Clientes MacOS desconectam esporadicamente da rede sem fio WPA Enterprise

15

Temos um pequeno escritório com aproximadamente 20 pessoas, cada uma usando um MacBook e, opcionalmente, conectando-se também a um telefone celular. Anteriormente, usamos o Wi-Fi comum com uma chave compartilhada, mas recentemente eu o reconfigurei no WPA Enterprise, onde todos os usuários recebiam suas próprias credenciais: par de login / senha. A autenticação passa por um freeradiusserviço em execução em uma caixa do AWS EC2.

O servidor RADIUS não está configurado para usar nenhum certificado; todo usuário tem uma entrada no /etc/freeradius/usersarquivo que se parece com isso:

john.doe Cleartext-Password := "my_password"

O cliente RADIUS foi configurado de maneira minimalista - eis a nossa /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Essa configuração parece funcionar bem com todos os telefones celulares e a maioria dos MacBooks. Os MacBooks se queixam primeiro de um certificado autoassinado não confiável (o que é compreensível), mas depois de definir esse certificado como confiável, tudo funciona sem problemas.

No entanto, alguns MacBooks, depois de se conectarem com êxito, começam a exibir erros de autenticação em intervalos aleatórios (1 a 30 minutos):

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

Há um único botão "Desconectar" nesta caixa de diálogo. No entanto, até o usuário pressionar esse botão, o MacBook permanece perfeitamente conectado. A janela pode ser afastada da tela, mas sobe para o centro repetidas vezes, irritando os usuários. Clicar em "Desconectar" desconecta o laptop do Wi-Fi e, em alguns segundos, o Mac se reconecta à mesma rede, deixando um registro de login bem-sucedido nos registros do servidor RADIUS.

Ao tentar investigar, vi que, quando conectado à rede WPA Enterprise, o MacBook exibe uma entrada adicional na configuração de rede chamada 802.1X . Quando normalmente conectado, ele diz "Autenticado via EAP-PEAP (MSCHAPv2)" o tempo todo desde que foi conectado ( veja a captura de tela ). Pressionar o botão "Desconectar" desconecta imediatamente o laptop do Wi-Fi.

Nos laptops que apresentam esse problema com a janela do problema de autenticação, após um período aleatório a mensagem "Authenticated via ..." desaparece e uma nova tentativa de autenticação é iniciada ( veja a captura de tela ). Depois de algum tempo, a mensagem muda para "O servidor de autenticação não está respondendo". Examinei os logs do servidor RADIUS: sempre que um usuário se conecta ao Wi-Fi, há um registro de autenticação bem-sucedido, mas nada é registrado durante essas tentativas de autenticação exibidas na seção "802.1X".

Após vários ciclos entre as mensagens "Autenticando ..." e "O servidor de autenticação não está respondendo", a caixa de diálogo é exibida.

Como isso acontece apenas em alguns laptops, não acho que seja um problema de servidor, mas não tenho idéia de como corrigir o problema para quem o possui. Inicialmente, eu não o tinha, mas quando comecei a experimentar a troca de redes, a exclusão e a recriação de redes, consegui reproduzir o problema e agora não consigo me livrar dele :)

Alguém pode sugerir a direção certa da investigação?

ATUALIZAÇÃO (03.03.2017). Finalmente, decidiu-se mudar para um ponto de acesso de classe empresarial. Compramos e instalamos o UniFi APAC PRO , e o problema desapareceu.

Vlad Nikiforov
fonte
2
Seu servidor RADIUS realmente deve estar no local, não na nuvem, se você puder evitá-lo. A interrupção mais breve na conectividade com a Internet (o que é bastante comum) pode causar isso.
Michael Hampton
Também encontro exatamente o mesmo comportamento (conexão à Internet ainda funcionando, caixa de diálogo que aparece novamente e status 802.1X quando ocorre um erro.) Eu tenho um servidor local de raio, portanto, a conexão esquisita AP -> servidor de raio não pode ser a causa para mim.
bas
Eu tenho um AP de banda dupla. Originalmente, usei dois ESSIDs separados para cada banda. Comecei a encontrar esse problema quando comecei a usar o mesmo ESSID para ambas as bandas. Você usa vários pontos de acesso (ou bandas) no mesmo ESSID?
bas
Na verdade sim, eu esqueci de mencionar isso. Inicialmente, tínhamos o mesmo SSID para ambas as bandas e havia mais usuários com esse problema. Depois de dividir as bandas (eu pensei que a causa principal estava pulando para frente e para trás entre as bandas), para algumas delas o pop-up irritante desapareceu, mas ainda há alguns que ainda enfrentam esse problema.
Vlad Nikiforov
Agora também encontro o problema com SSIDs separados. :( (Embora com menos frequência.)
bas

Respostas:

0

Você executou o diagnóstico de WiFi em um dos Macs afetados? Pode revelar algo fora da sua rede, como um ponto de acesso próximo que não possui o código do país configurado corretamente. Isso aconteceu quando o FiveGuys desceu as escadas e montou um ponto de acesso configurado incorretamente. Sua mudança para um UniFi AP enquanto uma boa opção ainda pode estar encobrindo a causa raiz.

LifeSizeActionFigure
fonte