Перейти к содержимому
Калькуляторы

Ubiquiti и RADIUS на Windows - помогите подружить...

Добрый день.

 

Уже неделю пытаюсь побороть проблему сопряжения програмного WiFi контроллера Ubiquiti (Unifi 4.7.5) с RADIUS сервером под Windows.

 

В общем виде топология такова:

https://community.ubnt.com/t5/image/serverpage/image-id/62109i33C4E4A36806AF8B/image-size/original?v=mpbl-1&px=-1

 

Хотел получить полностью изолированную VLAN-ами беспроводную сеть с точкой сопряжения в виде маршрутизатора (на схеме отмечен как gate).

Доступ к некоторым внутренним ресурсам, живущим на серверах в офисной LAN сети - также посредством роутинга через маршрутизатор.

Контроллер висит на отдельной физической машике под Debian-ом. Контроллер накатывался с официального мануала из репозитория производителя.

DNS для вайфая - на гейте, DHCP - на самом контроллере. Контроллер админится через ssh.

 

Все работает замечательно: и беспроводные сети (основная и гостевая), и гостевой портал (ubiquiti прекрасно его умеет), и доступ к внутренним ресурсам сети (интранет-порталу), и админинг контроллера через вебморду и ssh из офисной сети.

 

Напоследок решил прикрутить WPA-ENT и тут начались грабли. Делал по официальным мануалам (правда они до сих пор для третьей версии контроллера). Внутренний доменный центр сертификатов у меня уже был, для нового NAP сервера под Windows 2008R2 для EAP он прекрасно выдался автоматом.

Сперва пробовал оставить в Network Policies для политики доступа только EAP-MSCHAP-V2 - ругается.

Добавил EAP с сертификатом (хотя напряжно было бы их выдавать каждому BYOD девайсу) - задумывается и потом ругается.

 

Клиенты (точки доступа Ubiquiti) в NAP прописаны (на шаред-кее), в логах гейта запросы от них к RADIUS серверу прекрасно видны.

Проблема одинаковая на любой клиентской платформе - виндах, андроиде, iOS, вне зависимости от того что на клиенте можно потвикать.

 

В логах NAP-а:

 

Network Policy Server denied access to a user.

 

Contact the Network Policy Server administrator for more information.

 

User:

Security ID: DOMAIN\test_user

Account Name: test_user

Account Domain: DOMAIN

Fully Qualified Account Name: DOMAIN\test_user

 

Client Machine:

Security ID: NULL SID

Account Name: -

Fully Qualified Account Name: -

OS-Version: -

Called Station Identifier: MAC:finaltest

Calling Station Identifier: MAC

 

NAS:

NAS IPv4 Address: 192.168.2.3

NAS IPv6 Address: -

NAS Identifier: 44d9e722fadb

NAS Port-Type: Wireless - IEEE 802.11

NAS Port: 0

 

RADIUS Client:

Client Friendly Name: 192.168.2.3

Client IP Address: 192.168.2.3

 

Authentication Details:

Connection Request Policy Name: Secure Wireless Connections

Network Policy Name: Secure Wireless Connections

Authentication Provider: Windows

Authentication Server: radius-server.domain.local

Authentication Type: EAP

EAP Type: -

Account Session Identifier: -

Logging Results: Accounting information was written to the local log file.

Reason Code: 22

Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

 

Тип RADIUS-а в настройках клиентов (точек доступа) в NAP ставил как RADIUS Standart (бо в списке вендоров ессно Ubiquiti нету).

 

Под конец психанул и завел тестовый сервер под Windows 2012 R2, поднял там NAP, перенастроил точки на него - абсолютно аналогичный результат...

Чую что что-то неправильно шаманят сами точки при авторизации по EAP-у, но доказать не могу :)

 

Затиранил саппорт Ubiquiti: https://community.ubnt.com/t5/UniFi-Wireless/Trouble…ght/false#M125951

 

У кого получилось подружить Ubiquiti с Windows RADIUS - поделитесь шаманством...

Изменено пользователем Allan Stark

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали?

У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок.

RADIUS EAP поддерживает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали?

У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок.

RADIUS EAP поддерживает?

 

Сами точки у Ubiquiti весьма зарезаны по функционалу их админинга, там окромя инфы по точке, перепрошивке, ребуту и возврата к заводским - мало что можно сделать.

Все настройки, в т.ч. системное время они берут со своего контроллера Unifi. Там системное время тянется с доменного ntp, т.е. корректное.

Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать.

http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf

Изменено пользователем LOH

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, время там доменное, во всяком случае на контроллере.

В логах радиуса - что данный тип EAP не поддерживается. Сертификат - валидный, свежевыданный доменным CA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать.

Я не про точки, я про радиус-сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

unifi 3.2.10 c freeradius3 работает - все виды авторизации (eap, peap ...), клиенты под виндой, андроидом и ios. даже dhcp из mysql тоже работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

даже dhcp из mysql тоже работает.

а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

даже dhcp из mysql тоже работает.

а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать....

в конфигах ip-pool есть, но сам не пробовал. у нас fr3 берет ip-шники из базы биллинга и раздает unifi клиентам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не про точки, я про радиус-сервер

 

 

Майкрософт заявляет что не только поддерживает, а и является основным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Майкрософт заявляет что не только поддерживает, а и является основным.

Настройте сначала на FreeRADIUS, убедитесь, что всё работает корректно, а затем, переделывайте на МС, ну и гугл по ошибкам в логах сервера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В итоге таки поборол.

По факту точки доступа Ubiquiti не поддерживают PPP & Framed в процессе EAP аутентификации.

Согласно https://technet.microsoft.com/en-us/library/cc771164(WS.10).aspx конкретно для Ubiquiti надо юзать Framed-MTU = 1344.

Вендору не мешало бы освещать сей факт в документации и мануалах...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев.

 

Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые MS ставит по дефолту в политику, а Ubiquiti видимо не поддерживает.

Изменено пользователем Allan Stark

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые Ubiquiti видимо не поддерживает.

Да, с большой долей вероятности данные аттрибуты не поддерживаются (гугл HOSTAPD RADIUS), но это никак не должно влиять на процесс авторизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.