Klienci MacOS sporadycznie odłączają się od sieci bezprzewodowej WPA Enterprise

15

Mamy małe biuro z ok. 20 osobami, z których każda korzysta z MacBooka i opcjonalnie łączy się z telefonem komórkowym. Wcześniej korzystaliśmy ze zwykłego Wi-Fi ze wspólnym kluczem, ale ostatnio zmieniłem konfigurację na WPA Enterprise, gdzie wszyscy użytkownicy otrzymali swoje dane uwierzytelniające: parę login / hasło. Uwierzytelnianie przechodzi przez freeradiususługę działającą na urządzeniu AWS EC2.

Serwer RADIUS nie jest skonfigurowany do używania żadnych certyfikatów, każdy użytkownik ma wpis w /etc/freeradius/userspliku, który wygląda następująco:

john.doe Cleartext-Password := "my_password"

Klient RADIUS został skonfigurowany w minimalistyczny sposób - oto nasz /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Ta konfiguracja wydaje się działać dobrze ze wszystkimi telefonami komórkowymi i większością komputerów MacBook. MacBooki najpierw narzekają na niezaufany samopodpisany certyfikat (co jest zrozumiałe), ale po ustawieniu tego certyfikatu jako zaufanego wszystko działa bezproblemowo.

Jednak niektóre MacBooki po udanym połączeniu zaczynają wyświetlać błędy uwierzytelniania w losowych odstępach czasu (1-30 minut):

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

W tym oknie dialogowym znajduje się jeden przycisk „Rozłącz”. Jednak dopóki użytkownik nie naciśnie tego przycisku, MacBook pozostaje doskonale podłączony. Okno można odsunąć od ekranu, ale wciąż podskakuje do środka, irytując użytkowników. Kliknięcie przycisku „Rozłącz” powoduje odłączenie laptopa od Wi-Fi, a następnie w ciągu kilku sekund komputer Mac ponownie łączy się z tą samą siecią, pozostawiając zapis pomyślnego logowania w dziennikach serwera RADIUS.

Podczas próby sprawdzenia zauważyłem, że po podłączeniu do sieci WPA Enterprise MacBook wyświetla dodatkowy wpis w ustawieniu sieci o nazwie 802.1X . Po normalnym połączeniu napis „Uwierzytelniony przez EAP-PEAP (MSCHAPv2)” przez cały czas od połączenia ( patrz zrzut ekranu ). Naciśnięcie przycisku „Rozłącz” powoduje natychmiastowe odłączenie laptopa od Wi-Fi.

Na laptopach, które mają ten problem z wyskakującym oknem problemu z uwierzytelnianiem, po pewnym czasie znika komunikat „Uwierzytelnianie przez ...” i rozpoczyna się nowa próba uwierzytelnienia ( patrz zrzut ekranu ). Po pewnym czasie wiadomość zmienia się na „Serwer uwierzytelniania nie odpowiada”. Przejrzałem dzienniki serwera RADIUS: za każdym razem, gdy użytkownik łączy się z Wi-Fi, istnieje udany rekord uwierzytelnienia, ale nic nie jest rejestrowane podczas tych prób uwierzytelnienia wyświetlanych w sekcji „802.1X”.

Po kilku cyklach między komunikatami „Uwierzytelnianie ...” i „Serwer uwierzytelniania nie odpowiada” pojawia się okno dialogowe.

Ponieważ dzieje się tak tylko na kilku laptopach, nie sądzę, że jest to problem z serwerem, ale nie mam pojęcia, jak rozwiązać problem dla tych, którzy go mają. Początkowo nie miałem tego, ale kiedy zacząłem eksperymentować z przełączaniem sieci, usuwaniem i ponownym tworzeniem sieci, udało mi się odtworzyć problem i teraz nie mogę się go pozbyć :)

Czy ktoś może zasugerować właściwy kierunek dochodzenia?

AKTUALIZACJA (03.03.2017). Ostatecznie zdecydowano się na punkt dostępu klasy korporacyjnej. Kupiliśmy i zainstalowaliśmy UniFi APAC PRO i problem zniknął.

Vlad Nikiforov
źródło
2
Twój serwer RADIUS naprawdę powinien działać lokalnie, a nie w chmurze, jeśli możesz tego uniknąć. Najkrótsza przerwa w łączeniu z Internetem (która jest dość powszechna) może to spowodować.
Michael Hampton
Występuje również dokładnie to samo zachowanie (nadal działające połączenie z Internetem, okno dialogowe, które pojawia się ponownie i stan 802.1X, gdy wystąpi błąd). Mam lokalny serwer w promieniu, więc połączenie niestabilne AP -> serwer w promieniu nie może być dla mnie
bas
Mam dwuzakresowy AP. Pierwotnie użyłem dwóch oddzielnych ESSID dla każdego pasma. Zacząłem napotykać ten problem, kiedy zacząłem używać tego samego ESSID dla obu pasm. Czy używasz wielu AP (lub pasm) na tym samym ESSID?
bas
Właściwie tak, zapomniałem o tym wspomnieć. Początkowo mieliśmy ten sam identyfikator SSID dla obu pasm i było więcej użytkowników, którzy mieli ten problem. Po podzieleniu pasm (myślałem, że główną przyczyną było przeskakiwanie między pasmami), dla niektórych z nich wyskakujące okienko zniknęło, ale wciąż jest kilka osób, które wciąż doświadczają tego problemu.
Vlad Nikiforov,
Teraz mam również problem z oddzielnymi identyfikatorami SSID. :( (Chociaż rzadziej.)
bas

Odpowiedzi:

0

Czy przeprowadziłeś diagnostykę WiFi na jednym z komputerów Mac? Może ujawnić coś poza siecią, na przykład pobliski punkt dostępu, który nie ma poprawnie skonfigurowanego kodu kraju. Stało się tak, gdy FiveGuys przeniosło się na dół i skonfigurowało nieprawidłowo skonfigurowany punkt dostępu. Twoja zmiana na AP UniFi, podczas gdy dobrym wyborem może nadal być ukrywanie pierwotnej przyczyny.

LifeSizeActionFigure
źródło
0

Inną opcją jest to, że MacOS lubi okresowo skanować w poszukiwaniu dostępnych sieci. Aby to zrobić, następuje krótkie odłączenie od Wi-Fi. Na komputerze Mac jest ustawienie automatycznego łączenia się z pobliskimi sieciami, które można wyłączyć. Istnieje również konfiguracja Wi-Fi (nie pamiętam jej), aby nie próbowała często przeskakiwać z AP na AP. Te skoki mogą zakłócić działanie sieci.

Kevin Buchs
źródło