Клиенты MacOS время от времени отключаются от беспроводной сети WPA Enterprise


15

У нас есть небольшой офис с ~ 20 сотрудниками, каждый из которых использует MacBook и, при желании, подключается также с помощью мобильного телефона. Ранее мы использовали обычный Wi-Fi с общим ключом, но недавно я перенастроил его на WPA Enterprise, где все пользователи получили свои собственные учетные данные: пару логин / пароль. Аутентификация проходит через freeradiusсервис, работающий на AWS EC2 box.

Сервер RADIUS не настроен на использование каких-либо сертификатов, у каждого пользователя есть запись в /etc/freeradius/usersфайле, которая выглядит следующим образом:

john.doe Cleartext-Password := "my_password"

RADIUS-клиент был настроен в минималистском стиле - вот наш /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Эта установка, кажется, работает нормально со всеми мобильными телефонами и большинством MacBook. MacBook сначала жалуются на ненадежный самозаверяющий сертификат (что понятно), но после установки этого сертификата в качестве доверенного все работает гладко.

Тем не менее, некоторые MacBook после успешного подключения начинают отображать ошибки аутентификации через произвольные интервалы (1-30 минут):

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

В этом диалоге есть одна кнопка «Отключить». Тем не менее, пока пользователь не нажмет эту кнопку, MacBook будет оставаться на связи. Окно можно отодвинуть от экрана, но оно снова и снова появляется в центре, раздражая пользователей. Нажатие «Отключить» отключает ноутбук от Wi-Fi, а затем через пару секунд Mac снова подключается к той же сети, оставляя успешную запись в журналах сервера RADIUS.

Пытаясь исследовать, я увидел, что при подключении к сети WPA Enterprise MacBook отображает дополнительную запись в настройке сети с именем 802.1X . При нормальном подключении он говорит «Аутентифицирован через EAP-PEAP (MSCHAPv2)» все время с момента подключения ( см. Скриншот ). Нажатие на кнопку «Отключить» немедленно отключает ноутбук от Wi-Fi.

На тех ноутбуках, у которых есть такие проблемы с аутентификацией, всплывающее окно проблемы, после некоторого случайного периода сообщение «Аутентифицировано через ...» исчезает, и начинается новая попытка аутентификации ( см. Скриншот ). Через некоторое время сообщение изменится на «Сервер аутентификации не отвечает». Я посмотрел журналы сервера RADIUS: каждый раз, когда пользователь подключается к Wi-Fi, появляется успешная запись аутентификации, но ничего не регистрируется во время этих попыток аутентификации, отображаемых в разделе «802.1X».

После нескольких циклов между сообщениями «Аутентификация ...» и «Сервер аутентификации не отвечает» появляется диалоговое окно.

Так как это происходит только на нескольких ноутбуках, я не думаю, что это проблема с сервером, но я не знаю, как решить проблему для тех, у кого она есть. У меня его изначально не было, но когда я начал экспериментировать с переключением сетей, удалением и повторным созданием сетей, мне удалось воспроизвести проблему, и теперь я не могу от нее избавиться :)

Может ли кто-нибудь предложить правильное направление расследования?

ОБНОВЛЕНИЕ (03.03.2017). В конце концов было решено перейти на точку доступа корпоративного класса. Мы купили и установили UniFi APAC PRO , и проблема исчезла.


2
Ваш сервер RADIUS действительно должен быть в помещении, а не в облаке, если вы можете избежать этого. Это может произойти из-за кратчайшего перерыва в подключении к Интернету (что достаточно часто).
Майкл Хэмптон

Я также сталкиваюсь с точно таким же поведением (все еще работающее интернет-соединение, диалоговое окно, которое появляется снова и состояние 802.1X при возникновении ошибки.) У меня есть локальный сервер радиуса, поэтому неработоспособное соединение AP -> сервер радиуса не может быть причина для меня.
бас

У меня есть двухдиапазонный AP. Первоначально я использовал два отдельных ESSID для каждой группы. Я начал сталкиваться с этой проблемой, когда начал использовать один и тот же ESSID для обеих полос. Используете ли вы несколько точек доступа (или полос) на одном ESSID?
барельеф

На самом деле да, я забыл упомянуть об этом. Первоначально у нас был одинаковый SSID для обеих полос, и было больше пользователей, которые имели эту проблему. После разделения полос (я думал, что основная причина прыгала туда-сюда между полосами), для некоторых из них исчезло всплывающее окно, но есть еще пара, которая все еще испытывает эту проблему.
Влад Никифоров

Я также сталкиваюсь с проблемой сейчас с отдельными SSID. :( (хотя и реже.)
бас

Ответы:


0

Проходили ли вы диагностику WiFi на одном из ваших компьютеров Mac? Он может обнаружить что-то за пределами вашей сети, например ближайшую точку доступа, для которой не настроен код страны. Это случилось с нами, когда FiveGuys спустился вниз и настроил неправильно настроенную точку доступа. Вы переключаетесь на точку доступа UniFi, в то время как хорошим выбором может быть прикрытие основной причины.


0

Другим вариантом является то, что MacOS любит периодически сканировать доступные сети. Для этого есть краткое отключение от вашего WiFi. В Mac есть настройка для автоматического подключения к близлежащим сетям, которую можно отключить. Существует также конфигурация Wi-Fi (я не могу вспомнить), чтобы он не пытался часто переходить от точки доступа к точке доступа. Эти скачки могут прервать сеть.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.