centos – 从AP到WiFi客户端的半径反馈

我们在公司有以下设置：
一台带有CentOS(gw)的网关PC,运行Radius和一些流量过滤程序.我们所有员工都以无线方式连接,我们有一个WPA2 Enterprise加密.用户位于gw上的 MySQL数据库中,并且他们在那里定义了用户角色 – 决定哪个用户可以访问哪个SSID.我们有4个SSID(因此,4个VLAN),因此现在有4个用户组 – 每个用户组都有自己的QoS,带宽限制等规则.

网络运行良好,除了一个问题 – 当用户错误验证时,他没有得到任何反馈. WiFi客户端(每个人都在使用iMac和Macbook,IT中只有几个Windows / Linux机箱)陷入某种困境,他说他已连接,但没有有效的IP,因此无法访问互联网.由于MacOS默认会记住密码,因此他断定他已成功连接,并且再也没有要求输入密码.这意味着任何进行无效登录的人都会被卡住,直到他们从档案中删除记住的密码.对于一个快速成长的80人公司来说,这是令人难以置信的乏味.

我们的AP是WRT54GL,DD-WRT作为固件安装.

似乎AP上的radius客户端没有向员工计算机上的WiFi客户端发送任何适当的反馈.有没有人有这种设置的经验？如何解决这个无反馈问题？更好的AP会成为答案吗？我一直在关注思科的WAP2000.成本不是问题.

这是我们的eap.conf文件中mschapv2上面的注释：

#
                #  This takes no configuration.
                #
                #  Note that it is the EAP MS-CHAPv2 sub-module,not
                #  the main 'mschap' module.
                #
                #  Note also that in order for this sub-module to work,#  the main 'mschap' module MUST ALSO be configured.
                #
                #  This module is the *Microsoft* implementation of MS-CHAPv2
                #  in EAP.  There is another (incompatible) implementation
                #  of MS-CHAPv2 in EAP by Cisco,which FreeRADIUS does not
                #  currently support.
                #

>获取支持“监控”或“rfmon”模式的无线卡,并将其与Wireshark结合使用,以查看网络流量中的802.11标头.这是疯狂的芯片组,操作系统和驱动程序依赖,但Wireshark有一些不错的 documentation指向正确的方向.您所追求的是实际的802.11管理标头,而不仅仅是“翻译的”以太网第2层信息(再次参见Wireshark文档).听起来你的网络主要是通过802.11网络,所以花在这上面的时间可能是值得的 – 你最终需要查看实际的802.11标头以进行故障排除.
>确认这实际上是您的接入点的问题(可能是).使用“802.11”作为链接层类型启动Wireshark,然后针对接入点进行身份验证,并故意错误输入密码.走着瞧吧.您可能还需要查看Radius服务器与接入点端之间发生的情况.如果您在解释结果数据时遇到问题,可以随时将其保存为pcap并在此处提供.您可能只想在接入点花费大量资金之前确认它是radius客户端的问题.
>一旦您确认接入点存在问题,请购买一些不错的“企业级”产品.我们使用D-Link DWL3200,就接入点而言,它是道路接入点的中间位置.我唯一真正的抱怨是他们的命令行界面很糟糕,但另一方面他们每个只有300美元,所以我真的不能期望太多.

一句话：在你开始为这个问题投钱之前(即使你有很多钱可以抛出),先弄清楚究竟出了什么问题.

centos – 从AP到WiFi客户端的半径反馈

相关推荐