напряжно было бы их выдавать каждому BYOD девайсу) - задумывается и потом ругается.

 

Клиенты (точки доступа Ubiquiti) в NAP прописаны (на шаред-кее), в логах гейта запросы от них к RADIUS серверу прекрасно видны.

Проблема одинаковая на любой клиентской платформе - виндах, андроиде, iOS, вне зависимости от того что на клиенте можно потвикать.

 

В логах NAP-а:

 

Network Policy Server denied access to a user.

 

Contact the Network Policy Server administrator for more information.

 

User:

Security ID: DOMAIN\test_user

Account Name: test_user

Account Domain: DOMAIN

Fully Qualified Account Name: DOMAIN\test_user

 

Client Machine:

Security ID: NULL SID

Account Name: -

Fully Qualified Account Name: -

OS-Version: -

Called Station Identifier: MAC:finaltest

Calling Station Identifier: MAC

 

NAS:

NAS IPv4 Address: 192.168.2.3

NAS IPv6 Address: -

NAS Identifier: 44d9e722fadb

NAS Port-Type: Wireless - IEEE 802.11

NAS Port: 0

 

RADIUS Client:

Client Friendly Name: 192.168.2.3

Client IP Address: 192.168.2.3

 

Authentication Details:

Connection Request Policy Name: Secure Wireless Connections

Network Policy Name: Secure Wireless Connections

Authentication Provider: Windows

Authentication Server: radius-server.domain.local

Authentication Type: EAP

EAP Type: -

Account Session Identifier: -

Logging Results: Accounting information was written to the local log file.

Reason Code: 22

Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

 

Тип RADIUS-а в настройках клиентов (точек доступа) в NAP ставил как RADIUS Standart (бо в списке вендоров ессно Ubiquiti нету).

 

Под конец психанул и завел тестовый сервер под Windows 2012 R2, поднял там NAP, перенастроил точки на него - абсолютно аналогичный результат...

Чую что что-то неправильно шаманят сами точки при авторизации по EAP-у, но доказать не могу :)

 

Затиранил саппорт Ubiquiti: https://community.ubnt.com/t5/UniFi-Wireless/Trouble…ght/false#M125951

 

У кого получилось подружить Ubiquiti с Windows RADIUS - поделитесь шаманством...

Edited by Allan Stark

Share this post


Link to post
Share on other sites

Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали?

У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок.

RADIUS EAP поддерживает?

Share this post


Link to post
Share on other sites

Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали?

У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок.

RADIUS EAP поддерживает?

 

Сами точки у Ubiquiti весьма зарезаны по функционалу их админинга, там окромя инфы по точке, перепрошивке, ребуту и возврата к заводским - мало что можно сделать.

Все настройки, в т.ч. системное время они берут со своего контроллера Unifi. Там системное время тянется с доменного ntp, т.е. корректное.

Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать.

http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf

Edited by LOH

Share this post


Link to post
Share on other sites

Да, время там доменное, во всяком случае на контроллере.

В логах радиуса - что данный тип EAP не поддерживается. Сертификат - валидный, свежевыданный доменным CA.

Share this post


Link to post
Share on other sites
Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать.

Я не про точки, я про радиус-сервер.

Share this post


Link to post
Share on other sites

unifi 3.2.10 c freeradius3 работает - все виды авторизации (eap, peap ...), клиенты под виндой, андроидом и ios. даже dhcp из mysql тоже работает.

Share this post


Link to post
Share on other sites
даже dhcp из mysql тоже работает.

а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать....

Share this post


Link to post
Share on other sites
даже dhcp из mysql тоже работает.

а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать....

в конфигах ip-pool есть, но сам не пробовал. у нас fr3 берет ip-шники из базы биллинга и раздает unifi клиентам :)

Share this post


Link to post
Share on other sites

Я не про точки, я про радиус-сервер

 

 

Майкрософт заявляет что не только поддерживает, а и является основным.

Share this post


Link to post
Share on other sites
Майкрософт заявляет что не только поддерживает, а и является основным.

Настройте сначала на FreeRADIUS, убедитесь, что всё работает корректно, а затем, переделывайте на МС, ну и гугл по ошибкам в логах сервера.

Share this post


Link to post
Share on other sites

В итоге таки поборол.

По факту точки доступа Ubiquiti не поддерживают PPP & Framed в процессе EAP аутентификации.

Согласно https://technet.microsoft.com/en-us/library/cc771164(WS.10).aspx конкретно для Ubiquiti надо юзать Framed-MTU = 1344.

Вендору не мешало бы освещать сей факт в документации и мануалах...

Share this post


Link to post
Share on other sites

Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев.

Share this post


Link to post
Share on other sites

Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев.

 

Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые MS ставит по дефолту в политику, а Ubiquiti видимо не поддерживает.

Edited by Allan Stark

Share this post


Link to post
Share on other sites
Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые Ubiquiti видимо не поддерживает.

Да, с большой долей вероятности данные аттрибуты не поддерживаются (гугл HOSTAPD RADIUS), но это никак не должно влиять на процесс авторизации.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this