MacOS-Clients trennen sich sporadisch vom drahtlosen WPA Enterprise-Netzwerk

15

Wir haben ein kleines Büro mit ca. 20 Mitarbeitern, die jeweils ein MacBook verwenden und optional auch eine Verbindung mit einem Mobiltelefon herstellen. Früher haben wir das übliche WLAN mit einem gemeinsam genutzten Schlüssel verwendet, aber kürzlich habe ich es auf WPA Enterprise umkonfiguriert, wo alle Benutzer ihre eigenen Anmeldeinformationen erhalten haben: Login / Passwort-Paar. Die Authentifizierung erfolgt über einen freeradiusDienst, der auf einer AWS EC2-Box ausgeführt wird.

Der RADIUS-Server ist nicht für die Verwendung von Zertifikaten konfiguriert. Jeder Benutzer hat einen Eintrag in der /etc/freeradius/usersDatei, der folgendermaßen aussieht:

john.doe Cleartext-Password := "my_password"

Der RADIUS-Client wurde minimalistisch konfiguriert - hier ist unser /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Dieses Setup funktioniert anscheinend mit allen Mobiltelefonen und den meisten MacBooks. MacBooks beschweren sich zuerst über ein nicht vertrauenswürdiges selbstsigniertes Zertifikat (was verständlich ist). Nachdem Sie dieses Zertifikat jedoch als vertrauenswürdig eingestuft haben, funktioniert alles reibungslos.

Bei einigen MacBooks werden nach erfolgreicher Verbindung Authentifizierungsfehler in zufälligen Intervallen (1-30 Minuten) angezeigt:

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

In diesem Dialogfeld befindet sich eine einzige Schaltfläche "Trennen". Bis der Benutzer diese Taste drückt, bleibt das MacBook jedoch perfekt verbunden. Das Fenster kann vom Bildschirm wegbewegt werden, springt jedoch immer wieder in die Mitte und irritiert die Benutzer. Wenn Sie auf "Trennen" klicken, wird der Laptop vom Wi-Fi-Netzwerk getrennt, und der Mac stellt nach einigen Sekunden erneut eine Verbindung zum selben Netzwerk her. In den Protokollen des RADIUS-Servers wird ein erfolgreicher Anmeldedatensatz hinterlassen.

Bei der Untersuchung stellte ich fest, dass das MacBook bei einer Verbindung mit einem WPA Enterprise-Netzwerk einen zusätzlichen Eintrag in der Netzwerkeinstellung mit dem Namen 802.1X anzeigt . Wenn eine normale Verbindung besteht, wird die Meldung "Authentifiziert über EAP-PEAP (MSCHAPv2)" angezeigt ( siehe Abbildung ). Wenn Sie auf die Schaltfläche "Trennen" klicken, wird der Laptop sofort vom WLAN getrennt.

Auf den Laptops, auf denen Probleme mit dem Authentifizierungsproblem auftreten, verschwindet nach einer zufälligen Zeit die Meldung "Authentifiziert über ..." und es wird ein neuer Authentifizierungsversuch gestartet ( siehe Screenshot ). Nach einiger Zeit ändert sich die Meldung in "Authentifizierungsserver antwortet nicht mehr". Ich habe mir die RADIUS-Serverprotokolle angesehen: Jedes Mal, wenn ein Benutzer eine Verbindung zu Wi-Fi herstellt, wird ein erfolgreicher Authentifizierungsdatensatz angezeigt. Während dieser unter "802.1X" angezeigten Authentifizierungsversuche wird jedoch nichts protokolliert.

Nach mehreren Zyklen zwischen den Meldungen "Authentifizierung ..." und "Authentifizierungsserver antwortet nicht" wird das Dialogfeld angezeigt.

Da dies nur bei einigen Laptops der Fall ist, handelt es sich meines Erachtens nicht um ein Serverproblem, aber ich habe keine Ahnung, wie das Problem für diejenigen, die es haben, behoben werden kann. Anfangs hatte ich es nicht, aber als ich anfing, mit dem Umschalten von Netzwerken zu experimentieren, Netzwerke zu löschen und neu zu erstellen, konnte ich das Problem reproduzieren und kann es jetzt nicht mehr loswerden :)

Kann jemand bitte die richtige Richtung der Untersuchung vorschlagen?

UPDATE (03.03.2017). Es wurde schließlich beschlossen, zu einem Zugangspunkt der Enterprise-Klasse zu wechseln. Wir haben UniFi APAC PRO gekauft und installiert , und das Problem war behoben .

Vlad Nikiforov
quelle
2
Ihr RADIUS-Server sollte sich wirklich vor Ort befinden und nicht in der Cloud, wenn Sie dies vermeiden können. Dies kann durch die kürzeste Unterbrechung der Internetverbindung (die häufig genug ist) verursacht werden.
Michael Hampton
Ich stoße auch auf genau dasselbe Verhalten (immer noch funktionierende Internetverbindung, Dialogfeld, das erneut angezeigt wird, und 802.1X-Status, wenn ein Fehler auftritt.) Ich habe einen lokalen Radius-Server, daher kann der flockige Verbindungs-AP -> Radius-Server nicht der sein Anlass für mich.
Bas
Ich habe einen Dualband-AP. Ursprünglich habe ich für jede Band zwei separate ESSIDs verwendet. Dieses Problem trat auf, als ich für beide Bänder dieselbe ESSID verwendete. Verwenden Sie mehrere APs (oder Bänder) auf derselben ESSID?
Bas
Eigentlich ja, das habe ich vergessen zu erwähnen. Anfangs hatten wir für beide Bands die gleiche SSID, und es gab mehr Benutzer, die dieses Problem hatten. Nach dem Aufteilen der Bands (ich dachte, die Grundursache ist das Hin- und Herhüpfen zwischen den Bands), verschwand für einige von ihnen das quälende Popup, aber es gibt immer noch ein Paar, das dieses Problem hat.
Vlad Nikiforov
Ich stoße jetzt auch auf das Problem mit separaten SSIDs. :( (Obwohl weniger häufig.)
bas

Antworten:

0

Haben Sie die WiFi-Diagnose auf einem der betroffenen Macs durchlaufen? Möglicherweise wird etwas außerhalb Ihres Netzwerks angezeigt, z. B. ein Access Point in der Nähe, dessen Ländercode nicht ordnungsgemäß konfiguriert ist. Dies ist uns passiert, als FiveGuys nach unten gezogen ist und einen nicht richtig konfigurierten Hotspot eingerichtet hat. Wenn Sie zu einem UniFi-AP wechseln, obwohl Sie eine gute Wahl getroffen haben, ist die Ursache möglicherweise noch nicht bekannt.

LifeSizeActionFigure
quelle