Allan Stark Опубликовано 19 октября, 2015 (изменено) · Жалоба Добрый день. Уже неделю пытаюсь побороть проблему сопряжения програмного WiFi контроллера Ubiquiti (Unifi 4.7.5) с RADIUS сервером под Windows. В общем виде топология такова: https://community.ubnt.com/t5/image/serverpage/image-id/62109i33C4E4A36806AF8B/image-size/original?v=mpbl-1&px=-1 Хотел получить полностью изолированную VLAN-ами беспроводную сеть с точкой сопряжения в виде маршрутизатора (на схеме отмечен как gate). Доступ к некоторым внутренним ресурсам, живущим на серверах в офисной LAN сети - также посредством роутинга через маршрутизатор. Контроллер висит на отдельной физической машике под Debian-ом. Контроллер накатывался с официального мануала из репозитория производителя. DNS для вайфая - на гейте, DHCP - на самом контроллере. Контроллер админится через ssh. Все работает замечательно: и беспроводные сети (основная и гостевая), и гостевой портал (ubiquiti прекрасно его умеет), и доступ к внутренним ресурсам сети (интранет-порталу), и админинг контроллера через вебморду и ssh из офисной сети. Напоследок решил прикрутить WPA-ENT и тут начались грабли. Делал по официальным мануалам (правда они до сих пор для третьей версии контроллера). Внутренний доменный центр сертификатов у меня уже был, для нового NAP сервера под Windows 2008R2 для EAP он прекрасно выдался автоматом. Сперва пробовал оставить в Network Policies для политики доступа только EAP-MSCHAP-V2 - ругается. Добавил EAP с сертификатом (хотя напряжно было бы их выдавать каждому BYOD девайсу) - задумывается и потом ругается. Клиенты (точки доступа Ubiquiti) в NAP прописаны (на шаред-кее), в логах гейта запросы от них к RADIUS серверу прекрасно видны. Проблема одинаковая на любой клиентской платформе - виндах, андроиде, iOS, вне зависимости от того что на клиенте можно потвикать. В логах NAP-а: Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: DOMAIN\test_user Account Name: test_user Account Domain: DOMAIN Fully Qualified Account Name: DOMAIN\test_user Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: MAC:finaltest Calling Station Identifier: MAC NAS: NAS IPv4 Address: 192.168.2.3 NAS IPv6 Address: - NAS Identifier: 44d9e722fadb NAS Port-Type: Wireless - IEEE 802.11 NAS Port: 0 RADIUS Client: Client Friendly Name: 192.168.2.3 Client IP Address: 192.168.2.3 Authentication Details: Connection Request Policy Name: Secure Wireless Connections Network Policy Name: Secure Wireless Connections Authentication Provider: Windows Authentication Server: radius-server.domain.local Authentication Type: EAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 22 Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server. Тип RADIUS-а в настройках клиентов (точек доступа) в NAP ставил как RADIUS Standart (бо в списке вендоров ессно Ubiquiti нету). Под конец психанул и завел тестовый сервер под Windows 2012 R2, поднял там NAP, перенастроил точки на него - абсолютно аналогичный результат... Чую что что-то неправильно шаманят сами точки при авторизации по EAP-у, но доказать не могу :) Затиранил саппорт Ubiquiti: https://community.ubnt.com/t5/UniFi-Wireless/Trouble…ght/false#M125951 У кого получилось подружить Ubiquiti с Windows RADIUS - поделитесь шаманством... Изменено 19 октября, 2015 пользователем Allan Stark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 19 октября, 2015 · Жалоба Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали? У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок. RADIUS EAP поддерживает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LOH Опубликовано 20 октября, 2015 (изменено) · Жалоба Дата/время на точках доступа соответствуют реальности? Сертификаты действительные? Логи Радиуса изучали? У меня WPA2-ent (EAP-PEAP) на ЭирОс, основная засада была со временем на точках, после поднятия ntp--всё ок. RADIUS EAP поддерживает? Сами точки у Ubiquiti весьма зарезаны по функционалу их админинга, там окромя инфы по точке, перепрошивке, ребуту и возврата к заводским - мало что можно сделать. Все настройки, в т.ч. системное время они берут со своего контроллера Unifi. Там системное время тянется с доменного ntp, т.е. корректное. Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать. http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf Изменено 20 октября, 2015 пользователем LOH Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 20 октября, 2015 · Жалоба Да, время там доменное, во всяком случае на контроллере. В логах радиуса - что данный тип EAP не поддерживается. Сертификат - валидный, свежевыданный доменным CA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 20 октября, 2015 · Жалоба Конкретно RADIUS EAP в даташите у них не указан (там просто WPA-Enterprise), но по идее обязан поддерживать. Я не про точки, я про радиус-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimonix Опубликовано 20 октября, 2015 · Жалоба unifi 3.2.10 c freeradius3 работает - все виды авторизации (eap, peap ...), клиенты под виндой, андроидом и ios. даже dhcp из mysql тоже работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 20 октября, 2015 · Жалоба даже dhcp из mysql тоже работает. а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimonix Опубликовано 20 октября, 2015 · Жалоба даже dhcp из mysql тоже работает. а fr3 научился с ip-pool работать? Думаю, не пора ли мне свой биллинг под fr3 переписывать.... в конфигах ip-pool есть, но сам не пробовал. у нас fr3 берет ip-шники из базы биллинга и раздает unifi клиентам :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 21 октября, 2015 · Жалоба Я не про точки, я про радиус-сервер Майкрософт заявляет что не только поддерживает, а и является основным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 21 октября, 2015 · Жалоба Майкрософт заявляет что не только поддерживает, а и является основным. Настройте сначала на FreeRADIUS, убедитесь, что всё работает корректно, а затем, переделывайте на МС, ну и гугл по ошибкам в логах сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 22 октября, 2015 · Жалоба В итоге таки поборол. По факту точки доступа Ubiquiti не поддерживают PPP & Framed в процессе EAP аутентификации. Согласно https://technet.microsoft.com/en-us/library/cc771164(WS.10).aspx конкретно для Ubiquiti надо юзать Framed-MTU = 1344. Вендору не мешало бы освещать сей факт в документации и мануалах... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimonix Опубликовано 22 октября, 2015 · Жалоба Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Allan Stark Опубликовано 22 октября, 2015 (изменено) · Жалоба Маловероятно, что Framed-MTU = 1344 является проблемой ubnt. Этот параметр нигде не указывается в конфигах freeradius3 (и тем более биллинга), и все нормально работает уже несколько месяцев. Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые MS ставит по дефолту в политику, а Ubiquiti видимо не поддерживает. Изменено 22 октября, 2015 пользователем Allan Stark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 22 октября, 2015 · Жалоба Проблемой является конкретно не этот атрибут, а атрибуты Framed-Protocol & Service-Type, которые Ubiquiti видимо не поддерживает. Да, с большой долей вероятности данные аттрибуты не поддерживаются (гугл HOSTAPD RADIUS), но это никак не должно влиять на процесс авторизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...